刷脸支付真的会变成现实么?
刷脸支付,或者说基于生物识别技术的商业应用,其实还有很长的路要走。
一个核心问题就是,所有生物识别技术相对于传统的字符密码而言,其结果都有一定的模糊和不确定性。
换句话说,密码可以认为是精确的(除去极小的网络和硬件错误几率),对就是对,错就是错;
但无论面部还是指纹还是声纹之类的认证,下面两种几率都不可能完全消除:
一是拒识率(FRR),就是把正确的身份认为是错误的,拒绝通过认证;
二是误识率(FAR),就是把错误的身份认为是正确的,允许通过认证;
目前技术较为成熟的指纹、虹膜、静脉对此已经控制得较好,起码两个几率都要降到1%以下才算勉强合格。
而面部识别、声纹、笔迹、键盘录入习惯等等都还不够成熟,只能作为其他认证方式的辅助,想靠它独立识别用户身份的话还差很远呢。
(想象一下在韩国推广刷脸支付的情况)
从商业角度来说,用生物特征代替字符密码的主要目的是增加便捷性,其次才是增加安全性。
一般情况下,便捷与安全是冲突的。
提升安全往往会降低便捷,比如网银U盾;
提升便捷也会降低安全,比如浏览器的「记住密码」;
如果做的不好,两者都会降低,比如某些城市漏洞百出的地铁安检。
具体到指纹识别的话,设备和技术不变的情况下只调节参数,那拒识率和误识率肯定会一升一降,不可能同时下降。
想同时提高两者,或提高一个的同时保持另一个不降低,那就需要不小的技术进步才行。
有人认为生物特征是不可复制的所以很安全,毕竟手指、眼睛和脑袋都带不走,日常生活中也不太可能像电影里那样一刀砍下来血淋淋地拎着去冒充身份。
但他们忽略了一点,这些信息被扫描之后数字化,就可以复制了。
而且就算经过加密,一旦大规模应用开来,无论是本地缓存还是互联网传输,或是分布于各家支付机构的服务器上,很难保证没有任何一个节点出现疏漏。
一旦信息被人盗走,生物特征的另一个属性就会带来灾难性的安全隐患:它是不可更改的。前些年的一些大规模密码泄露事件之后,到处都在提醒用户修改旧密码。
但指纹信息、面部识别信息泄露了,怎么改?它会成为终身隐患,某个手指永远也不能再用于电子支付,不整容一辈子都不敢刷脸。
近些年在生物识别领域搞探索的公司都比较谨慎,这是正确的。比如苹果和三星HTC华为等厂商都只把指纹识别应用到移动设备解锁上,没有到处开放接口,信息也不上传而是加密保存在本地,最近支付宝才小心翼翼地试水指纹认证小额支付。
我当然期望能不带卡不输密码就能让整个世界一眼认出我。
但现实是,这个领域发展得慢一点比快一点好,步子迈得太大,可能会给整个行业带来不可逆转的损失。