คุณคงเคยได้ยินคําว่า 'Liveness' ที่ใช้ในตลาดการรับรองความถูกต้อง แต่คุณเคยได้ยินเกี่ยวกับ 'การแสดงตนที่แท้จริง' หรือไม่? ที่ iProov เราใช้คําว่าการแสดงตนที่แท้จริงเป็นจํานวนมาก (และไม่ใช่แค่เพราะเราบัญญัติขึ้น) มันพิมพ์อยู่บนแผ่นพับของเราพวงหรีดของเรา เราเคยพิมพ์ #genuinepresence บนเสื้อยืดด้วยซ้ํา
เหตุใดการแสดงตนที่แท้จริงจึงมีความสําคัญ
การกําหนดสถานะที่แท้จริงเป็นสิ่งสําคัญในการปกป้องข้อมูลประจําตัวดิจิทัล หากไม่มี Genuine Presence Assurance การเรียกร้องการรับรองความถูกต้องที่เป็นการฉ้อโกงจํานวนมากสามารถและจะผ่านไปได้ การโจมตีที่ตรวจไม่พบจะถูกปรับขนาดและข้อมูลประจําตัวดิจิทัลถูกบุกรุก
การแสดงตนที่แท้จริงหมายถึงอะไร?
การตรวจสอบไบโอเมตริกซ์ออนไลน์ช่วยลดความปลอดภัยสามระดับ
ความสําเร็จของการรับรองความถูกต้องด้วยไบโอเมตริกซ์ที่ปลอดภัยนั้นพิจารณาจากการรวมกันของ:
- การจับคู่ – นี่คือคนที่ใช่หรือไม่?
- ความมีชีวิตชีวา – นี่คือคนจริงหรือไม่?
- เรียลไทม์ – ธุรกรรมนี้เกิดขึ้นในขณะนี้หรือไม่?
'Genuine Presence' หมายถึงโซลูชันที่รวมทั้งสามระดับเข้าด้วยกัน ในขณะที่ตลาดส่วนใหญ่ยังคงต่อสู้กับ Liveness – ผู้โจมตีทางไซเบอร์กําลังสํารวจรูปแบบการโจมตีใหม่ที่ปรับขนาดได้ซึ่งข้ามการตรวจจับ Liveness
ดังนั้นเรามาทําลายการแสดงตนที่แท้จริงกันเถอะ ทีละระดับ
การจับคู่ใบหน้า: 'คนที่ใช่'
'การจับคู่' เป็นการอธิบายตนเอง เทคโนโลยีการจับคู่เพียงแค่จับคู่ชุดข้อมูลไบโอเมตริกซ์ชุดหนึ่งกับอีกชุดหนึ่งเพื่อตรวจสอบว่าชุดข้อมูลมาจากบุคคลเดียวกัน
การจับคู่ใบหน้าได้รับการติดต่อครั้งแรกในปี 1964 โดยนักวิทยาศาสตร์ชื่อ Bledsoe กระบวนการของเขาเกี่ยวข้องกับการป้อนพิกัดด้วยตนเองในอัตราเฉลี่ย 40 ภาพต่อชั่วโมง เรามาไกลจากที่นั่น – ตอนนี้การจับคู่เป็นตลาดที่อิ่มตัวอย่างมาก โดยแม้แต่การจับคู่ใบหน้าที่ซับซ้อนที่สุดก็มีราคาเพียง 1 เซ็นต์ต่อแมตช์
การจับคู่ใบหน้าถูกใช้สําหรับกรณีการใช้งานการเฝ้าระวังตั้งแต่ปลายยุค 90 แต่เมื่อเร็ว ๆ นี้ การจับคู่ใบหน้าได้รับการยกระดับสําหรับการตรวจสอบสิทธิ์
ลองนึกถึงการตั้งค่าบัญชีธนาคารใหม่ที่บ้าน แทนที่จะไปที่สาขาพร้อมบัตรประจําตัวของคุณด้วยตนเองด้วยเทคโนโลยีการจับคู่คุณสามารถถ่ายรูปบัตรประจําตัวของคุณแล้วเซลฟี่ ภาพทั้งสองถูกจับคู่กันเพื่อพิสูจน์ว่าคุณเป็นคนที่ใช่จริงๆ
อย่างไรก็ตามด้วยการจับคู่ใบหน้าที่เพิ่มขึ้นสําหรับระยะไกลการรับรองความถูกต้องออนไลน์ทําให้การใช้ประโยชน์จากระบบจับคู่ใบหน้าเพิ่มขึ้น ถึงตอนนี้ ผู้คนจํานวนมากได้เห็นตัวอย่างที่น่าอับอายของการปลดล็อกความสามารถในการตรวจสอบใบหน้าบนสมาร์ทโฟนด้วยรูปถ่ายของเจ้าของอุปกรณ์
ชี้นําความจําเป็นในการตรวจจับความมีชีวิตชีวา
การตรวจจับความมีชีวิตชีวา: 'คนจริง'
Liveness Detection พยายามตรวจสอบว่าเรากําลังดู 'ผู้ใช้จริง' โดยการป้องกันการโจมตีการนําเสนอ การโจมตีการนําเสนอคือความพยายามที่จะส่งข้อมูลประจําตัวที่ฉ้อฉลว่าถูกต้องตามกฎหมายโดยการนําเสนอบางสิ่งบางอย่างไปยังเซ็นเซอร์
กล่าวอีกนัยหนึ่งการตรวจจับความมีชีวิตชีวาทําให้ผู้ใช้จริงแตกต่างจากภาพถ่ายมาสก์และวิดีโอบนหน้าจอ การตรวจจับความมีชีวิตชีวาบอกเราว่าผู้ใช้คือบุคคลจริง
มีหลายวิธีในการทําเช่นนี้ แม้ว่าโดยทั่วไปแล้วระบบสามารถแบ่งออกเป็นสองประเภท:
- ขับเคลื่อนด้วยท่าทาง (ระบบที่ใช้งานอยู่)
- ขับเคลื่อนด้วยเทคโนโลยี (ระบบ Passive )
ความมีชีวิตชีวาที่ขับเคลื่อนด้วยท่าทางต้องการให้ผู้ใช้ดําเนินการหลายอย่างที่ผิดธรรมชาติเพื่อพิสูจน์ว่าเป็นของจริง เช่น การกะพริบตาหรือการเคลื่อนไหวของใบหน้า การวิจัยของเราแสดงให้เห็นว่าวิธีนี้ใช้เวลาเฉลี่ย 2.4 ครั้งในการทําธุรกรรมให้เสร็จสมบูรณ์
Liveness ที่ขับเคลื่อนด้วยเทคโนโลยีไม่ต้องการการดําเนินการใด ๆ จากผู้ใช้ แทนที่จะใช้อัลกอริทึมภายในเพื่อตรวจจับการปลอมแปลง วิธีนี้ทําให้ผู้ใช้พยายามทําธุรกรรมโดยเฉลี่ย 1.1 ครั้ง
มีช่วงเวลาที่ระบบแยกความแตกต่างของใบหน้าจริงจากหน้ากากที่ออกแบบมาอย่างดีเป็นผลงานที่น่าประทับใจ อย่างไรก็ตาม เราได้เข้าสู่ยุคใหม่ของการโจมตีด้วยการปลอมแปลงข้อมูลประจําตัว ผู้โจมตีทางไซเบอร์ที่อันตรายจะไม่ใช้เวลาเก็บภาพถ่ายไว้กับกล้อง การนําเสนอ การโจมตีเป็นเพียงส่วนย่อยเล็ก ๆ ของการโจมตีที่สามารถเปิดกับระบบได้
การตรวจจับแบบเรียลไทม์: 'ตอนนี้'
การตรวจจับแบบเรียลไทม์เป็นระดับถัดไปของการรักษาความปลอดภัยในการตรวจสอบไบโอเมตริกซ์ออนไลน์ เป็นขั้นตอนสุดท้ายเพื่อให้แน่ใจว่าคุณกําลังติดต่อกับผู้ใช้ที่มีอยู่จริงโดยการป้องกันไม่เพียง แต่การโจมตีการนําเสนอเท่านั้น แต่ยังรวมถึงการโจมตีซ้ําด้วย
แต่การโจมตีซ้ําคืออะไร?
สมมติว่าคุณทําธุรกรรมการรับรองความถูกต้องสําเร็จบนโทรศัพท์มือถือของคุณ อาจมีมัลแวร์บนอุปกรณ์ของคุณที่คุณไม่รู้ตัว มัลแวร์ดังกล่าวสามารถบันทึกการอ้างสิทธิ์การรับรองความถูกต้องของคุณโดยที่คุณไม่รู้ตัว
ตอนนี้ผู้โจมตีทางไซเบอร์เป็นเจ้าของวิดีโอที่คุณตรวจสอบสิทธิ์ได้สําเร็จ ตอนนี้พวกเขาสามารถข้ามเซ็นเซอร์ได้อย่างสมบูรณ์ (ในกรณีนี้คือกล้องโทรศัพท์) และฉีดการอ้างสิทธิ์ที่ประสบความสําเร็จก่อนหน้านี้ของคุณลงในแอปโดยตรงเมื่อใดก็ตามที่พวกเขาต้องการ
การโจมตีรูปแบบนี้จะผ่านการป้องกัน Liveness ทั้งหมด
แต่อย่างไร?
เพราะคํากล่าวอ้างไม่ใช่หน้ากาก ภาพถ่าย หรือวิดีโอ คํากล่าวอ้างเป็นของบุคคลจริง อย่างไรก็ตาม พวกเขาไม่ได้ตรวจสอบสิทธิ์ในขณะนี้
อันตรายพอ ๆ กันคือการเกิดขึ้นของเทคโนโลยี Deepfake วิดีโอสังเคราะห์ที่สมจริงของใบหน้าของคุณสามารถสร้างขึ้นจากภาพถ่ายโซเชียลมีเดียของคุณ – ภาพสังเคราะห์ที่การตรวจจับ Liveness ไม่มีอุปกรณ์ให้จัดการ ภาพสังเคราะห์ดังกล่าวสามารถสร้างได้แบบเรียลไทม์และยังสามารถใช้เพื่อเลี่ยงเซ็นเซอร์ของระบบได้อีกด้วย Deepfakes สามารถทําได้อย่างง่ายดายบนแอพดาวน์โหลดฟรี
รูปแบบการโจมตีเหล่านี้มีต้นทุนต่ําและปรับขนาดได้ ซึ่งเป็นคุณสมบัติสองประการที่ดึงดูดผู้โจมตีทางไซเบอร์อย่างมาก การโจมตีเหล่านี้เป็นหนึ่งในการโจมตีที่อันตรายที่สุดและป้องกันน้อยที่สุด
เป็นเพียงเรื่องของเวลาจนกว่าการโจมตีเหล่านี้จะแพร่หลาย ระบบของคุณจะติดตั้งเพื่อระบุหรือไม่?
Genuine Presence Assurance มีความสําคัญอย่างยิ่งต่อการปกป้องข้อมูลประจําตัวดิจิทัล เราจะไม่หยุดพูดถึงการแสดงตนที่แท้จริงจนกว่าจะเป็นมาตรฐานความปลอดภัยที่คาดหวัง เราจะไม่หยุดสร้างสรรค์สิ่งใหม่ ๆ มีอยู่ในความล้ําสมัยของการรับรองความถูกต้อง – นําหน้าภัยคุกคามแบบไดนามิกล่าสุดเสมอ
