正如我在对相关问题的回答中明确表示的那样，我不是生物识别技术的粉丝，而且我认为当前的研究与我的观点一致，尤其是面部识别是一种糟糕的身份验证机制。

话虽如此，密码也有问题。用户不善于选择好的密码，用户重复使用密码，用户将密码写在纸上或文本文件中。第一个问题可以通过密码规则得到缓解，但密码规则也可能使问题变得更糟。其他问题只能通过教育用户来缓解，这既昂贵又容易出错。

生物识别技术不存在这些问题。安全性完全掌握在自己手中，用户没有办法搞砸。

正如新闻稿中所述，新功能与应用程序相关联，因此可以公平地假设身份验证机制基于两个因素（您拥有什么 - 你的手机 - 以及你是什么 - 你的脸 - ）。

由于该过程使用 2FA，因此使用生物识别技术可能足够安全。虽然看起来银行业务应该比其他交易更安全，但从历史上看，它们相当薄弱（卡的 4 位密码，密码限制为 8 个字符或更少，等等）。任何安全漏洞的处理方式都不同（交易逆转等）。关于“提高安全性”的讨论可能只是营销。

考虑了一会儿，我可以看到万事达卡的观点，但我想说“比密码更安全”的事情可能只适用于他们的商业模式和密件。

首先，请记住，您过去使用信用卡付款的方式是将其交给商店中的某个人，他们会实际创建一张信用卡的擦写副本，然后您就可以离开了。对你来说根本没有风险，如果后来发现信用卡被盗，信用卡公司的风险很大。但风险是可控的，因为大多数卡都没有被盗，而且偶尔被盗的卡并不能过多地抵消收益。

随着电话和在线支付系统的出现，现在情况变得更糟了——你不必拥有一张看起来合法的卡，你所需要的只是一个名字、一个卡号，可能还有一个邮政编码。所有容易被窃取、查找和在线共享的东西。我不确定，但这一定大大增加了信用卡公司的风险。

如果万事达卡可以建立自己的智能手机应用程序作为您使用信用卡付款的主要方式（通过使所有相关方都非常容易），那么被盗的抄送详细信息就会少得多。

自拍/应用组合的东西不一定要完美。它甚至根本不需要非常安全。是否可以通过在相机前拿着某人的照片等来欺骗应用程序并不重要，因为它关乎大局——而且在大局中，信用卡窃贼目前不会从人们的钱包，然后在互联网上出售——他们从被黑的在线数据库中窃取了数百万的信用卡详细信息。所以这是他们最需要应对的威胁——与此相比，担心人们的智能手机被熟人偷走或滥用似乎并不重要。

因此，如果你的邪恶双胞胎设法欺骗你的应用程序让他买东西，或者几个骗子说服一些熟人借他们的手机并设法用支付应用程序给他们拍照，信用卡公司不会在意- 它会做它一直做的事情，并补偿受损的一方（然后愉快地从邪恶的双胞胎/熟人那里恢复损失，因为作恶者现在与受害者有社会联系，因此更容易识别 - 但这是一个旁白） . 它真正关心的是它因被盗的抄送信息而遭受的巨大损失，并且在每个客户的智能手机上安装一个用于在线支付的相当安全的应用程序，而不是客户将其抄送详细信息交给一百个不同的在线商店，将大大减少信用卡公司的风险。

所以我想说这不是关于自拍是否比密码更安全——我认为他们这样做的真正原因是因为自拍比在智能手机键盘上输入密码更快、更容易，并且可能对用户足够友好，以便使用您的智能手机应用程序进行支付，而不必登录在线帐户并输入您的 cc 详细信息，这对于许多 cc 所有者来说变得更可取。

正如蒂姆指出的那样，人脸识别实际上是双因素身份验证的一部分，而另一个因素是拥有手机。这减轻了使用生物特征进行身份验证的一些众所周知的问题。

但是，这远非安全：

• 可以物理访问您手机的人也可能可以访问您的照片（和视频）以在相机前举起。人脸识别是否足够好，不会被愚弄？
• 那么字面上的邪恶双胞胎呢，或者只是一个看起来很像你的兄弟姐妹呢？拥有您手机的人看起来很像您的机会高于随机陌生人的机会。
• 借朋友的电话，说你没电了，需要发短信。启动他们的银行应用程序，然后到达需要照片进行身份验证的地步。“哦，我喜欢你的新发型。我想告诉我的理发师我也想要同样的发型。” 折断。

最后一个可以缓解（只允许使用前置摄像头，并清楚地表明手机处于身份验证而不是摄像头模式）。但是前两个是很难做的。

这取决于面部识别系统的实施。传统的实现很可能不如密码安全。

正如您在Wikipedia 页面上看到的那样，有一些面部识别技术旨在防止您建议的攻击，即 3 维识别、皮肤纹理分析和热像仪。在手机和 PC 上，第一个和第二个选项是可能的，而第三个则不是（至少目前是这样）。

这些技术应该用作生物识别标识符，并且被认为很难伪造。尽管一些论文 ( 1 , 2 ) 另有主张或持怀疑态度。

如果我可以选择，我会等几年看看这是否真的安全。