人臉識別（facial recognition）是最廣泛且常見的生物識別（biometric）存取控制技術之一。相較于其它生物識別系統，人臉所提供的信息涵蓋更多樣化的應用。這些信息可用于確認個體的性別、種族、年齡甚至情緒狀態。人臉識別技術之所以大行其道的主要原因在于大家已經習以為常；社群媒體鼓勵使用者在線上上分享其臉部照片，讓使用者對于人臉識別這一概念倍感自在。由于人臉識別技術的本質（收集的信息能被廣泛應用），確保系統能穩定、有效且安全地識別個人身份至關重要。然而，透過人臉識別技術達到安全存取控制極具挑戰性；必須考慮到惡意攻擊存在著多種切入點，例如詐騙、圖像控制、運行時篡改，甚至竊取圖像等。

本文將重點討論與蘋果（Apple）最新旗艦級手機iPhone X人臉識別系統有關的安全問題。iPhone X的Face ID如何運作？Apple已經發表了一篇《Face ID安全性》(Face ID Security)的文章，但由于本文截稿前還沒拿到這支手機，以下是從近期媒體報導整理的重點：

1. 使用者每次面對手機時，通過“泛光傳感元件”檢測人臉，即使在黑暗中也能順利進行；

2. 紅外光攝影頭捕捉紅外光圖像；

3. 點陣投射器能在使用者的臉上投射3萬多個紅外光點；

4. 捕捉到的紅外圖像和點陣圖形會在神經網絡建構出使用者人臉的數學模型，即網格(mesh)。這款神經網絡采用Apple全新的A11仿生芯片(A11 Bionic)，專門用于處理Face ID；

5. 在運算過程中，手機會將使用者人臉的深度信息傳送至處理器進行檢測，經由數學計算比對是否與裝置內儲存的人臉特征相符；

6. 如果兩者相符，使用者的身份便得到驗證，手機就會解鎖。

Apple iPhone X的Face ID技術采用3D結構光方案，支持點陣投影器與紅外光攝像頭，即使是在黑暗環境下仍能實現精確的人臉識別值得注意的是，在這個驗證過程中，手機也會進行檢測，確定使用者是否注視著手機。使用者在什么情況下使用Face ID？若要使用Face ID，使用者必須先設定密碼來配置其iPhone X手機。在那之后，使用者的臉部就能夠用于解鎖手機，而不必再輸入密碼。然而，在一些情況下，使用者將無法僅用其人臉解鎖，而必須輸入密碼以進行額外的安全驗證。這些情況包括：

- 第一次解鎖(即裝置剛開機或重新啟動時)

- 裝置超過48小時未曾解鎖

- 過去156小時(六天半)內未使用密碼來解鎖裝置，且最近4小時內未以Face ID解鎖

- 裝置受到遠端鎖定指令

- 比對臉部失敗超過五次之后

- 使用者按下暫時停用Face ID的硬體按鍵(直到下一次解鎖以前)

驗證功能安全嗎？能有效打擊黑客嗎？當然，沒有任何一種身份驗證系統是無懈可擊的。在iPhone X 新機的發佈會上，Apple全球市場行銷資深副總裁Phil Schiller表示，一部iPhone X隨機被人群中的一個人用人臉識別意外解鎖的機率是百萬分之一。他說：“有關Face ID的類似統計呢？大概是一百萬分之一。在隨機人群中，因為看到你的iPhone X就會因他們的面孔而使手機被解鎖的機會大約是百萬分之一。當然，如果那個人和你有著密切的遺傳關系，統計數字就會下降。所以，如果您碰巧有一個‘邪惡的雙胞胎’，就可能通過Face ID來解鎖你的裝置。因此，你真的需要用密碼來保護敏感的資料。”

Apple在一次直播活動中即指出雙胞胎或者長相相似的使用者之間可能互相解鎖。因此，用戶在把手機交付他人保管時要加倍小心。

相較于Apple的指紋生物識別技術Touch ID，Face ID的統計數字在驗證強度方面已經大幅提升了；Touch ID在隨機以他人指紋意外成功解鎖手機的機率約50000分之一。然而，“獨一無二”只是有關生物辨識驗證的許多考量之一。無論是五萬分之一或百萬分之一，手機被竊取后又被意外成功解鎖的機率都是微乎其微的。事實上，我們應該更關注的是黑客是否會輕易地攻破這項技術。大家都知道，黑客先前曾經使用非常先進以及成本高昂的技術破解了Touch ID，但一般偷竊手機的小偷不太可能具備這種資源。而即使是有時間與資源的組織黑客，要能破解手機的Touch ID也需要先竊取或復制手機用戶的指紋。盡管要取得一個人的指紋并不是不可能的事，但比起取得他的臉部照片，當然是更困難的，尤其是社群媒體與技術如此融合于個人生活的今日，取得某人的臉部照片可謂輕而易舉。因此，Apple必須確保就算黑客取得了手機使用者的照片，也不能使用該用戶的手機。至今所發布的許多人臉識別技術都已經被一些簡單、甚至是很基本的手段就被攻破了，例如黑客可以使用打印的照片、數碼照片、經動畫處理的數字照片以及3D模型等。Apple一直在努力確保這些欺騙攻擊類型無法解破Face ID，并宣稱就算使用模擬度極高的使用者人臉3D面具也無法成功解鎖，但我們要真正使用iPhone X一段時間后才能見真章。暫時停用Face ID使用者關注的另一種情況是：“如果我是被威脅著看手機而解鎖，那怎么辦？”這情況是很可能發生的，例如遇到竊賊或執法人員對使用者作出這樣的命令。使用者只需同時按下手機正反面的按鍵，Face ID就會停止運作，直至下次輸入密碼后才會重新開機。通過這項功能，就算使用者被威脅看著手機，它也不會解鎖。支持Face ID在iPhone X手機發布會上發佈的另一項有趣信息是所有支持Touch ID的應用程序(App)都支持Face ID，這意味著iPhone X使用同樣的應用程序設計接口(API)，而且也采用了現有可用的生物識別方案。指紋識別認證一般采用“本地認證”(Local Authentication)架構，能同時支持Touch ID與Face ID。從添加功能以及提供支持的角度而言，這是相當有利的。希望緊追隨人臉識別技術潮流的企業與應用開發商不必大費周章，就可支持Face ID。然而，部分企業在批準/冒險接受員工設備使用Touch ID功能(或者是用于其外部的App Store應用程序)之前，已經先對Touch ID進行深入的分析與風險評估。但這些企業很可能不會對人臉識別技術進行風險評估或批準員工在企業中使用。現在，iPhone X才剛上市就已經讓所有支持Touch ID的應用程序都相容于Face ID，這意味著就算企業尚未批準，但使用公司裝置的員工都可以用Face ID的人臉識別功能了。有鑒于此，企業必須盡快在iPhone X上市前分析并評估Face ID，以便及時修訂有關的公司政策。

本地認證架構容許開發商確認一臺裝置是支持Touch ID或Face ID。因此，如果需要的話，也可以通過程序設計方式停用Touch ID/Face ID或者兩種應用程序的本地認證。