刷臉支付真的會變成現實么？

12-29

最近生物識別技術被討論得很多，蘋果的指紋解鎖，支付寶的指紋支付等，生物識別技術真的會替代數字密碼，成為未來主流的驗證形式么？

刷臉支付，或者說基於生物識別技術的商業應用，其實還有很長的路要走。

一個核心問題就是，所有生物識別技術相對於傳統的字元密碼而言，其結果都有一定的模糊和不確定性。

換句話說，密碼可以認為是精確的（除去極小的網路和硬體錯誤幾率），對就是對，錯就是錯；

但無論面部還是指紋還是聲紋之類的認證，下面兩種幾率都不可能完全消除：

一是拒識率(FRR)，就是把正確的身份認為是錯誤的，拒絕通過認證；

二是誤識率(FAR)，就是把錯誤的身份認為是正確的，允許通過認證；

目前技術較為成熟的指紋、虹膜、靜脈對此已經控制得較好，起碼兩個幾率都要降到1%以下才算勉強合格。

而面部識別、聲紋、筆跡、鍵盤錄入習慣等等都還不夠成熟，只能作為其他認證方式的輔助，想靠它獨立識別用戶身份的話還差很遠呢。

（想像一下在韓國推廣刷臉支付的情況）

從商業角度來說，用生物特徵代替字元密碼的主要目的是增加便捷性，其次才是增加安全性。

一般情況下，便捷與安全是衝突的。

提升安全往往會降低便捷，比如網銀U盾；

提升便捷也會降低安全，比如瀏覽器的「記住密碼」；

如果做的不好，兩者都會降低，比如某些城市漏洞百出的地鐵安檢。

具體到指紋識別的話，設備和技術不變的情況下只調節參數，那拒識率和誤識率肯定會一升一降，不可能同時下降。

想同時提高兩者，或提高一個的同時保持另一個不降低，那就需要不小的技術進步才行。

有人認為生物特徵是不可複製的所以很安全，畢竟手指、眼睛和腦袋都帶不走，日常生活中也不太可能像電影里那樣一刀砍下來血淋淋地拎著去冒充身份。

但他們忽略了一點，這些信息被掃描之後數字化，就可以複製了。

而且就算經過加密，一旦大規模應用開來，無論是本地緩存還是互聯網傳輸，或是分布於各家支付機構的伺服器上，很難保證沒有任何一個節點出現疏漏。

一旦信息被人盜走，生物特徵的另一個屬性就會帶來災難性的安全隱患：它是不可更改的。

前些年的一些大規模密碼泄露事件之後，到處都在提醒用戶修改舊密碼。

但指紋信息、面部識別信息泄露了，怎麼改？它會成為終身隱患，某個手指永遠也不能再用於電子支付，不整容一輩子都不敢刷臉。

近些年在生物識別領域搞探索的公司都比較謹慎，這是正確的。比如蘋果和三星HTC華為等廠商都只把指紋識別應用到移動設備解鎖上，沒有到處開放介面，信息也不上傳而是加密保存在本地，最近支付寶才小心翼翼地試水指紋認證小額支付。

我當然期望能不帶卡不輸密碼就能讓整個世界一眼認出我。

但現實是，這個領域發展得慢一點比快一點好，步子邁得太大，可能會給整個行業帶來不可逆轉的損失。

今年4月1日我們提出「空付」產品，其實當時就有很多身邊的朋友來問我，表示「碉堡了」。

當時的視頻地址如下：支付寶全新支付方式 KungFu(空付)

鑒於當時我的認知，我也認為此產品是個愚人節善意的玩笑，不過最近和我司神秘部門「支付寶柒車間」里同學閑聊後，我發現這事其實也沒離我們那麼遠。

先談談生物識別這件事情：

我們一直在想，什麼是偷不走的，什麼是比數字密碼更加安全的東西，很自然會想到兩件東西，一個，是生物特徵，另一個，是行為習慣；而這兩個，正是現在研究的生物識別認證方式的最主要方向。

從分類上看，我們現在重點研究的生物識別技術，有六種，分別是人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊。這些識別方式，技術原理都涉及極其複雜的模型和演算法，複雜程度往往超過很多人的想像。

比如說，聽上去很傳統的筆跡識別，識別方式並不僅僅是判斷筆跡圖形的相似程度，還包括動態的書寫行為模式，筆畫順序，每一筆的書寫節奏等，這時就需要通過動態時間規整這樣的非線性時間對準匹配演算法來進行筆跡相似程度測算。

再比如說，人臉識別，它是通過一種叫做「神經網路」的方法進行人臉檢測，讓機器模仿人腦的結構模型和思維模式，通過讓機器不斷學習，實現的關於人臉識別的規律和規則的隱性表達。這非常難，因為人腦實際上是非常複雜的，你看到一個人，一下就能感覺出是某某，這背後，其實是大腦進行了相當複雜的運算。

當我們把這些運算規則抽象好之後，生物識別自然就出來了。

同學們又要問：生物識別靠譜么

我個人感覺，從大方向上看，生物識別肯定比密碼靠譜，否則也就不會有這麼多人在這個領域進行研究和探索了，蘋果做了指紋識別，支付寶今年也首推了指紋支付，可以看到，有不少生物識別技術已經在逐步商用。

不同的生物識別技術，有不同的優勢，未來，這些技術可能會根據各自的優勢，匹配不同的場景。比如說，聲紋識別因為不涉及隱私，用戶接受程度高，而且，尤其適用於基於語音通話等的遠程身份認證；掌紋採集區域比較大，容易獲取質量較高的圖片，驗證結果信服度更高，在光線較好的地方，採用掌紋非常合適；而筆跡和鍵盤敲擊，其本身是動態的，要模仿一個圖形不難，要模仿整個書寫過程是極其困難的。在一些對安全性極高的場景下，甚至可以採用雙因子鑒定，比如數字密碼+指紋，筆跡+掌紋等等。

當然，從目前的技術進展來看，生物識別還有不少的技術難題需要攻克，比如說，聲紋識別，如何消除因為年齡、身體狀況等帶來的影響，比如說，筆跡和鍵盤敲擊，單個個體的行為變化，如何跟蹤和區分；再比如說，由於運算過程複雜，如何提高這些生物識別過程的運算效率等。

總之，從長遠來看。「空付」產品的雛形，例如指紋支付，虹膜支付，聲紋支付在技術成熟後會很快進入我們的生活。當產品本身的安全性、實用性、成本發展到一定閾值時，會漸漸替代掉一些外部介質支付載體和媒介，完成「空付」革命。

某top2院校的科研狗，人臉識別方向，看到這個題目進來發發牢騷，輕拍。。。

人臉識別研究了這麼多年，還有沒有逃出人臉檢測校正—特徵提取—機器學習—特徵比對的老路子。現在在人臉偏轉角度小於30度的情況下可以得到很好的識別率，但是人臉偏轉角度一大，效果蹭蹭的往下降（好歹要是刷臉支付的話應該都是正臉。。。）

其次，人臉識別受光照等環境影響很大。幾年前聯想推出的刷臉開機，白天拍了照片晚上絕對打不開電腦，好歹這兩年有所進步。

其實最大的感想就是，現在都沒有鬧清楚人到底是怎麼識別人臉的，就讓計算機去干，搞得出來才見鬼。人看見後腦勺都知道是誰，你讓計算機去看看試試。現在深度學習、3D人臉模型還原都搞得很火，還需要很長的路去走。

關於刷臉支付的話，總覺得現在還比較虛，不大能獨當一面。但是若能有新的演算法橫空出世，說不定就能一下子逆轉乾坤，

從技術理論上來看，以生物識別技術作為支付手段當然沒有問題，但在實際的支付應用中，生物識別技術存在很多安全隱患。

1.可複製性：傳統數字密碼固然不能做到絕對安全，但是你的生物標識在某種意義上更容易竊取，一旦有利可圖，市面上必然出現大量的生物標識獲取設備，到時候指紋數據和電話一樣，一塊錢一個滿大街都有賣。

2.唯一性：生物密碼的唯一性是一把雙刃劍，對於數字密碼而言，定期更換密碼是有效保護賬戶安全的的手段，而生物標識的唯一性也就意味著密碼不可更換，一旦發生生物密碼被複制的情況，或者因為意外狀況導致使用者丟失生物密碼標識的情況，其後果將會十分嚴重，並且會長期對使用者造成影響。手指頭還有十隻，臉可只有一張，又不能說換就換。

另外我們還要考慮可能出現的社會問題，比如個人的隱私如何保證（刷臉）；比如以後搶劫犯會不會直接剁手（刷指紋）。

所以生物識別技術在短期內不可能替代傳統支付方式，最多就是在一些特定的小範圍場景使用，或者作為傳統支付手段的輔助驗證方式而存在。

我拿華為手機的人臉鎖屏做測試。首先用人臉做密碼，開啟人臉鎖屏，然後用ipad前置攝像頭拍了自己一張正面照，再然後用ipad解鎖人臉識別成功。大家可以拿有人臉識別的其他品牌手機做相同的測試，並留言告訴我結果。

已經成為現實了！2017年9月1日，肯德基的KPRO餐廳可以用支付寶刷臉支付了，不用手機，刷臉即可，這是刷臉支付在全球範圍內的首次商用試點。具體怎麼操作，可以看視頻，如果你在杭州，現在就可以直接到萬象城去試試噢，這回真的是靠臉吃飯了！

前陣子八卦小編也回答過一條關於人臉識別的問題，歡迎點擊：BAT八卦小編：談到人臉識別技術，有哪些常見的誤區？

**********

我是BAT八卦小編，求關愛求關注，和你共同探討互聯網的那些事兒~

同意 @蘇莉安的答案

先看刷臉的邏輯：

面部信息（指紋掌紋）—轉化為內部密碼——啟動驗證機制——成功驗證

普通密碼機制邏輯：

密碼（大部分是數字或者字母或者鑰匙）---驗證機制----成功驗證

所以刷臉最起碼存在下面幾個問題：

之所以有刷臉只是為了應付密碼長度問題和攜帶記憶問題。刷臉說白了只是將很長的密碼轉化為臉部信息（大家可以試想將臉部信息轉化為編碼可能有幾千上萬位呢）。這樣就帶來很多問題

1：很容易獲得臉部信息

普通密碼，比如銀行密碼，電腦開機密碼，很多人只是記在腦子裡或者記載一個只有自己知道的地方，但是臉部信息也好，指紋也罷，很容易或者。然後就容易被人破解（做一個指紋膜或者臉部模型就可以了）。所以其實是不安全的。

2：刷臉要想實現必須有一定的容錯率

普通密碼，不論長短，必須不能變化一位，否則就會出錯，但是沒人保證今天自己的臉和昨天的一樣，包括變胖了，變瘦了，受傷了，有黑眼圈了，精神狀態不好了所以表情苦逼了。所以刷臉為了能夠實現必須要有一定的容錯。也就是「大概一樣」就可以，這樣就會造成很多誤判，比如一些長相相似的人。如果設置的太嚴謹，估計連自己都不能識別，沒有應用，設置的太鬆了就容易誤判太多了，尤其是樣本量很大的時候，比如一個公司有10000人，難免會有撞臉的。有人會提出是否可以用生物DNA驗證，比如以後可以用毛髮驗證dna，我可以告訴你，這不可能，因為你很容易得到別人的毛髮，上面一點已經說明這種情況。

3：刷臉會引發很多社會問題

如果刷臉應用在銀行領域估計會有大的社會問題。普通密碼記載心理，所以犯罪分子知道要套出來成本很高，所以很少有聽過搶劫銀行卡然後讓其輸入密碼的。如果刷臉或者刷指紋就好辦了，如果銀行採用刷指紋，好了直接砍下你的手指頭就可以拿去驗證了。

4：刷臉本身的不便攜性質和易變性

刷臉目的就是為了保證密鑰攜帶便捷。但是假如你可以設想一種情況，如果有一天你臉部受損了，包紗布，這時候反而會增加麻煩。又比如假如刷臉支付了，一個人化妝和不化妝容貌相差之大連身邊人都不一定能分別。怎麼可以作為密鑰呢？

所以：對一些保密性比較高的應用，刷臉等生物信息識別只可能是一種輔助驗證方式。不可能是單一驗證方法。比如以後銀行卡可以採用刷臉+密碼驗證方式的結合，增加安全性。不過這樣只能增加安全性，不能解決密碼存儲的問題，還是要自己記錄密碼。

所以，刷臉不能稱為以後的支付模式，甚至連輔助模式都不能（因為個人容貌變化，一個人化妝和素顏的差距你可以想像）。而且現在銀行的網銀支付已經做得比較安全了，這麼麻煩何必刷臉。

但是我覺得在很多領域刷臉還是有可能實行的：比如公司記錄考勤，可以用刷臉識別，不用打卡識別（因為可以讓別人幫助代打卡），而且對於上班族來說，每天上班的容貌基本差不多（職業妝）。而且估計也沒有人會無聊到做一個模型然後帶刷臉。但是具體到支付領域，刷臉不可能實施。

表示之前有個汽車站存包就是用的刷臉技術，結果…有人存包時把看熱鬧的人攝進去了，結果包就拿不出來了

人臉識別技術主要是簡化一些需要工作人員人工驗證的問題。肯定不能保證是百分之百安全的，銀行的工作人員碰到長的很像的人也是無能為力的。但人臉識別技術對於簡化現在金融業務過程肯定是有積極意義的。

最近支付寶里有一個測試顏值的小遊戲，這是在收集測試數據嗎？之前招行微信銀行有個收聲音的小遊戲，那也是在收集聲紋支付的測試數據吧？各位大佬測試數據用完記得刪除啊，別泄密啊！

現在是2017年，我從2014年穿越過來的，就是想驗證一下刷臉識別到底會不會成為現實。

首先看看馬雲大大

他這可不是在玩自拍，他在向大家推薦支付寶的刷臉支付功能。

我在火車站也看到了這項技術的普及

來自2014年的我表示還不會刷臉進站，特地諮詢大佬，原來跟「把大象放進冰箱」一樣簡單的三步就能夠完成，三秒鐘就能通過，想想2014年的火車站排隊進站都排到馬路對面了，春運時排個把小時才能進站。

你們知道女生的化妝技術都有多麼強大嗎。。。

很肯定的回答題主，是可以成為現實的，因為理論上是完全可行的。

只不過現實應用的流程並不是大家所想像的直接刷臉就能實現支付，應該先輸入一個識別碼（一般是用戶手機號），後台演算法找到用戶，然後攝像頭刷臉確認，完成支付流程。但是，現在因為人臉識別精度的問題，整個應用推廣還處於一個比較緩慢而長期的過程。

當然，上述是針對線下商用領域的應用描述，也有聽說有些公司針對手機平台開發了人臉支付程序，通過手機攝像頭掃描人臉完成支付，因為沒實際使用過，所以不便評價。

利益相關：一位生物識別行業的從業者，但不便透漏是哪種生物識別。比較驕傲的是，今年將公司的生物識別解決方案已經在一些特定區域大規模商用到線下支付場景中，不久將來，大家完全可以做到不需要帶會員卡、儲值卡、銀行卡等等，只要憑藉自己的某個生物特徵就能享受線下消費和會員權益，是不是很便利？

@蘇莉安說的很對，目前生物識別無論把拒絕率和誤識率做的多好（我們是目前生物識別這兩項數據最低的），無論對生物特徵數據如何加密，還是會存在潛在安全風險，這也是我在打通銀行通道的時候，跟銀行一位同仁聊到的。但是，安全和便利總是不可完全兼得，我們能做的，就是儘可能的在兩者找到一個平衡點，為消費者帶來完美的便利應用，這也是我一直追求的。

男生還好，女生，呵呵，百變的妝容……

起碼在韓國不行…

當然不會，如果可以，我拍個富豪的照片從此就可以揮霍人生了么？

如果非要狡辯是三維掃描，老子去杜莎偷個蠟像腦袋，一樣，從此揮霍人生。

指紋好偷，複製不成大不了剁手指（玩笑）

生物識別類的屬於 What I Have，無非是方便，不是偷不走

按照順序來說，最偷不走的是 What I Know —— 腦袋裡的密碼，剁了腦袋也沒了

（如果有人送你什麼腦波調整、有助安睡的新鮮玩意兒，留心喲，用的時候別念叨信用卡密碼哦）

兼顧方便和安全，一般是生物識別 + 密碼

至於面部識別，十多年前和國外研究機構合作過一段時間，看來這十多年就沒有實質性進展啊。

這玩意兒前期適合用來做點客流量統計什麼的（比Wi-Fi好太多），真要拿來做客戶身份識別倒是蠻嚇人的，有很長的市場教育期，需要等谷歌、蘋果這類巨頭來填坑，真正普及了再說。

題外：《疑犯追兇》& 昨天播到第四季第四集，實在沒意思啊~

期待兩個"上帝"之間的較量再激烈一點~ 等不及馮七李四肖再慢慢騰騰救人了~"

首先，最大的問題就是碰撞:臉的識別問題

其次，是防止攻擊的問題:需要活體識別和防止通過整容通過驗證咯

那樣的話：

某某長的好帥

有多帥

信用卡額度六位數呢

技術上來說,生物唯一性並不只是臉,比較常見的還有動作(主要是表情和手勢),聲音,瞳孔,甚至呼吸(提取你呼出來那口熱氣裡面的dna)等多種方式組合起來實現對一個人的識別.但是技術總是技術,必須要考慮其社會影響.拋開科幻電影老生常談的話題,社會影響經典案例就是,人肉搜索,電子選舉,利用網路他人組織燒炭...無論如何,技術永遠不是問題,社會問題才是重點.