臉龐密碼鎖Facelocks

密碼給很多人都帶來過煩惱。假如密碼設置得簡單、易記憶，就意味著容易被人破解;假若密碼設置得復雜，固然能防范黑客，但又不容易記憶。況且各路專家都規勸網絡用戶不要把各種密碼設置得一模一樣，于是當代人需要記憶的密碼越來越多，越來越長。相信大多數人都遇到過絞盡腦汁苦想密碼的時刻。

然而，使用密碼作為安全措施成本低廉，密碼本身也易于理解，所以盡管不斷有證據表明密碼并不是絕對安全，可在更優秀的安全措施出現之前，密碼仍然是身份證明的主要機制。

然而，或許更好的安全措施已經出現。約克大學的羅伯·詹金斯與同事們提出了一種以面部識別為基礎的“臉龐密碼鎖”（Facelock）。與現有的密碼手段相比，新方法究竟有何優勢呢？

探索面部識別的潛力

我們的大腦也許不擅長記憶一長串的任意字符，但它們很擅長記憶和認出一張張臉。

人類擁有認出自己相識的人的臉龐的本領，即使我們已經很久沒見過他們;就算是一張畫質粗糙的照片，照片里人的模樣與以前不太一樣，仍然可以認出他們，譬如戴著太陽眼鏡，腦袋上的帽子壓得遮住了臉龐。“臉龐密碼鎖”試圖讓這種能力整合成為一套身份認證機制。

假如我們熟識某人，我們通常能輕松地從圖片里認出他們，無論圖片畫質有多差。然而，這種能力并不會擴大至不熟悉的臉龐。如果我們不認識某個人，我們會發現分辨同一個人的兩張不同照片是很困難的。

這就是研究者提出的身份認證機制的理論基礎。假如有人試圖證明自己就是杰克，就要在他面前呈現一系列網頁，每張網頁上有九張臉龐，其中只有一張是杰克的朋友。要證明他是杰克，他必須選中每張網頁里杰克所認識的那個人。

值得指出的是，此類密碼識別手段并不是新文明。類似的手段諸如在設置階段，用戶要在面前呈現的臉龐中選擇若干張臉。在登錄時，必須要選中早先挑選出的臉龐。“臉龐密碼鎖”與以上方法的本質區別是，它允許使用者選擇自己熟悉的臉龐，而其他人不太可能認識這些臉。

“臉龐密碼鎖”的優勢

研究者給出了令人信服的統計數據，以表明“臉龐密碼鎖”的安全性和優勢——受試者找出熟悉臉龐的準確度達97.5%，而潛在的網絡攻擊者的準確率不到1%。研究也證實了，人類擁有認出我們認識的人的臉孔的能力。先讓受試者選擇他們感興趣的人物臉龐，即使在一年之后，受試者仍然能辨識出這些臉龐，準確率達86%。

“臉龐密碼鎖”這種方法也存在一些弱點。研究者猜想，假如有人非常了解我們，他們或許也能正確解鎖。有趣的是，事實并非如此。受試者的配偶和密友在辨識受試者所熟知的臉龐方面的表現很差，成功率僅有6.6%;受試者的同事或那些站在受試者背后、可能看到選擇過程的人的表現甚至更差。因此，人類的這項能力似乎滿足了身份認證機制的另一項要求：唯一排他性，就連我們身邊最親近的人也無法準確辨識出我們自己所熟知的那些臉龐。

缺陷依然存在

正如前文里提到，類似于“臉龐密碼鎖”的手段已經存在多年，但在這種系統成為切實可行的密碼手段之前，仍有其他問題需要解決。

最主要的問題是，建立該系統可能會耗費極大的人力。該如何為這個系統挑選圖片？使用知名人士的照片不合適，使用不太為人所知的人物照片才行。另外，同一個人的照片應有所區別，這樣對于任何不熟悉此人的人來說，才構成挑戰。但如何判定兩張照片的差異性足夠大也是問題。所以，建立這樣的系統絕對不像建立一套密碼安全系統一般簡單。

除此之外，還存在其他的問題。譬如這套系統能否經受住暴力破解法？即網絡攻擊者嘗試每一種可能的組合，直至找到正確的組合。有些系統會強迫用戶定期修改密碼，那么“臉龐密碼鎖”使用的照片應不應該時常更新和改變？如何保證這些照片的安全性？面部識別軟件對于“臉龐密碼鎖”是否具有威脅也有待考量。

按照研究者的想法，比密碼更優秀的信息保護手段已經問世。這個想法聽上去自然有趣，將這樣的系統付諸實施要面臨的技術挑戰看起來也不是很大。然而，在實際運用之前，還有若干關于成本、照片選擇、照片保密方面的難題需要解決。所以可以說，一切都還是未知數。

[譯自美國《發現》雜志]