Vi ser fram til en tilværelse hvor passord ikke er nødvendig, men det lar stadig vente på seg. Nå har sikkerheten fått et skudd for baugen.
Under årets USENIX sikkerhetssymposium i Texas presenterte nemlig fire eksperter fra University of North Carolina at Chapel Hill hvordan de har klart å lure en rekke system for ansiktsgjenkjenning.
Slik teknologi blir stadig mer utbredt skriver Wired, og er en mulighet for å blant annet låse opp Android-telefoner i stedet for å bruke et passord.
Brukte bilder fra sosiale medier
Til sitt prosjekt hentet Yi Xu, True Price, Jan-Michael Frahm og Fabian Monrose bilder av 20 frivillige fra sosiale medier som Google+ og Facebook, samt andre steder på nettet. Mellom 3 og 27 bilder av hver person ble brukt.
Clearly, the availability of online user photos is a boon for an adversary tasked with the challenge of undermining face authentication systems.
Bildene ble satt sammen til en 3D-modell av «offerets» ansikt. Det var denne modellen som ble brukt til å lure systemer for ansiktsgjenkjenning.
Ved hjelp av VR-teknologi (kunstig virkelighet) kunne de manipulere modellen til å heve øyenbryn eller smile.
Dette lurte ansiktsgjenkjenningssystemene til å tro at et ekte menneske forsøkte å identifisere seg. De utmanøvrerte dermed «liveness»-funksjonen som skal gjøre det vanskeligere å lure systemet ved bruk av stillestående bilder.
Fem avanserte systemer for ansiktsgjenkjenning ble testet, som KeyLemon, Mobius, BioID og 1U App og True Key. Sistnevnte er utviklet av Intel og fungerer på en rekke plattformer som beskrevet i denne videoen:
https://www.youtube.com/watch?v=G6E62ztowkw
Gullgruve for angripere
Ekspertene konkluderer med at offentlige bilder på sosiale medier er en grullgruve for de som ønsker å lure slike system.
Det som gjør det hele ekstra utfordrende er at jo mer robust systemet bygges, jo vanskeligere blir det å bruke, skriver de videre.
Hvis man skal hindre en papirutstkrift, 3D-printet maske, eller VR-modell fra å funke, vil systemet høyst sannsynlig svært ofte avvise den ekte brukeren. Dette vil gjøre systemet nærmest umulig å bruker.
For å unngå dette skriver ekspertene at de kraftigste systemene for ansiktsgjenkjenning må inkludere bilder som ikke er offentlige og ikke kan kopieres på en enkel måte.
– I det minste er det viktig at systemer for ansiktsgjenkjenning klarer å avvise syntetiske ansikt med lav oppløsning, skriver ekspertene.
Du kan se ekspertenes presentasjon her eller lese hele rapporten her.
Bruker du ansiktsgjenkjenning eller fingeravtrykk i stedet for passord?
Torleif
Bruker iris-scanneren på min Lumia 950. Montro hvor trygg/utrygg den er sammenlignet med ansiktsgjennkjenning og fingeravtrykk…
Geir
Mye sikrere.
mobileidworld.com/twins-windows-hello-8242/
Harald Korneliussen
Nei, ikke sikrere, hvis angriper har et bilde av din iris i tilsvarende kvalitet som det sensoren trenger.
Angrepet her går ikke på hvor unikt et ansikt er, men på at man kan lage en rimelig realistisk levende modell ut fra et statisk bilde. Og det er man blitt utrolig mye flinkere til de siste årene. Så god er sanntids face-swap i 2016:
youtube.com/watch?v=ohmajJTcpNk
Og trolig er det mye enklere å bytte ut bare iris enn å bytte ut hele ansiktet…
Erlend
Tabben er vel kanskje å bruke bilder tatt med synlig lys?
Finnes det metoder for å se blodårene i ansiktet, eller andre ting ikke synlig på klassisk kamera?
Spesielt ting utenom RGB!!
Bayfront
Det finnes så absolutt kameraløsninger som leser blodårene under huden. Derfor kan en også «lese» av temperaturer og mest interessant; temperaturforskjellene. Det er flere land som på denne måten allerede på flyplassene, «leser» av de menneskene som kommer til landet. Her er mest kjent at en søker å lese om de ankomne har feber og således kan ha «uoppdaget» sykdom; som f.eks. forskjellige influensa. Men det arbeides også på samme måte for å kunne finne frem til andre og bedre løgndetektorer.
Einar Irjan Ananiassen
Kan en halvgod løsning være å lage en «hemmelig» grimase når du tar bildene som er referansen i systemet? Da vil jo muligens systemet ikke godt det nøytrale ansiktet ditt.
Men på den annen side, så vil jo du se rimelig speisa ut om du står og lager vrengetryne til mobilen din hver gang den skal åpnes, og dette kan jo naturligvis fanges opp av omgivelsene.
Einar Irjan Ananiassen
«godta det nøytrale ansiktet ditt», mente jeg å skrive.
Anne Katrine Eikrem
Resting bitchface…😂😉
Alex
Hvorfor står det at dette er «VR» teknologi…?
VR er ikke teknologi.
Det er et system..
System og teknologi er to helt forskjellige ting.
VR systemer bygger på mange forskjellige teknologier…
Dette har ikke en gang noe å gjøre med VR…
Dette handler om 3D-tegning teknologi.
Altså verktøy for å lage 3d-tegninger og modeller.
Ståle Grut (NRK)
Hei Alex! Skal rette opp i benevningene system/teknologi om det var forvirrende.
I rapporten skriver de at de bruker VR-system som rammeverk for 3D-modellen:
og
Per Pleks
Det virker som om troen på «teknologien» har mistet grepet om virkeligheten, både blant teknokratene selv, og blant politikeren. Stole blindt på dum teknologi som ansiktsgjenkjenning er jo helt håpløst, og autonome kjøretøy er lysår unna å kunne slippes løst på det vanlige veinettet, hvis trafikksikkerhet fortsatt betyr noe-
Olav
…og fingeravtrykkscanning er enkelt å komme seg rundt.man trenger i utgangspunktet bare diverse remedier – og et fingeravtrykk. (Og hvor finner man dette – på skjermen selvsagt!)
Bjørn
Eller en avskåret finger…. huff.
roy
Bruker bare passord men det er vel fordi jeg er litt eldre… Passordene mine er lange som en sanglinje, navn på sang, eller noe som jeg husker… i Norge er det vel ikke dumt å bruke bokstavene æ, ø og å om det er mulig da?
Vi stoler alt for mye på teknologien og lar kriminelle stjele pengene våre. Hvorfor er vi nordmenn så naive at vi stoler blindt på alt som ser litt offentlig ut? Vi må alle bli mer kritiske til lure tilbud og billige varer bare for å få oss
Kuriosa
Det er i hvertfall mye lettere å bytte passord, enn biometri.
Bjørn Are Andreassen
Prøvde å lure min Lumia 950XL med foto av meg selv. Fikk ikke låst opp mobilen!
Bjørn Are Andreassen
… men nå bruker jo Microsoft iris-skanning. Er vel sikrere enn ansikt-skanning.