Presença genuína vs Deteção de vivacidade: Qual é a diferença?

12 de dezembro de 2019

Provavelmente já ouviu o termo "vivacidade" ser utilizado no mercado da autenticação. Mas já ouviu falar de "Presença genuína"? No iProov utilizamos muito o termo "presença genuína" (e não apenas porque o cunhamos). Está impresso nos nossos folhetos, nos nossos brindes... até já tivemos a #presençagenuína impressa em t-shirts.

Porque é que a Presença Genuína é importante?
Determinar a Presença Genuína é fundamental para salvaguardar a identidade digital. Sem a garantia de presença genuína, podem ser e serão aceites pedidos de autenticação fraudulentos em massa. Ataques indetectáveis serão escalonados e a identidade digital será comprometida.

O que significa Presença Genuína?
A autenticação biométrica em linha resume-se a três níveis de segurança.
O sucesso da autenticação biométrica segura é determinado por uma combinação de:

Correspondência - é a pessoa certa?
Vivacidade - trata-se de uma pessoa real?
Tempo real - esta transação está a decorrer neste momento?

A "presença genuína" refere-se a soluções que combinam os três níveis. Enquanto a maior parte do mercado ainda está a lidar com a vivacidade, os ciberataques estão a explorar novas formas de ataque escaláveis que contornam a deteção da vivacidade.

Então, vamos analisar a Presença Genuína... nível por nível.

Face Matching: a "pessoa certa

A "correspondência" é auto-explicativa. A tecnologia de correspondência faz simplesmente corresponder um conjunto de dados biométricos a outro, para verificar se os conjuntos de dados provêm da mesma pessoa.

O Face Matching foi abordado pela primeira vez em 1964 por um cientista chamado Bledsoe. O seu processo envolvia a introdução manual das coordenadas a um ritmo médio de 40 imagens por hora. Percorremos um longo caminho desde então - atualmente, a correspondência é um mercado fortemente saturado, com até os mais sofisticados dispositivos de correspondência facial a custarem apenas 1 cêntimo por correspondência.

O Face Matching tem sido utilizado para casos de utilização de vigilância desde o final dos anos 90, mas mais recentemente o Face Matching tem sido utilizado para autenticação.

Pense em abrir uma nova conta bancária em casa. Em vez de ir pessoalmente à agência com o seu BI, com a tecnologia Matching pode simplesmente tirar uma fotografia do seu BI e depois uma selfie. As duas imagens são comparadas uma com a outra para provar que é de facto a pessoa certa.

No entanto, com o aumento da correspondência facial para a autenticação remota e em linha, aumenta também a exploração dos sistemas de correspondência facial. Nesta altura, muitas pessoas já viram os exemplos infames de desbloqueio das capacidades de autenticação facial em smartphones com uma simples fotografia do proprietário do dispositivo.

Daí a necessidade de deteção de vivacidade.

Deteção de vivacidade: a "pessoa real

A deteção de vivacidade tenta verificar se estamos a olhar para um "utilizador ativo", defendendo-nos contra ataques de apresentação. Um ataque de apresentação é uma tentativa de passar uma identidade fraudulenta como legítima, apresentando fisicamente algo a um sensor.

Por outras palavras, a deteção da vivacidade diferencia os utilizadores reais das fotografias, máscaras e vídeos no ecrã. A deteção da vivacidade diz-nos que um utilizador é uma pessoa real.

Existem muitos métodos para o fazer, embora os sistemas possam ser geralmente divididos em duas categorias:

Acionado por gestos (sistemas activos)
Orientado para a tecnologia (sistemas passivos)

A vivacidade baseada em gestos exige que o utilizador execute uma série de acções não naturais para provar que é real, por exemplo, pestanejar ou movimentos faciais. A nossa investigação mostra que esta abordagem leva um utilizador a fazer, em média, 2,4 tentativas para concluir uma transação.

A tecnologia Liveness não requer qualquer ação por parte do utilizador, utilizando algoritmos internos para detetar falsificações. Esta abordagem leva um utilizador a fazer, em média, 1,1 tentativas para concluir uma transação.

Houve uma altura em que um sistema que diferenciava um rosto real de uma máscara altamente concebida era um feito impressionante. No entanto, entrámos numa nova era de ataques de falsificação de identidade. Os atacantes cibernéticos perigosos não passam o tempo a apontar fotografias para uma câmara. Os ataques de apresentação são apenas um pequeno subconjunto dos ataques que podem ser lançados contra um sistema.

Deteção em tempo real: o "momento certo

A deteção em tempo real é o próximo nível de segurança na autenticação biométrica online. É o passo final para garantir que está a lidar com um utilizador que está realmente presente, defendendo-se não só contra ataques de apresentação, mas também contra ataques de repetição.

Mas o que é um ataque de repetição?

Digamos que efectua uma transação de autenticação bem sucedida no seu telemóvel. Pode facilmente haver malware no seu dispositivo que desconhece. Esse malware pode registar o seu pedido de autenticação sem o seu conhecimento.

Um ciberataque possui agora um vídeo da sua autenticação bem sucedida. Agora, pode contornar completamente o sensor (neste caso, a câmara do telemóvel) e injetar a sua reivindicação anterior bem sucedida diretamente na aplicação sempre que quiser.

Esta forma de ataque passará todas as defesas de vivacidade.

Mas como?

Porque a reivindicação não é de uma máscara, de uma fotografia ou de um vídeo. A reivindicação é de uma pessoa real, realmente autenticada. No entanto, NÃO está a autenticar neste momento.

Igualmente perigoso é o aparecimento da tecnologia Deepfake. Podem ser gerados vídeos sintéticos realistas do seu rosto a partir das suas fotografias das redes sociais - imagens sintéticas com as quais a deteção da vivacidade não está equipada para lidar. Estas imagens sintéticas podem ser geradas em tempo real e podem também ser utilizadas para contornar os sensores do sistema. Os deepfakes podem ser facilmente criados em aplicações de descarregamento gratuito.

Estas formas de ataque são de baixo custo e escaláveis - duas qualidades muito apelativas para os ciber-atacantes. Estes ataques estão entre os mais perigosos e os menos defendidos.

É apenas uma questão de tempo até que estes ataques se generalizem. Os seus sistemas estarão equipados para os identificar?

A Garantia de Presença Genuína é fundamental para salvaguardar a identidade digital. Não deixaremos de falar sobre a Presença Genuína até que ela seja o padrão esperado de segurança. Também não deixaremos de inovar. Estamos na vanguarda da autenticação - sempre um passo à frente da mais recente ameaça dinâmica.

Índice

Correspondência de rostros: a "pessoa adequada
Deteção da vitalidade: a "pessoa real
Deteção em tempo real: o "Ahora mismo
- Mas o que é um ataque de repetição?

Enviar-me informações

iProov Biométrico
Conjunto de soluções

Por sector

Por Biometric Solutions

Por caso de utilização

Porquê
iProov

Sobre nós

Blogue em destaque

Os nossos
Recursos

Biblioteca de recursos

Relatórios

Vídeos

Eventos

Webinars

Folhas de informação

Ferramentas e calculadoras

Mais...

Blogue

Centro de documentação

Perspectivas do sector

Enciclopédia biométrica

Recurso em destaque

Provar a presença genuína: Os três níveis de segurança

Face Matching: a "pessoa certa

Deteção de vivacidade: a "pessoa real

Deteção em tempo real: o "momento certo

Mas o que é um ataque de repetição?

Londres

TRADUZIR

MANTER-SE LIGADO!

contact@iproov.com

iProov Biométrico Conjunto de soluções

Por sector

Por Biometric Solutions

Por caso de utilização

Porquê iProov

Sobre nós

Blogue em destaque

Os nossos Recursos

Biblioteca de recursos

Mais...

Recurso em destaque

Provar a presença genuína: Os três níveis de segurança

Face Matching: a "pessoa certa

Deteção de vivacidade: a "pessoa real

Deteção em tempo real: o "momento certo

Mas o que é um ataque de repetição?

Londres

TRADUZIR

MANTER-SE LIGADO!

iProov Biométrico
Conjunto de soluções

Porquê
iProov

Os nossos
Recursos