今年3月1日(我的生日)有條新聞在遊戲業界引起一陣小小的波瀾,詳情請見此連結,大意是說有位小六學童盜刷媽媽的信用卡並買了三十萬的遊戲點數,媽媽收到帳單後差點沒吐出六兩血,最後該婦人以「未成年人行為不具法律效力為由」向消保官投訴,最後遊戲公司與婦人兩造以15萬元和解,銀狐前輩曾在他的網誌撰文探討這件事所衍生的各種效應及看法,詳參「實名制加生物認證能解決這個問題嗎?」一文。
當時曾想就銀狐前輩這篇文章做些回應,但當時有些技術及應用問題還在摸索,但隨著這兩個月來在陸續和台灣本土遊戲公司以及中國上海的遊戲公司以及政府單位洽談後,開始有了鮮明的輪廓浮現,所以想趁《暗黑破壞神III》美服維修的這段時間來和各位網友聊聊,究竟生物辨識(本文將以人臉為主)與線上遊戲產業結合將會帶來什麼利與弊,是否有其必要性,又,推行上的阻礙及突破點會在哪?
首先本文將不探討道德面的問題,改天有空再另外討論,筆者的堂妹現在國中一年級,在她唸小學四年級的時候曾經盜刷姑姑的信用卡,在某款良家婦女最愛玩的跳舞遊戲上買時裝送給同班同學,估計沒有十萬也有五萬,那時家族裡分成兩派意見,以叔叔為首的一群親戚認為應該狠狠教訓妹妹一頓,讓她知道做的是錯事,以姑姑和我爸為首的呢,則認為是線上刷卡機制不夠嚴謹,小孩子哪懂自己在做些什麼?孰對孰錯在此就不多加討論,但以首段提到的案例來說,我是有切身經驗的,所以才在前陣子想要大力推動生物辨識導入線上遊戲認證機制,但事後發現這段過程中是有許多障礙是有待克服的。
我想從技術面(遊戲公司、原廠技術者兩方)以及應用面(使用者及遊戲公司兩方)來討論這個問題。但是在此之前我想讓各位網友瞭解一下現今台灣發展的人臉辨識技術到了什麼程度。
◎人臉辨識不只是像Facebook那樣Tag人臉而已。
首先我們可能要感謝內政部移民署在桃園機場導入「人臉辨識快速通關」系統,讓人臉辨識跳脫出傳統的照片Tag以及嵌入式企業門禁考勤機或筆電開機的窠臼,搖身一變成為2012年度最熱門的應用之一,現在人臉辨識已可結合Web Cam及IP Camera來應用在各種你想的到的領域,當然包括了Android手機與販賣機或任何你想的到的地方。
這裡所提的Android手機並非指Android 4.0的解鎖系統,而是不久的未來你可以像「不可能的任務4」那樣拿起手機照某人的臉,然後就知道他是誰,其實這項系統已經問世了,詳情可參考底下的影片。
http://www.youtube.com/watch?v=yPUwkBvIwW8
也就是說只要有鏡頭,你就能收到各種與與輸入帳號密碼或ID相同的效果,因此,我們也理所當然地可以用人臉來登入網頁帳號,像底下這個網站,目前就可以選擇使用傳統的信箱登入,或是試用人臉特徵來登入帳號。
◎為何要用人臉辨識來登入網頁或程式?
最八股的理由當然就是「提升安全性與方便性」,因為卡會不見,序號會被破,密碼會忘記,我的奶奶已罹患老人失智症,估計我爸再過不久也會記不得自己天堂二的帳號(他現在是公會的會長),所以對於長輩來說若能用臉登入自然是再方便不過的,臉只有一張,沒得盜也沒得改。
我曾經提案給Nexon跟NC Soft過,想當然爾是石沉大海,原本天真地以為人臉辨識搭配實名制是天衣無縫的規劃,即使你的帳號及密碼給人盜用了,但是只要在登入的最後一道關卡(客戶端或網頁端)加盎一道人臉辨識的高牆,就能防堵悲劇的發生,可是實際上困難重重,稍後再談。
試想,一般人帳號被盜以後看見角色倉庫被清空固然難過,但要是連密碼都被改掉才是真正痛苦的開端,你得向遊戲公司申請一堆文件,待他們認定你是本人後才會進行後面一拖拉庫的麻煩手續(我每次想到自己忘記帳密而得傳真給遊戲新幹線時就渾身發懶),這一切只要在最後加上人臉辨識就能解決了。
◎好笑,用照片不就能騙過系統了?
如果在2011年,這確實是正確答案,但如今許多廠商已經提供「Live Detection」的技術,開啟這項設定以後,不管你用解晰度多高的照片都沒用,只要系統認定鏡頭前的影像是平面影像的時候,就不會進行辨識(但會進行偵測 – Detection),這項技術未來會陸續導入某些廠商的硬體裡。
而且現在的技術是不受髮型及穿戴眼鏡的變化所影響的。
◎如果這麼方便與安全,為什麼這項應用無法普及?
因為坦白講,人臉辨識最大的變因來自於光線的變化,如果網友們有看到個日本節目(矛與盾的對決),就會發現人臉辨識系統已經可以判別雙胞胎了,而這項判斷的前提在於極高的「信任度」參數,也就是當系統判斷乙君的臉與甲君並非98%以上相像時,那麼他們就是不同的個體。
換句話說,因為光源造成的變化也可能讓系統判定你並不是原先的使用者(黑人與白人不一樣啊,取得的特徵值也會有所影響),所以對於使用者來說,當你急著要登上線出團的時候,卻因為光源的不同而無法登入時,就會抓狂,而玩家一抓狂就會打電話到客服單位幹譙,當客服花時間接聽你的電話聽你臭幹的時候,就造成了客服成本的支出,而當公司原先導入人臉辨識系統是為了節省客服成本,最後卻反而得付出更多成本來解決客訴問題的時候,那就本末倒置了。
具體來說,你可能在家裡的日光燈環境下建檔,但到了網咖以後在昏暗的燈光下就可能因為無法辨識成功而登不了你的遊戲,WTF?我幹嘛為了安全性讓自己連遊戲都玩不了?
◎這項問題無法解決嗎?那人臉辨識還發展個毛?
其實是可以的,現在已經可以透過Merge的技術來讓一位使用者建立多個人臉Template(特徵),你可以在家裡建一個,在常去的網咖建一個,在女朋友的家建一個,在學校的計中建一個,在公車上建一個,然後通通Merge在一起,這些人臉特徵都是你,你可以在各個不同的場所以你的臉登入帳號。
◎聽起來很不錯,所以其實還是可行的嘛?
是不錯,各位可以看看底下這支影片,這是實際以人臉登入Ola!365的影片,因為這個網站牽涉的金流,所以選擇以「1:1比對」的方式來做辨識,所謂的1:1就是確認你這張臉是不是這個密碼或UID的主人,如果是,就登入成功,如果不是,就失敗。
http://www.youtube.com/watch?v=FYhPZ4byvI4
但敏銳的你應該會想到一個問題,遊戲公司的會員數動輒數百萬人,在這一百萬名使用者中,一定有數以萬計的人會用到重覆的密碼,比方說「12345678」(遊戲公司都要你輸入八碼),那這一萬名密碼相同的使用者中,萬一很不幸地有兩人的特徵值相近,那麼是否有可能會誤登呢?
可能發生,也可能不會發生,因為我們可以透過提升信任值來降低這項風險發生的機率,但相對的,如果提高信任值,也意味著驗證時間會相對拉長,對於使用者來說這可是發火的好時機,你可能會在光纖時代體驗到撥接時代的登入速度。
◎那麼遊戲公司只要將這項機制開放給願意申請與體驗的使用者來用就好啦
就像通訊鎖一樣,公司方可以採自由選用的方式讓使用者自己決定要不要加掛這項機制,你真的很怕帳號被盜的,那就申請個人臉鎖,你很怕信用卡被盜刷的,就加裝個人臉驗證機制。
但人臉辨識的運算需要專用的Server,這個Server由誰維護?發生誤判時責任歸屬在誰?遊戲公司?技術提供者?使用者承擔風險?
這都是需要從長計議的話題。
◎所以講了這麼大一串都是說空話?
倒也不然,就像通訊鎖廠商一樣,只要未來某家人臉辨識廠商有辦法自建機房,提供穩定的服務,而遊戲公司或銀行業者只是做簡單的介接服務的話,自是可行的,在可預見的未來,我認為人臉辨識導入到金流服務的驗證,遊戲帳號的驗證依然是可行的,因為演算法不斷地精進,辨識技術也不斷地改善,就算不應用在Critical的登入服務上,至少也能應用在次一級的帳號安全防護上(你盜的了我的帳號,但至少看不見我的資訊,也不能做任何修改)。
就我所知,目前海外有不少業者正在尋求這方面的解決方案,只是細節都還在磋商當中,科技來自於人性,現在筆電普及率極高,每台筆電都有網路攝影機,而現今人臉辨識系統只要有VGA(640 X 480)的畫質就能精準地識別,所以不啻為一項可行的方案。
本文僅就目前人臉辨識在Web Service上的應用提出一些見解與資訊分享,還望各位業界先進批評與指教,如有網友想更深入人臉辨識的應用與技術相關問題的話,歡迎留言給我。