前沿 电子

【论文故事】又忘记密码了?换用“脸锁”试试!

死记密码?不如来认人脸! Facelock可能改变手机解锁方式

艾麦乐 发表于  2014-06-24 19:31

英国约克大学心理学系的罗布·詹金斯博士。研究者本人供图。

忘记密码,后果总是很严重——轻则让你新买的手机被锁死,很长时间无法使用,重则会让你登录不上邮箱,错过很可能非常重要的工作邮件。

这个问题的根源在于,设定的密码必须在容易记住和安全可靠之间加以取舍:简单的密码当然容易记住,但也容易被破解;复杂的密码难以破解,却更难记住。今天公布的一项全新技术,有望终结忘记密码这件事,保护你的隐私不被旁人破解。这项技术被称为“脸锁”(Facelock),巧妙利用了心理学上我们人类在人脸识别方面所具有的特长。相关的技术细节6月24日被发表在开放获取的期刊PeerJ上。果壳网就这项研究,专访了论文的第一作者——英国约克大学心理学系的罗布·詹金斯(Rob Jenkins)博士。

几十年来的心理学研究已经揭示,在识别熟悉和陌生的人脸方面,我们的能力存在本质上的不同。詹金斯解释说:“我们能够从不同的照片里轻易识别出一张熟悉的面孔,哪怕视角、灯光甚至表情让这张脸看起来非常不一样。但是对于陌生的面孔,就很难认出谁是谁了。事实上,同一张陌生的面孔在不同的照片上看起来往往像是不同的人。”

对特定面孔是否熟悉,决定了一个人能不能把它从许多不同的图片里识别出来。因此,一组只有你自己才知道的熟悉人脸,就能够用来创造一把专属于你自己的“锁”。只要能够从图片中识别出这些人脸,你就能够解开这把锁,认不出就解不开。

在注册这套系统时,你需要指定一组只有你自己熟悉、其他人却不太熟悉的人脸。詹金斯等人发现,想要找出符合这一条件的一组人脸,容易得让人出乎意料。“最好的办法是把不同的专业知识领域的人混在一起。”詹金斯说,“比如,如果你喜欢爵士乐或者垂钓,或许就会认识爵士乐手或者垂钓比赛冠军的面孔——而对其他人来说,这些脸根本就是陌生人。”

这把“锁”由一系列人脸拼图构成,每组拼图里都有一张面孔是你熟悉的,而其他面孔对你来说都是陌生人。只要简单触碰每组拼图里你熟悉的那张面孔,就能够通过身份验证。对你来说,这根本就是小菜一碟,因为熟悉的面孔你一眼就能够认出来。然而,其他人看到同样的拼图就会遇到问题,因为所有面孔看起来都同样陌生。

这些人脸里,哪一张是你熟悉的?或许不久之后,这种方法将取代手机里现有的解锁方式。研究者本人供图。

詹金斯说,他们不会使用诸如电影明星之类名人的脸,因为这些面孔有太多的人熟悉了。那么,能不能使用“虚拟”的人脸,比如卡通版的“猫和老鼠”或者漫画版的“超级英雄”呢?对于果壳网提出的这个问题,詹金斯表示“我们还没有试过卡通版的面孔。我担心没有足够多的卡通形象供我们挑选。许多卡通形象,比如猫和老鼠,还有超人,都太过大众化了,不适合用到这个系统里来。”

基于熟不熟悉而建立起来的身份验证系统,拥有几个优点。与基于密码的身份验证系统不同,基于熟不熟悉的身份验证方法不需要你去记住任何东西,而且也不需要你认出那些面孔都姓甚名谁。唯一需要你做的,是指出哪张脸看起来不陌生。心理学研究已经证明,一张熟悉的面孔事实上不可能变成陌生人,因此这个身份验证系统自然就不存在“忘记密码”这回事儿。在这项研究中,用户甚至在一年之后都能够轻易通过身份验证。相比之下,不常用的密码几天内就会被忘记。

除了很久都不会“忘记密码”以外,对一张面孔是否熟悉也极难仿冒。这就使得这套系统很难被恶意破解。在研究中,詹金斯等人要求自愿者充当破解者,在观察别人利用4张面孔成功解锁的过程之后,尝试在类似的人脸拼图中挑出同样的4张面孔。只要在拼图中换用同一批面孔的不同照片,破解者就只能认输了。而对于熟悉这些目标面孔的用户来说,再把这些人脸从一大堆照片里识别出来则是轻而易举的。

你可以轻易从不同的照片里认出熟悉的面孔。可是对于陌生的脸,可能换个表情,你就认不出来谁是谁了。研究者本人供图。

如果有人对你非常熟悉,或者通过社交网络仔细研究过你,会不会也能熟悉你所熟悉的面孔,从而破解脸锁呢?对于果壳网提出的这一担忧,詹金斯说,“没有一种密码系统是完美的。理论上,如果破解者对你选择的所有面孔都够熟悉,他登录你的账户就不存在任何问题。这就相当于破解者拿到了你的密码。”不过他也指出,“在我们的实验中,就算是跟用户非常亲密的其他人,也很难成功破解用户的密码。这表明,仅仅是了解一个人,还不足以破解他的脸锁。”

詹金斯说,“不认识一张脸却假装你认识,就好像不会说一门语言却假装你会说一样——根本就行不通。唯一能够可靠识别那些人脸的系统,就是对它们都很熟悉的那个人。”

可是,那些脸盲症该怎么办?詹金斯表示,他们还没有考虑过这个问题。“不过我认为,脸盲症患者会发现这套系统非常难用——想要登录自己的账户就好像想去破解别人的账户一样困难。”他说,“不过从另一方面讲,也存在一些文本识别方面有困难的人群。对于他们来说,基于人脸的密码系统可能就会特别有用。”

这项初步研究将面部识别的认知科学与计算机科学中的安全身份验证巧妙结合在一起,又能够与人类记忆的长处和局限相辅相成。詹金斯希望,软件开发者现在可以采用这一框架,将它转化为实用的app,同时其他专家也会来优化这套系统的可用性。

如果一切顺利的话,你或许很快就能在手机上看到这样的解锁系统了。(采访:Jerrusalem,编辑:Steed

参考文献

  1. Jenkins et al. (2014), Facelock: familiarity-based graphical authentication. PeerJ 2:e444; DOI 10.7717/peerj.444

热门评论

  • 2014-06-24 20:14 乔百念

    建议采用棒子明星的脸,安全可靠难以破解。

    来自NOKIA Lumia 920
    [35] 评论
  • 2014-06-25 12:06 helium_he

    感觉上和“密码问题”差不多嘛……

    比如“你父亲的名字”、“你小学的暗恋对象”、“你的第一个网名”、“你最喜欢的AV女星”组合一下,基本上也就行了啊……

    [6] 评论
  • 2014-06-25 02:47 忧伤的尼姑

    不错。但熟人作案还是很容易啊,而且女友就天天盯着这个问"喂为什么上面的人我都不认识"你就悲剧了。
    不过即使这样,这也是一个很大的进步了

    山寨果壳,你值得拥有
    [4] 评论

显示所有评论

全部评论(29)
  • 1楼
    2014-06-24 20:14 乔百念

    建议采用棒子明星的脸,安全可靠难以破解。

    来自NOKIA Lumia 920
    [35] 评论
  • 2楼
    2014-06-24 20:35 八光分

    这个棒,密码什么的能折磨死我。对于一个设置密码后需要备份的人来说,再好不过了!就是不知道什么时候才能实际应用。

    [0] 评论
  • 3楼
    2014-06-24 21:20 举报狂魔blindmouse 生物物理博士生

    林妹妹,晴雯,龄官。。。

    [1] 评论
  • 4楼
    2014-06-25 02:47 忧伤的尼姑

    不错。但熟人作案还是很容易啊,而且女友就天天盯着这个问"喂为什么上面的人我都不认识"你就悲剧了。
    不过即使这样,这也是一个很大的进步了

    山寨果壳,你值得拥有
    [4] 评论
  • 5楼
    2014-06-25 03:17 jamaicarum
    引用@忧伤的尼姑 的话:不错。但熟人作案还是很容易啊,而且女友就天天盯着这个问"喂为什么上面的人我都不认识"你就悲剧了。不过即使这样,这也是一个很大的进步了

    我有个问题:你们的女朋友真会这样?对妹子:你们真会对男朋友这样?我怎么觉得我和我认识的女生完全都不会呢!究竟什么女生会这样啊!

    [0] 评论
  • 6楼
    2014-06-25 06:11 忧伤的尼姑
    引用@huahualipo 的话:我有个问题:你们的女朋友真会这样?对妹子:你们真会对男朋友这样?我怎么觉得我和我认识的女生完全都不会呢!究竟什么女生会这样啊!

    看人,我信奉开放透明会减少生活阻力,不是人人都这样。

    山寨果壳,你值得拥有
    [0] 评论
  • 7楼
    2014-06-25 11:24 Muon
    引用@首席酱油官 的话:尼玛,晚上怎么用。前置摄像头没有补光都拍不到人。而且没有红外成像,拿照片一样能解锁。

    你真的看文章了咩……

    [0] 评论
  • 8楼
    2014-06-25 11:46 Jerrusalem

    十三泪目(捂嘴)

    [0] 评论
  • 9楼
    2014-06-25 12:06 helium_he

    感觉上和“密码问题”差不多嘛……

    比如“你父亲的名字”、“你小学的暗恋对象”、“你的第一个网名”、“你最喜欢的AV女星”组合一下,基本上也就行了啊……

    [6] 评论
  • 10楼
    2014-06-25 13:39 luck_man

    看到Obama和旁边那个人得头像对比,一切就明白了,这个设计确实很人性化,很有创意!

    [0] 评论
  • 11楼
    2014-06-25 14:02 yinliuhui

    脸盲哭了

    [1] 评论
  • 12楼
    2014-06-25 23:11 安笙

    有时候见面好多次依然认不出的脸盲星人给跪了OTZ

    [0] 评论
  • 13楼
    2014-06-26 07:43 冰火梦幻

    这是在搜集大数据吗……看看每个账号对哪些脸熟悉神马的

    话说如果能认出画面里的每一个人怎么办,是不是反而打不开了?

    [0] 评论
  • 14楼
    2014-06-26 10:54 寻觅黑暗

    某网站,让我识别八九个图片中的两个好友来登录

    可是里面有三个好友是符合的……我犹豫了好久

    [0] 评论
  • 15楼
    2014-06-26 12:42 尽可能说人话

    我现在唯一的问题是,陌生的脸好办,熟悉的脸的图片哪里来呢?靠大数据自动挖掘还是需要我上传?我得上传多少熟悉的脸才能保证同一张脸不会频繁的出现以至于被跟踪比对导致泄密呢?更何况,如果需要我自己上传若干张脸的话,我得怎么去说服我熟悉的人们都给我提供这些脸呢?而且为了防止被破解,每个人至少得来三四个脸才够吧………………想想看,假如总量需要100张脸,按每个人提供四个算,我也得问25个人要照片…………这基本上是个社交事件了好么…………

    [2] 评论
  • 16楼
    2014-06-26 17:50 亿元一只
    引用@尽可能说人话 的话:我现在唯一的问题是,陌生的脸好办,熟悉的脸的图片哪里来呢?靠大数据自动挖掘还是需要我上传?我得上传多少熟悉的脸才能保证同一张脸不会频繁的出现以至于被跟踪比对导致泄密呢?更何况,如果需要我自己上传若干张...

    我也在想需不需要自己上传这个问题,不过要照片应该不是很大问题吧,如果是亲朋好友要几张应该不难,如果是公众人物再怎么小众也能搜得到

    [0] 评论
  • 17楼
    2014-06-26 18:22 jswxdzc

    #xkcd和丰子恺的脸#

    [0] 评论
  • 18楼
    2014-06-26 21:28 尽可能说人话
    引用@亿元一只 的话:我也在想需不需要自己上传这个问题,不过要照片应该不是很大问题吧,如果是亲朋好友要几张应该不难,如果是公众人物再怎么小众也能搜得到

    不是啊,你看啊,咱们这么想。首先,不管是用谁的脸,这都有个授权的问题——脸呐,这可不是背影啥的啊。

    其次呢,隐私泄露的问题,我上传一堆我自己个认识的人的照片,这玩意基本上等于我把自己的电话本连带拨号记录都上传了啊,我的线下生活的关系网彻底交待出去了啊(不是密友怎么可能要到照片的授权?你随便拉个同事要要试试……)。

    再次呢,如果不用自己的关系网熟人的照片,咱找个明星的或者干脆是希特勒的……这么有知名度的脸混在一堆随机生成的脸里,傻子都知道应该先试哪一个啊…………这种知名度太高的脸原本就不能够隐藏在芸芸众生中间啊………………

    [0] 评论
  • 19楼
    2014-06-26 23:16 艾小伦

    看一百遍就能找出来重复的脸了哟


    脸盲一脸茫然

    [0] 评论
  • 20楼
    2014-06-27 00:42 亿元一只
    引用@尽可能说人话 的话:不是啊,你看啊,咱们这么想。首先,不管是用谁的脸,这都有个授权的问题——脸呐,这可不是背影啥的啊。其次呢,隐私泄露的问题,我上传一堆我自己个认识的人的照片,这玩意基本上等于我把自己的电话本连带拨号记录...

    。。。好吧,上传熟人的脸确实问题很多,而且被熟人破解的几率也大,看来还是用非自己圈子里的人比较靠谱。不过关于这个“公众人物”,我感觉原文的意思正是要我们避开太大众化的人,应该用比较小众一点的,对你自己有个性化意义的人,比如你学校的某个主任(学校网站上肯定有照片),你喜欢的某游戏公司的老总,你特别关注的某条新闻里的人(比如本地瓜农第一大户之类的)。。。这么一来就算是熟人也很难破解,除非他跟我是同个学校,跟我同对某游戏痴迷,跟我同对某奇葩新闻特别在意,总之是经历和兴趣爱好完全一致才有破解的可能,否则就算知道我哪个学校的也不会认识主任吧,就算知道我喜欢某游戏也不会认识老总吧,就算被我提过某新闻也只会一笑了之吧。。。嗯,我举例比较捉鸡,你能大概看懂就好。如果是用这种方式确定密码倒是方便又靠谱得多。

    [1] 评论
  • 21楼
    2014-06-27 01:01 尽可能说人话
    引用@亿元一只 的话:。。。好吧,上传熟人的脸确实问题很多,而且被熟人破解的几率也大,看来还是用非自己圈子里的人比较靠谱。不过关于这个“公众人物”,我感觉原文的意思正是要我们避开太大众化的人,应该用比较小众一点的,对你自己...

    但是这样的话,对这些脸的使用毫无疑问的是侵权行为啊…………真是自己老爹老妈老婆孩子的,要个授权还有可能,像你说的这种关系,绝逼不可能拿到授权啊。

    授权问题是一方面,好吧,咱们不管这个了,就这么干了。还有个样本数量问题。咱们举个最极端的例子,假设我只上传了一张图片用来作为验证密码,那么你最少只需要看两次就能知道密码是哪张(就这张一直在出现么……)那么要达到一个足够的强度(假设需要保证五十万次不重复)想想看呐,这得是多么恐怖的一个需要我提供的数据量啊…………

    而且这个模式中,因为系统无论如何都需要把正确的图片混在其它图片中展示出来备选,而正确的图片数量是有限的,是个有限集,所以只需要不断的刷新,不需要太长时间就肯定能够刷出可用的图片来——我还不需要把正确的图片集全刷出来,只要刷出一个来够用就成了。

    [0] 评论
  • 22楼
    2014-06-27 07:28 亿元一只
    引用@尽可能说人话 的话:但是这样的话,对这些脸的使用毫无疑问的是侵权行为啊…………真是自己老爹老妈老婆孩子的,要个授权还有可能,像你说的这种关系,绝逼不可能拿到授权啊。授权问题是一方面,好吧,咱们不管这个了,就这么干了。还有...

    关于肖像权我觉得一没拿照片诋毁人名誉二没用作商业用途,所以不能算侵权吧,不然随便一个把男神照片当手机桌面的不是都侵权了。。

    对于样本数量问题,我也觉得很疑惑,不过确实是我们也不知道这个软件具体的操作方式,可能它会建议你传至少10张照片,也可能根本不是自己传,而是输入名字后系统自动在网络上匹配然后再让你筛选。

    不过这种模式还是会有别的问题,比如万一我的兴趣爱好改了,想替换人会不会很麻烦?比如我设成密码的某个小众明星突然爆出丑闻让我粉转黑,再也不想见到他,那是不是需要一个“垃圾桶”的功能?。。。

    [0] 评论
  • 23楼
    2014-06-27 11:48 爱抚

    脸盲哭着飘过

    [0] 评论
  • 24楼
    2014-06-27 14:32 尽可能说人话
    引用@亿元一只 的话:关于肖像权我觉得一没拿照片诋毁人名誉二没用作商业用途,所以不能算侵权吧,不然随便一个把男神照片当手机桌面的不是都侵权了。。对于样本数量问题,我也觉得很疑惑,不过确实是我们也不知道这个软件具体的操作方式...

    拿男神当桌面,这个是明确不过的私用,应该不算。但是拿来做密码验证——比方说用于登录某个网站吧,这就是这个网站为用户提供的一个服务,而这个显然是经营性行为啊。并不是说必须直接拿照片卖钱才算经营性行为的。

    关于样本数量的问题,我觉得如果想拿这个东西做一个一般性的验证工具,那这个问题几乎是无解的。但是其实可以换个思路,绕开这个问题。

    咱们打个比方说,用这个来代替公司的门禁系统,你需要在一堆脸中找出你部门的同事来(还不一定是某个特定的同事,随机抽一个)以达成开门的条件。那么想进来发小广告的显然无法破解这个东西。而且这个也绕开了脸的样本量和授权问题。

    [0] 评论
  • 25楼
    2014-06-27 14:41 陈double嘉

    无论如何都觉得安全性不高啊啊啊

    [0] 评论
  • 26楼
    2014-06-27 15:41 欧阳_11101
    引用@乔百念 的话:建议采用棒子明星的脸,安全可靠难以破解。
    估计你自己也解不开了吧。。。


    [0] 评论
  • 27楼
    2014-06-27 15:41 欧阳_11101
    引用@helium_he 的话:感觉上和“密码问题”差不多嘛……比如“你父亲的名字”、“你小学的暗恋对象”、“你的第一个网名”、“你最喜欢的AV女星”组合一下,基本上也就行了啊……

    你最喜欢的AV女星。。。 人才啊

    [0] 评论
  • 28楼
    2014-07-03 11:58 wuou 果壳网副主编 [0] 评论
  • 29楼
    2014-07-15 12:53 我也一样帅
    引用@寻觅黑暗 的话:某网站,让我识别八九个图片中的两个好友来登录可是里面有三个好友是符合的……我犹豫了好久

    微信换手机之后登陆的好友验证就是这样的

    [0] 评论

显示所有评论

你的评论

登录 发表评论

作者的其他文章

更多科研事,扫码早知道

x 下载
关于我们 加入果壳 媒体报道 帮助中心 果壳活动 免责声明 联系我们 移动版 移动应用

©2017果壳网    京ICP证100430号    京网文[2015] 0609-239号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:13488674940