Il riconoscimento del volto è una buona caratteristica di sicurezza?

74

Ho trovato che questo tipo ha caricato un codice di riconoscimento facciale con un commento che ha "Mi piacerebbe usarlo" come funzionalità di sicurezza ". Questo mi ha fatto pensare; il riconoscimento facciale è una funzionalità di sicurezza valida, oppure è "cool", ma non è un modo molto efficace per proteggere qualcosa?

    
posta MatthewRock 06.09.2016 - 14:11
fonte

6 risposte

127

No, non proprio. Almeno non come forma primaria di autenticazione. La biometria in generale non va bene per l'autenticazione, perché:

  • Le lasci ovunque e non c'è modo di evitarlo.
  • Non possono essere modificati in caso di violazione.
  • È necessario aggiungere una tolleranza di errore elevata per non causare problemi di usabilità. Queste tolleranze portano a falsi positivi, anche senza attacchi, e rendono possibili gli attacchi.

In practice, when implementing the algorithms, they usually have to balance between [false acceptance rate] and [false rejection rate]. This makes the efficiency of face recognition the lowest of all regarding the table. Its security is also lower than other biometric recognition system, especially compared to fingerprint scan.

Your face is NOT your password, Face Authentication ByPassing Lenovo – Asus – Toshiba (2009)

Non sono riuscito a trovare una dimostrazione dal vivo per quel documento, ma eccone uno da 31C3 parla di dati biometrici , che utilizza un'immagine semplice e può ignorare il lampeggiamento richiesto. Ecco un articolo di una persona che utilizza un video per aggirare un requisito lampeggiante.

Ecco un documento più recente che utilizza approcci più moderni:

In this paper, we introduce a novel approach to bypass modern face authentication systems. More specifically, by leveraging a handful of pictures of the target user taken from social media, we show how to create realistic, textured, 3D facial models that undermine the security of widely used face authentication solutions.

[...]

In our opinion, it is highly unlikely that robust facial authentication systems will be able to operate using solely web/mobile camera input. Given the widespread nature of high-resolution personal online photos, today’s adversaries have a goldmine of information at their disposal for synthetically creating fake face data. Moreover, even if a system is able to robustly de- tect a certain type of attack - be it using a paper printout, a 3D-printed mask, or our proposed method - generalizing to all possible attacks will increase the possibility of false rejections and therefore limit the overall usability of the system.

Virtual U: Defeating Face Liveness Detection by Building Virtual Models from Your Public Photos (2016)

    
risposta data 06.09.2016 - 14:52
fonte
56

È utile come "nome utente"

Abbiamo un nome per una funzione di autenticazione che non può essere facilmente modificata e viene occasionalmente mostrata a terzi: è l'ID account, il nome utente, ecc.

Anche se si desidera utilizzare qualcos'altro (ad esempio una password) come funzione di autenticazione primaria, la sostituzione dell'ID utente con il riconoscimento facciale può renderlo più conveniente (non è necessario immettere nulla) e più sicuro rispetto a quello comunemente usato ID come nomi utente o indirizzi email.

    
risposta data 06.09.2016 - 17:14
fonte
18

L'hai taggato con l'autenticazione, quindi risponderò da quella prospettiva. (Ma come Aria indica nei commenti, ha anche applicazioni in sorveglianza.)

Perché il riconoscimento facciale sia una funzionalità interessante su Facebook, ha solo bisogno di lavorare la maggior parte del tempo. Affinché sia utile per l'autenticazione, è necessario avere un tasso di errore vicino allo zero. Quasi nessun falso positivo (anche se si tratta di una persona che assomiglia molto a te, o qualcuno tiene in mano una fotografia o un modello 3D del tuo viso), e quasi nessun falso negativo (anche se hai perso molto peso o applicato qualche trucco). Questo è chiedere molto.

E come con tutte le autenticazioni biometriche, hai il problema di incorporare la chiave nel tuo corpo. Se pensavate che i cattivi che tagliavano il dito per superare lo scanner delle impronte digitali erano pessimi, immaginate cosa avrebbero dovuto fare per avere la faccia ...

Inoltre, non è possibile modificare la forma del viso (a meno di interventi di chirurgia plastica) con la stessa facilità con cui è possibile modificare una password o una chiave fisica se è compromessa.

Quindi questo ha tutti i problemi dei lettori di impronte digitali, solo molto peggio. È una cattiva idea.

    
risposta data 06.09.2016 - 14:38
fonte
4

Sono già state fornite alcune buone risposte. Probabilmente il punto chiave è che dipende dal tuo profilo di rischio. In alcune situazioni, il riconoscimento facciale può essere un controllo conveniente che è adeguatamente efficace per quella particolare situazione, ma per molte altre situazioni è necessario includerlo con altri controlli prima che fornisca un livello adeguato di protezione. Per esempio, potrei decidere che il riconoscimento facciale va bene sul mio computer di casa o potrebbe essere adeguato per il mio salvaschermo, ma non è sufficiente per un accesso iniziale o sul mio computer nell'ufficio open space al lavoro ecc.

L'altro punto importante da notare è che c'è una considerevole variazione nella precisione e affidabilità dei diversi sistemi di riconoscimento facciale. Ad esempio, le persone hanno dimostrato che molte delle implementazioni su alcuni dispositivi mobili di fascia bassa hanno parametri di corrispondenza ampi e variabili che possono facilmente essere ingannati da una foto o da qualcuno che sembra "simile".

Come per quasi tutti i controlli di sicurezza, domande come "X sicuro" sono generalmente la domanda sbagliata. La sicurezza deve essere valutata all'interno del contesto di destinazione. Ciò che state cercando è un adeguato equilibrio tra rischio di compromesso e convenienza. Una volta identificati i controlli appropriati, è necessario valutare l'efficacia dell'implementazione dei controlli selezionati. Se è stato valutato che, in una situazione specifica, il riconoscimento facciale sarebbe appropriato, si valuta quindi che la soluzione di riconoscimento facciale implementata opera entro parametri accettabili.

    
risposta data 09.09.2016 - 01:04
fonte
1

Dipende dalla tua definizione di sicurezza. Ad esempio, è certamente possibile utilizzarlo come elemento di sicurezza se nessuno lo sa e la telecamera mette a confronto in modo nascosto le facce degli uomini che accedono con le facce legate all'accesso e mette in guardia gli uomini responsabili della sicurezza dei disallineamenti. Ma è sicurezza attraverso l'oscurità e se un attaccante lo sa, userà mezzi semplici o complicati per aggirare s.a. mostrando una foto o indossando una maschera facciale. Lo stesso per quanto riguarda le impronte digitali e gli scanner dell'iride. La maggior parte delle cose biometriche per scopi di autenticazione funziona solo in ambiente sorvegliato quando un uomo si trova nelle vicinanze e rileva i truffatori con gli occhi, il cervello e l'esperienza, come il controllo delle frontiere, la sorveglianza della strada (se quelli indossare maschere o evitare telecamere o comportamenti differrenti vengono fermati dalla polizia) o profilare criminali. Quindi per auth. scopi in ambiente non supervisionato, è buono solo per impressionare i bambini di 5 anni.

    
risposta data 06.09.2016 - 17:47
fonte
0

No. Si potrebbe semplicemente sostituire la fotocamera con un dispositivo che risponde con un video del viso della persona. E tu lasci la tua faccia ovunque.

O esegui il sistema in una VM e connetti un driver virtuale con i dati raccolti da una videocamera del tuo volto.

Usarlo come unica misura di sicurezza è altamente insicuro e non dovrebbe mai essere usato. Forse funzionerebbe bene in uno schema di autenticazione a due fattori, ma mai da solo.

    
risposta data 06.09.2016 - 23:13
fonte

Leggi altre domande sui tag