9月13日凌晨1點(北京時間)，蘋果新發布全屏手機iPhone X的消息在科技圈炸開了鍋，除了被人吐槽的“齊劉海”外，Face ID(刷臉認證)概念再次震驚到我。筆者不禁想問蘋果產品經理和設計師是否真正考慮過我大中華用戶訴求?

看完發布會，內心就暗暗發誓絕對不能買iPhone X，這里也提醒各位已婚男同胞，女同胞尤其是網紅，在購買iPhone X前要慎之又慎。如果你是土豪的話，那就更需要小心，遇到綁匪，瞬間就會讓你明白自己臉有多值錢!

這是一個“靠臉吃飯”的時代，但是 “刷臉支付”是否會被其安全性“打臉”，值得大家深思。眾所周知，人臉識別技術是基于人的臉部特征，對輸入的人臉圖象或者視頻流，與已知的人臉進行對比，從而識別每個人臉的身份。與傳統的密碼識別和指紋識別技術一樣，人臉識別憑借其生物特征唯一性成為了身份認證的重要因子。因此，“人臉識別”的安全問題歸根結底就是身份認證安全問題。

安全性和便捷性不可兼得的顯性多因子組合認證方式

身份認證作為銀行支付和第三方支付中最重要的一環，在支付安全體系中一直處于舉足輕重的地位。目前銀行主流認證方式中，一般采用“用戶名+密碼+短信驗證碼+U盾”這種方式，這是非常典型基于顯性多因子組合的認證方式。所謂顯性因子就是身份認證中需要使用者操作的認證因子，例如用戶名、密碼、短信驗證碼、指紋、聲紋、人臉識別等都屬于顯性認證因子。從某種程度上來說，認證顯性因子越多，安全性會越高，但同時用戶體驗也會越差，尤其是在小額支付的場景下用戶更加不會喜歡過于復雜的操作過程。

例如，隨著移動支付時代到來，雖然大家都意識到短信驗證碼存在安全風險，但由于其便捷性，短信驗證仍然成為了業界普遍采用身份認證方式。與此同時，圍繞短信驗證碼或其他身份認證的支付欺詐也在快速發展并形成了完整黑色產業鏈。舉個簡單例子，犯罪分子通過使用電信攔截裝置、干擾機制或者利用手機木馬，可以在用戶毫無感知的情況下截獲短信。在支付鏈條中，如何在兼顧用戶體驗的前提下保障支付安全，已經成為亟待解決的安全痛點。

隱性因子身份認證方式，補位顯性認證因子不足

在不影響用戶體驗前提下，提升安全性，是當前市場最需要解決的問題。相對于顯性因子，不需要使用者操作認證的方式則稱之為隱性認證因子。增加隱性認證因子，可以很好彌補單一通過顯性因子進行身份認證的安全局限性。

基于隱性因子的身份認證增強方案

梆梆安全提出基于隱性因子的身份認證增強方案，很好解決了用戶名、密碼和短信驗證碼等身份驗證方式的安全弱點。該方案采用基于設備指紋和白盒密鑰的組合方案對支付設備進行認證，其中白盒密鑰可解決設備指紋存在被偽造的潛在風險。除此之外，還可以實現“一機一密”的高強度密鑰更換，可以進行多設備綁定，多場景支付交易保護等功能，在兼顧用戶體驗的基礎上提高身份認證的安全性。

在支付過程中，驗證設備指紋和白盒密鑰屬于隱性認證因子并不需要用戶操作，因此可以在用戶無感知情況下完成身份認證。如果用戶使用未注冊的設備(未與賬號綁定)進行支付，可拒絕支付或者增加其他輔助認證策略。

總結

隨著互聯網，尤其是移動互聯網快速發展，密碼使用越來越頻繁，繼數字、手勢、指紋之后，人臉識別作為一種新的密碼形式開始備受推崇，刷臉登錄、刷臉開戶、刷臉取款等身份認證方式開始在大眾中普及。但是與之相伴的安全問題也不容忽。

在今年央視3·15晚會曾曝出僅憑一張照片，換個臉就成功攻破了人臉識別驗證方式，這說明人臉識別身份認證目前尚有不成熟之處，應融合更多認證方案，在兼顧用戶體驗的基礎上提高安全門檻。

作者;葉林華