Membuktikan Keberadaan Asli: Tiga Tingkat Keamanan

Anda mungkin pernah mendengar istilah 'Keaktifan' yang digunakan dalam pasar otentikasi. Tetapi pernahkah Anda mendengar tentang 'Kehadiran Asli'? Di iProov, kami sering menggunakan istilah kehadiran asli (dan bukan hanya karena kami yang menciptakannya.) Istilah ini dicetak di selebaran kami, barang curian kami... kami bahkan memiliki #genuinepresence yang dicetak di kaos.

Mengapa Keberadaan Asli itu penting?
Menentukan Keberadaan Asli sangat penting untuk melindungi identitas digital. Tanpa Jaminan Kehadiran Asli, klaim otentikasi palsu massal dapat dan akan diloloskan. Serangan yang tidak terdeteksi akan ditingkatkan dan identitas digital dikompromikan.

Apa yang dimaksud dengan Kehadiran Asli?
Otentikasi Biometrik Online terdiri dari tiga tingkatan keamanan.
Keberhasilan otentikasi biometrik yang aman ditentukan oleh kombinasi dari:

• Pencocokan - apakah ini orang yang tepat?
• Keaktifan - apakah ini orang yang nyata?
• Real-Time - apakah transaksi ini sedang terjadi saat ini?

'Kehadiran Asli' mengacu pada solusi yang menggabungkan ketiga tingkatan tersebut. Sementara sebagian besar pasar masih bergulat dengan Liveness - para penyerang dunia maya sedang mengeksplorasi bentuk serangan baru yang dapat diskalakan yang mem-bypass deteksi Liveness.

Jadi, mari kita uraikan tentang Genuine Presence... tingkat demi tingkat.

Pencocokan Wajah: 'Orang yang Tepat'

'Pencocokan' sudah cukup jelas. Teknologi pencocokan secara sederhana mencocokkan satu set data biometrik dengan yang lain, untuk memverifikasi bahwa set data tersebut berasal dari orang yang sama.

Pencocokan Wajah pertama kali dilakukan pada tahun 1964 oleh seorang ilmuwan bernama Bledsoe. Proses yang dilakukannya melibatkan memasukkan koordinat secara manual dengan kecepatan rata-rata 40 gambar per jam. Kami telah menempuh perjalanan jauh dari sana - sekarang pencocokan adalah pasar yang sangat jenuh, bahkan pencocokan wajah yang paling canggih pun hanya memerlukan biaya 1 sen per pencocokan.

Pencocokan Wajah telah digunakan untuk kasus-kasus pengawasan sejak akhir tahun 90-an, tetapi baru-baru ini Pencocokan Wajah telah dimanfaatkan untuk Autentikasi.

Bayangkan jika Anda membuat rekening bank baru di rumah. Alih-alih pergi ke cabang dengan membawa kartu identitas Anda secara langsung, dengan teknologi pencocokan, Anda cukup mengambil foto kartu identitas Anda dan kemudian mengambil swafoto. Kedua gambar tersebut akan dicocokkan satu sama lain untuk membuktikan bahwa Anda adalah orang yang tepat.

Namun demikian, dengan meningkatnya pencocokan wajah untuk autentikasi online jarak jauh, maka terjadi peningkatan eksploitasi sistem pencocokan wajah. Sekarang, banyak orang yang sudah melihat contoh terkenal tentang membuka kunci kemampuan Autentikasi Wajah pada ponsel cerdas hanya dengan foto pemilik perangkat.

Mengisyaratkan perlunya Deteksi Kehidupan.

Deteksi Keaktifan: 'Orang yang Sebenarnya'

Deteksi Keaktifan berusaha memverifikasi bahwa kami melihat 'pengguna yang hidup' dengan mempertahankan diri dari Serangan Presentasi. Serangan Presentasi adalah upaya untuk meloloskan identitas palsu sebagai identitas yang sah, dengan menampilkan sesuatu secara fisik ke sensor.

Dengan kata lain, deteksi Liveness membedakan pengguna asli dari foto, topeng, dan video di layar. Deteksi keaktifan memberi tahu kami bahwa pengguna adalah Orang yang Nyata.

Ada banyak metode untuk melakukan hal ini - meskipun sistem secara umum dapat dibagi ke dalam dua kategori:

• Digerakkan oleh gerakan (Sistem aktif)
• Digerakkan oleh teknologi (Sistem pasif)

Gesture-driven Liveness mengharuskan pengguna untuk melakukan serangkaian tindakan yang tidak wajar untuk membuktikan bahwa tindakan tersebut nyata, misalnya kedipan mata atau gerakan wajah. Penelitian kami menunjukkan bahwa pendekatan ini membutuhkan rata-rata 2,4 kali percobaan bagi pengguna untuk menyelesaikan sebuah transaksi.

Liveness yang digerakkan oleh teknologi tidak memerlukan tindakan dari pengguna, melainkan menggunakan algoritme internal untuk mendeteksi pemalsuan. Pendekatan ini membutuhkan rata-rata 1,1 kali percobaan bagi pengguna untuk menyelesaikan transaksi.

Ada suatu masa ketika sistem yang membedakan wajah asli dengan topeng yang sangat direkayasa merupakan prestasi yang mengesankan. Namun, kita telah memasuki era baru serangan pemalsuan identitas. Penyerang siber yang berbahaya tidak menghabiskan waktu mereka untuk memegang foto di depan kamera. Serangan Presentasi hanyalah sebagian kecil dari serangan yang bisa dilancarkan terhadap suatu sistem.

Deteksi Waktu Nyata: 'Sekarang Juga'

Deteksi Waktu Nyata adalah tingkat keamanan berikutnya dalam autentikasi biometrik online. Ini adalah langkah terakhir untuk memastikan bahwa Anda berurusan dengan pengguna yang benar-benar hadir, dengan mempertahankan diri dari tidak hanya Serangan Presentasi, tetapi juga Serangan Putar Ulang.

Tetapi, apakah yang dimaksud dengan serangan ulangan? 

Misalnya Anda melakukan transaksi autentikasi yang berhasil pada ponsel Anda. Mungkin saja ada malware di perangkat Anda yang tidak Anda sadari. Malware semacam itu dapat merekam klaim autentikasi Anda tanpa sepengetahuan Anda.

Penyerang siber sekarang memiliki video saat Anda berhasil melakukan autentikasi. Sekarang, mereka dapat melewati sensor sepenuhnya (dalam hal ini kamera ponsel) dan menyuntikkan klaim Anda yang sebelumnya berhasil langsung ke dalam aplikasi kapan pun mereka mau.

Bentuk serangan ini akan melewati semua pertahanan Liveness.

Tapi bagaimana?

Karena klaim tersebut bukan berupa topeng, foto, atau video. Klaim tersebut adalah orang sungguhan, benar-benar otentik. Namun, mereka TIDAK mengotentikasi sekarang.

Yang sama berbahayanya adalah munculnya teknologi Deepfake. Video sintetis wajah Anda yang realistis dapat dihasilkan dari foto media sosial Anda - citra sintetis yang tidak dapat ditangani oleh deteksi Liveness. Citra sintetis semacam itu dapat dihasilkan dalam waktu nyata dan juga dapat digunakan untuk mem-bypass sensor sistem. Deepfake dapat dibuat dengan mudah pada aplikasi yang dapat diunduh gratis.

Bentuk-bentuk serangan ini berbiaya rendah dan terukur - dua kualitas yang sangat menarik bagi para penyerang siber. Serangan-serangan ini termasuk yang paling berbahaya dan paling sedikit pertahanannya.

Hanya masalah waktu saja sampai serangan ini tersebar luas. Apakah sistem Anda sudah siap untuk mengidentifikasinya?

Jaminan Kehadiran Asli sangat penting untuk melindungi identitas digital. Kami tidak akan berhenti membicarakan tentang Kehadiran Asli sampai mencapai standar keamanan yang diharapkan. Kami juga tidak akan berhenti berinovasi. Selalu menjadi yang terdepan dalam otentikasi - selalu selangkah lebih maju dari ancaman dinamis terbaru.