刷脸时代来了，苹果和阿里的人脸识别技术谁更能保证你钱包的安全？

本月初，支付宝在杭州肯德基KPRO餐厅上线刷脸支付，实现全球范围内的首次商用。近日，又宣布将其人脸识别技术向物流行业开放，并试图实现“刷脸寄件”。苹果也在发布iPhone X时力推其面部识别技术，并指出将运用于ApplePay和第三方应用。刷脸支付势不可挡，那么苹果和阿里的“刷脸支付”谁更安全呢？

阿里：可不只是技术保障

阿里支付宝于2015年9.0版本添加人脸识别技术，最初与Face++（旷视）合作，并以此为基础研发了检测活体安全性等技术，并与眼纹结合，还加入智能风控系统等多因子安全验证体系。

支付宝基于人脸识别的身份验证流程如下：通过APP采集用户人脸信息；活体检测算法检测并判断（防止照片、视频等攻击）；将通过活体检测后的人脸与官方人脸数据库或之前的人脸信息比对，并判断。

涉及金融问题，无论是阿里自身还是用户实际需求都有着不低门槛：

1、高安全性：人脸活体检测技术（防止照片伪造攻击和视频攻击）
2、高准确率：极低误识率下（<0.001%）的高识别通过率
3、高可用性：海量并发人脸比对服务（QPS>1000）
4、高实时性：人脸比对结果实时返回（响应时间<100ms）

2013年，阿里小微金融服务集团安全副总裁江朝阳透露，国内支付行业的整体资损率大约为万分之一，而支付宝的资损率为十万分之一。“与同行乃至银行相比，无论是从资损率还是便捷性，我们更有信心。”2017年3·15晚会爆出人脸识别的安全隐患后，支付宝沿用这一数据，表示“我们是全球把人脸识别引入金融级应用场景的第一家公司，上线人脸识别这么久以来，我们的资损率一直保持在远低于十万分之一，优于行业平均水平。”

但这一数据已经过时。2017年7月份召开网络安全生态峰会上，蚂蚁金服CEO井贤栋便表示“以蚂蚁金服为例，它的智能风控大脑，可以7*24小时对每一笔交易进行风险识别，识别速度只需人眨眼时间的1/10，支付宝的资损率已长期小于百万分之一，而运用‘人脸+眼纹’等生物识别技术后用户身份识别率则达到99.99%，超过人眼的97%。”从十万分之一到百万分之一，以及高于人眼的识别率，技术带来的金融安全性有着明显提升。

阿里最初采用来自旷视的技术。旷视的人脸识别技术采用人脸关键点技术。关键点包括人脸轮廓、眼睛、眉毛、嘴唇以及鼻子轮廓，旷视提供的关键点最多可达106点，再通过算法对关键点进行处理，抽取人脸特征。

越精细的面部，往往需要提供越多的关键点。但关键点的检测，往往受限于光照、人脸肤色、头发遮盖以及附属物（眼镜）遮盖等因素。此外，也可能被利用照片和视频进行攻击。支付宝在此基础上的人脸活体检测技术，便是为了判断摄像头前是否为真人。

井贤栋口中的“眼纹识别”，准确性更高。人脸识别是以牺牲准确性来实现易用性的，眼纹识别则满足准确性和唯一性的需求。蚂蚁金服此前收购的EyeVerify便拥有眼纹识别独家专利，能通过扫描眼静脉纹路进行身份识别，并生成数字密匙，复杂程度足以匹敌50个字符长度的传统密码。由于眼球血管形状独一无二，人脸识别难以区分的双胞胎也可识别。不同于经常暴露的面部信息，眼球血管信息更为隐秘，也更适合作为加密手段。

但是戴隐形眼镜/框架眼镜，会影响识别率。在没有光线的夜晚，也不能使用眼纹识别。鉴于眼纹识别录取信息时会提示左右观看，以便获取完整的“眼白”部分血管分布情况，但在支付宝“刷脸支付”过程中，暂无相关操作，阿里的“眼纹识别”可能是一项正在落地的技术。

支付宝百万分之一的资损率，因“刷脸”造成的比例可能会更低。一旦出现问题，对消费者就意味着损失，但支付宝表示“如果因为人脸登录出现状况导致账号资金损失，我们会进行全额赔偿。这是我们上线人脸识别第一天时就许下的承诺。现在，依旧有效，而且，一直有效。”

此外，“支付宝只对在当前手机上用密码登录成功过的用户才开放人脸登录，并不会出现只通过人脸信息验证就在陌生手机上登录成功的情况”，并且“当系统判定存在风险，或涉及大额交易时，风控系统会根据具体情况，要求进行人脸识别，来进行额外的身份校验”，支付宝的人脸识别只是多了一层风控。而“刷脸支付”在肯德基的商用，同样不单是技术层面的保障，也有着阿里系统制度的保障。

苹果：人无我有，人有我精

苹果总是能让人耳目一新，此前是iPhone5s的指纹解锁，这次是iPhone X的面部识别。iPhone X取消了Touch ID的设置，采用Face ID作为生物辨识技术，并兼容此前的Touch ID保护功能。但发布会现场克雷格·费德里吉使用iPhone X演示Face ID解锁时，却突发意外解锁失败。

尽管苹果给出解答，声称经过此前多人设置，演示前iPhone X已重启，但却忘记输入密码启用Face ID。但部分人仍旧对苹果面部识别技术产生疑问。苹果表示将把刷脸支付应用于ApplePay和第三方应用，更是惹得段子手以此为乐。那么iPhone X刷脸支付的面部识别技术真的易用安全吗？

iPhone X丑陋的刘海部分是实现面部识别技术的关键，苹果称之为TrueDepth camera system（原深感摄像头系统）。用户仅需注视iPhone，即便在黑暗环境中泛光感应原件也能探测到人脸。点阵投影器会投射超过3万个隐形的红外点，绘制出面谱，红外镜头会读取点阵图案并捕捉红外图像，结合神经网络创造脸部的数字模型。

采集到物体深度信息，拼合成面部的3D图像数字模型，再与之前存储数据比对，完成人脸识别。苹果的技术能够弱化面部关键点技术受限于光照强度、角度等问题，适应恶劣光照、大的表情变化、姿态变化等情境。泛光感应元件，以及能够处理人脸识别及学习人脸的A11仿生芯片的使用，更使得iPhone X无论白天黑夜还是戴眼镜、戴帽子，长胡子、换发型都不会对识别效果产生影响。

为了完成解锁，用户需要注视手机。面对手机闭眼，或者被第三方偷偷对准面部，均无法解锁。但盲人或视力受损者，无法直视解锁。苹果软件工程副总裁Craig Federighi表示，“在这种情况下，人脸可以识别（即使戴上墨镜），但它看不见你的眼睛，你可以关掉‘注意力检测’功能。”但安全系数会降低。

他指出，“面部识别要求它能看到你的眼睛、鼻子和嘴巴”，“对于那些戴着面具上班或戴面纱的人来说，面部识别系统并不是一个可行的选择。”大多数太阳镜均可以识别，不同镜片对红外线有不同程度过滤，大多数镜片都能让足够的红外线穿透，即使肉眼不可见红外线，红外线依旧可以识别人眼。但“有些镜片的涂层可以阻挡红外线，在这些情况下，客户可以使用密码或取消密码。”

Face ID更为重要的属刷脸支付：仅需按下侧边栏两次，注视解锁便可付款。但付款安全吗？长相一致的双胞胎怎么办？遇到打劫怎么办？苹果在全球采集了数十亿张图片，这些数据并非来自网络，而是包含深度新的面部数据，有着无数细节用以训练面部识别系统。并且，全球范围以及不同种族数据训练结果，也提升了验证高识别率。苹果不仅不会被照片欺骗，也不会被好莱坞专业面具制造商欺骗。

他人解锁成功率仅为百万分之一，例外中包括有着密切遗传关系的双胞胎。面对这种情形，是否可采用人脸识别和数字解锁的双重认证？Federighi表示内部曾探讨过。但结果可以想见。面对凶残歹徒又该如何处理？长按iPhone X手机的侧边按钮，可实现手机关机，重启需要输入密码。如果48小时未使用Face ID或者连续5次面部识别失败，都会自动返回至密码，这也是苹果演示失败的原因：iPhone X试图识别将手机放置在讲台上的人。

或许目前并不需要担心苹果刷脸支付的安全问题，这只不过是一个设想的情境，使用支付宝的人也可能面临相同处境。值得一提的是，苹果表示相关数据会留在设备内，并不会上传至服务器，用户隐私无疑得到了更好的保障。

零镜观点

相较于支付宝的面部识别技术，苹果具有深度信息的数字模型不可相提并论。借助于苹果iPhone X的硬件，苹果的面部识别技术有着更强的易用性，也更为安全。苹果将其作为支付的关键步骤，而阿里支付宝的刷脸识别仅仅是风控系统的一环。阿里首次商用的刷脸支付，也有着技术和制度进行双重保障。Face ID百万分之一的他人解锁成功率，使得他人解锁近乎不可能实现，但一旦破解，对用户就意味着巨大损失。苹果和阿里的刷脸支付，你会选择哪一个呢？选择的苹果的我被同事一盆冷水浇了个透:首先，你得拥有iPhone X!