Comprovando a presença genuína: As três camadas de segurança

Você provavelmente já ouviu o termo "Liveness" (vivacidade) ser usado no mercado de autenticação. Mas você já ouviu falar em "Presença genuína"? No iProov, usamos muito o termo "presença genuína" (e não apenas porque o cunhamos). Ele está impresso em nossos folhetos, em nossos brindes... até mesmo em camisetas com a inscrição #presençagenuína.

Por que a Genuine Presence é importante?
Determinar a Genuine Presence é fundamental para proteger a identidade digital. Sem a Garantia de Presença Genuína, reivindicações de autenticação fraudulentas em massa podem e serão aprovadas. Ataques indetectáveis serão ampliados e a identidade digital será comprometida.

O que significa Genuine Presence?
A autenticação biométrica on-line resume-se a três níveis de segurança.
O sucesso da autenticação biométrica segura é determinado por uma combinação de:

• Correspondência - esta é a pessoa certa?
• Vivacidade - trata-se de uma pessoa real?
• Tempo real - essa transação está ocorrendo neste momento?

"Presença genuína" refere-se a soluções que combinam todos os três níveis. Embora a maior parte do mercado ainda esteja lutando contra a vivacidade, os atacantes cibernéticos estão explorando novas formas de ataque escalonáveis que contornam a detecção da vivacidade.

Então, vamos analisar a Genuine Presence... nível por nível.

Face Matching: a "pessoa certa

"Correspondência" é autoexplicativo. A tecnologia de correspondência simplesmente combina um conjunto de dados biométricos com outro, para verificar se os conjuntos de dados são provenientes da mesma pessoa.

O Face Matching foi abordado pela primeira vez em 1964 por um cientista chamado Bledsoe. Seu processo envolvia a inserção manual das coordenadas a uma taxa média de 40 imagens por hora. Percorremos um longo caminho desde então. Atualmente, a correspondência é um mercado altamente saturado, com até mesmo os mais sofisticados comparadores de faces custando apenas 1 centavo por correspondência.

O Face Matching tem sido usado para casos de uso de vigilância desde o final dos anos 90, mas, mais recentemente, o Face Matching tem sido aproveitado para autenticação.

Pense em abrir uma nova conta bancária em casa. Em vez de ir pessoalmente à agência com seu documento de identidade, com a tecnologia Matching, você pode simplesmente tirar uma foto do seu documento de identidade e, em seguida, uma selfie. As duas imagens são comparadas uma com a outra para provar que você é de fato a pessoa certa.

No entanto, com o aumento da correspondência de faces para autenticação remota e on-line, houve um aumento na exploração dos sistemas de correspondência de faces. Até agora, muitas pessoas já viram os exemplos infames de desbloqueio dos recursos de autenticação facial em smartphones com uma simples foto do proprietário do dispositivo.

Daí a necessidade da detecção de vivacidade.

Detecção de vivacidade: a "pessoa real

A detecção de vivacidade tenta verificar se estamos olhando para o "usuário ativo", defendendo-nos contra ataques de apresentação. Um ataque de apresentação é uma tentativa de passar uma identidade fraudulenta como legítima, apresentando fisicamente algo a um sensor.

Em outras palavras, a detecção de vivacidade diferencia os usuários reais das fotos, máscaras e vídeos na tela. A detecção de vivacidade nos diz que um usuário é uma pessoa real.

Há muitos métodos para fazer isso, embora os sistemas possam ser divididos em duas categorias:

• Orientado por gestos (sistemas ativos)
• Orientado pela tecnologia (sistemas passivos)

A vivacidade orientada por gestos exige que o usuário execute uma série de ações não naturais para provar que é real, por exemplo, piscar os olhos ou fazer movimentos faciais. Nossa pesquisa mostra que essa abordagem leva um usuário a fazer, em média, 2,4 tentativas para concluir uma transação.

O Liveness orientado por tecnologia não exige nenhuma ação do usuário, mas usa algoritmos internos para detectar falsificações. Essa abordagem leva um usuário a fazer, em média, 1,1 tentativa para concluir uma transação.

Houve um tempo em que um sistema que diferenciava um rosto real de uma máscara altamente projetada era um feito impressionante. No entanto, entramos em uma nova era de ataques de falsificação de identidade. Atacantes cibernéticos perigosos não passam o tempo segurando fotos diante de uma câmera. Os ataques de apresentação são apenas um pequeno subconjunto dos ataques que podem ser lançados contra um sistema.

Detecção em tempo real: o "momento certo

A detecção em tempo real é o próximo nível de segurança na autenticação biométrica on-line. É a etapa final para garantir que você está lidando com um usuário que está realmente presente, defendendo-se não apenas contra ataques de apresentação, mas também contra ataques de repetição.

Mas o que é um ataque de repetição? 

Digamos que você realize uma transação de autenticação bem-sucedida em seu telefone celular. Pode haver facilmente um malware em seu dispositivo que você não conhece. Esse malware poderia registrar sua reivindicação de autenticação sem o seu conhecimento.

Um atacante cibernético agora possui um vídeo de sua autenticação bem-sucedida. Agora, ele pode ignorar completamente o sensor (nesse caso, a câmera do telefone) e injetar sua reivindicação anterior bem-sucedida diretamente no aplicativo sempre que quiser.

Essa forma de ataque passará por todas as defesas de vivacidade.

Mas como?

Porque a alegação não é de uma máscara, uma foto ou um vídeo. A alegação é de uma pessoa real, realmente autenticada. No entanto, ela NÃO está se autenticando no momento.

Igualmente perigoso é o surgimento da tecnologia Deepfake. Vídeos sintéticos realistas do seu rosto podem ser gerados a partir de suas fotos de mídias sociais - imagens sintéticas com as quais a detecção de vivacidade não está equipada para lidar. Essas imagens sintéticas podem ser geradas em tempo real e também podem ser usadas para contornar os sensores do sistema. Os deepfakes podem ser criados facilmente em aplicativos de download gratuito.

Essas formas de ataques são de baixo custo e escalonáveis, duas qualidades muito atraentes para os atacantes cibernéticos. Esses ataques estão entre os mais perigosos e os menos defendidos.

É apenas uma questão de tempo até que esses ataques se espalhem. Seus sistemas estarão equipados para identificá-los?

A Garantia de Presença Genuína é fundamental para proteger a identidade digital. Não pararemos de falar sobre a presença genuína até que ela seja o padrão esperado de segurança. Também não deixaremos de inovar. Estamos na vanguarda da autenticação, sempre um passo à frente da mais recente ameaça dinâmica.