人臉辨識真的安全嗎!? 3D列印頭像成功騙過Samsung S9，但iPhone X擋住了

就在手機的人臉辨識功能愈來愈普及之際，美國福布斯（Forbes）雜誌的資安記者Thomas Brewster與專門打造3D掃描及列印的英國業者Backface合作，以他自己的3D列印頭像來測試多款Andorid手機與iPhone X的人臉辨識機制，結果只有iPhone X成功挺住了，LG G7 ThinQ、Samsung S9、Samsung Note 8及OnePlus 6等Android手機通通被3D列印頭像騙過而解鎖。

Brewster表示，其實不管是LG或是三星都曾警告人臉辨識只是一個相對方便且快速的安全機制，但它的安全性比不上密碼、PIN碼或圖形解鎖，最好只將它作為第二個辨識機制。

三星則直接坦承，一個跟你長得相像的人可能可以透過人臉辨識解鎖你的裝置，若要限制Samsung Pay或Secure Folder等服務的存取，最好使用更安全的指紋或虹膜辨識。

而OnePlus 6則未提供任何警告，且在測試中也是最快接受假頭像的裝置。

蘋果在去年隨著iPhone X的問世發表Face ID人臉辨識功能時，即說它可用來安全地解鎖iPhone，以啟用Apple Pay或其它安全程式，而且只有在使用者看著手機時才能解鎖，並可避免被照片或面具欺騙。

不過Face ID可能也沒有Brewster或蘋果所以為的那麼安全，去年底越南資安業者Bkav就以150美元的材料費打造了一個仿真的面具，成功騙過了Face ID，沒多久又有一名母親發現她的10歲兒子通過了她iPhone X上的Face ID認證。

蘋果則說，Face ID的安全性優於Touch ID，一般而言，以他人的指紋可成功解鎖Touch ID的機率是5萬分之一，但以他人的臉孔成功解鎖Touch ID的機率則僅有100萬分之一，如果是雙胞胎、長相相似的兄弟姐妹，或者是13歲以下的兒童則會有更高的機率，建議有疑慮的使用者改採密碼來進行認證。

其實Brewster還順便以3D列印頭像測試了微軟Windows Hello的生物辨識功能，亦未被Windows Hello接受。不過去年底還是有人只用大頭照就騙過了Windows Hello。

相較於指紋或人臉辨識，6位數密碼可能還是最安全的認證機制，猜對4位數密碼的機率為1萬分之一，但猜對6位數密碼的機率為100萬分之一，而且猜錯3次就會被鎖住。