พิสูจน์ตัวตนที่แท้จริง: ความปลอดภัยสามระดับ

คุณคงเคยได้ยินคําว่า 'Liveness' ที่ใช้ในตลาดการรับรองความถูกต้อง แต่คุณเคยได้ยินเกี่ยวกับ 'การแสดงตนที่แท้จริง' หรือไม่? ที่ iProov เราใช้คําว่าการแสดงตนที่แท้จริงเป็นจํานวนมาก (และไม่ใช่แค่เพราะเราบัญญัติขึ้น) มันพิมพ์อยู่บนแผ่นพับของเราพวงหรีดของเรา เราเคยพิมพ์ #genuinepresence บนเสื้อยืดด้วยซ้ํา

เหตุใดการมีอยู่ที่แท้จริงจึงมีความสำคัญ?
การกำหนดสถานะที่แท้จริงเป็นสิ่งสำคัญอย่างยิ่งต่อการปกป้องตัวตนดิจิทัล หากไม่มี เทคโนโลยี Dynamic Liveness™ การอ้างสิทธิ์ยืนยันตัวตนแบบฉ้อโกงจำนวนมากสามารถเกิดขึ้นได้และจะเกิดขึ้นอย่างแน่นอน การโจมตีที่ตรวจจับไม่ได้จะถูกขยายวงกว้างและตัวตนดิจิทัลจะถูกบุกรุก

Genuine Presence หมายถึงอะไร?
การตรวจสอบข้อมูลชีวมาตรออนไลน์แบ่งออกเป็นระดับความปลอดภัย 3 ระดับ
ความสำเร็จของการตรวจสอบข้อมูลชีวภาพที่ปลอดภัยนั้นถูกกำหนดโดยการรวมกันของ:

• การจับคู่ – นี่คือคนที่ใช่หรือไม่?
• ความมีชีวิตชีวา – นี่คือคนจริงหรือไม่?
• เรียลไทม์ – ธุรกรรมนี้เกิดขึ้นในขณะนี้หรือไม่?

'Genuine Presence' หมายถึงโซลูชันที่รวมเอาทั้งสามระดับเข้าด้วยกัน แม้ว่าตลาดส่วนใหญ่ยังคงเผชิญกับ Liveness แต่ผู้โจมตีทางไซเบอร์กำลังสำรวจรูปแบบการโจมตีใหม่ๆ ที่ปรับขนาดได้ ซึ่งสามารถหลบเลี่ยงการตรวจจับของ Liveness ได้

ดังนั้นเรามาทําลายการแสดงตนที่แท้จริงกันเถอะ ทีละระดับ

การจับคู่ใบหน้า: 'คนที่ใช่'

'การจับคู่' นั้นอธิบายได้ด้วยตัวเอง เทคโนโลยีการจับคู่เพียงแค่จับคู่ข้อมูลไบโอเมตริกซ์ชุดหนึ่งกับอีกชุดหนึ่งเพื่อยืนยันว่าชุดข้อมูลเหล่านั้นมาจากบุคคลเดียวกัน

การจับคู่ใบหน้าได้รับการติดต่อครั้งแรกในปี 1964 โดยนักวิทยาศาสตร์ชื่อ Bledsoe กระบวนการของเขาเกี่ยวข้องกับการป้อนพิกัดด้วยตนเองในอัตราเฉลี่ย 40 ภาพต่อชั่วโมง เรามาไกลจากที่นั่น – ตอนนี้การจับคู่เป็นตลาดที่อิ่มตัวอย่างมาก โดยแม้แต่การจับคู่ใบหน้าที่ซับซ้อนที่สุดก็มีราคาเพียง 1 เซ็นต์ต่อแมตช์

การจับคู่ใบหน้าถูกใช้สําหรับกรณีการใช้งานการเฝ้าระวังตั้งแต่ปลายยุค 90 แต่เมื่อเร็ว ๆ นี้ การจับคู่ใบหน้าได้รับการยกระดับสําหรับการตรวจสอบสิทธิ์

ลองนึกถึงการตั้งค่าบัญชีธนาคารใหม่ที่บ้าน แทนที่จะไปที่สาขาพร้อมบัตรประจําตัวของคุณด้วยตนเองด้วยเทคโนโลยีการจับคู่คุณสามารถถ่ายรูปบัตรประจําตัวของคุณแล้วเซลฟี่ ภาพทั้งสองถูกจับคู่กันเพื่อพิสูจน์ว่าคุณเป็นคนที่ใช่จริงๆ

อย่างไรก็ตามด้วยการจับคู่ใบหน้าที่เพิ่มขึ้นสําหรับระยะไกลการรับรองความถูกต้องออนไลน์ทําให้การใช้ประโยชน์จากระบบจับคู่ใบหน้าเพิ่มขึ้น ถึงตอนนี้ ผู้คนจํานวนมากได้เห็นตัวอย่างที่น่าอับอายของการปลดล็อกความสามารถในการตรวจสอบใบหน้าบนสมาร์ทโฟนด้วยรูปถ่ายของเจ้าของอุปกรณ์

ชี้นําความจําเป็นในการตรวจจับความมีชีวิตชีวา

การตรวจจับความมีชีวิตชีวา: 'คนจริง'

การตรวจจับความมีชีวิตชีวา พยายามตรวจสอบว่าเรากําลังดู 'ผู้ใช้จริง' โดยการป้องกันการโจมตีการนําเสนอ การโจมตีการนําเสนอคือความพยายามที่จะส่งข้อมูลประจําตัวที่ฉ้อฉลว่าถูกต้องตามกฎหมายโดยการนําเสนอบางสิ่งบางอย่างไปยังเซ็นเซอร์

กล่าวอีกนัยหนึ่ง การตรวจจับความมีชีวิตจะแยกผู้ใช้จริงออกจากรูปถ่าย หน้ากาก และวิดีโอบนหน้าจอ การตรวจจับความมีชีวิตจะบอกเราว่าผู้ใช้คือ บุคคลจริง

มีหลายวิธีในการทําเช่นนี้ แม้ว่าโดยทั่วไปแล้วระบบสามารถแบ่งออกเป็นสองประเภท:

• ขับเคลื่อนด้วยท่าทาง (ระบบที่ใช้งานอยู่)
• ขับเคลื่อนด้วยเทคโนโลยี (ระบบพาสซีฟ)

การมีชีวิตที่ขับเคลื่อนด้วยท่าทาง (Gesture-driven Liveness) จำเป็นต้องให้ผู้ใช้ทำการกระทำที่ไม่เป็นธรรมชาติหลายอย่างเพื่อพิสูจน์ว่าการกระทำนั้นเป็นจริง เช่น การกระพริบตาหรือการเคลื่อนไหวใบหน้า งานวิจัยของเราแสดงให้เห็นว่าวิธีการนี้ใช้ความพยายามเฉลี่ย 2.4 ครั้งในการทำธุรกรรมให้เสร็จสมบูรณ์

Liveness ที่ขับเคลื่อนด้วยเทคโนโลยีไม่ต้องการการดําเนินการใด ๆ จากผู้ใช้ แทนที่จะใช้อัลกอริทึมภายในเพื่อตรวจจับการปลอมแปลง วิธีนี้ทําให้ผู้ใช้พยายามทําธุรกรรมโดยเฉลี่ย 1.1 ครั้ง

มีช่วงเวลาที่ระบบแยกความแตกต่างของใบหน้าจริงจากหน้ากากที่ออกแบบมาอย่างดีเป็นผลงานที่น่าประทับใจ อย่างไรก็ตาม เราได้เข้าสู่ยุคใหม่ของการโจมตีด้วยการปลอมแปลงข้อมูลประจําตัว ผู้โจมตีทางไซเบอร์ที่อันตรายจะไม่ใช้เวลาเก็บภาพถ่ายไว้กับกล้อง การนําเสนอ การโจมตีเป็นเพียงส่วนย่อยเล็ก ๆ ของการโจมตีที่สามารถเปิดกับระบบได้

การตรวจจับแบบเรียลไทม์: 'ตอนนี้'

การตรวจจับแบบเรียลไทม์เป็นระดับถัดไปของการรักษาความปลอดภัยในการตรวจสอบไบโอเมตริกซ์ออนไลน์ เป็นขั้นตอนสุดท้ายเพื่อให้แน่ใจว่าคุณกําลังติดต่อกับผู้ใช้ที่มีอยู่จริงโดยการป้องกันไม่เพียง แต่การโจมตีการนําเสนอเท่านั้น แต่ยังรวมถึงการโจมตีซ้ําด้วย

แต่การโจมตีซ้ําคืออะไร? 

สมมติว่าคุณทําธุรกรรมการรับรองความถูกต้องสําเร็จบนโทรศัพท์มือถือของคุณ อาจมีมัลแวร์บนอุปกรณ์ของคุณที่คุณไม่รู้ตัว มัลแวร์ดังกล่าวสามารถบันทึกการอ้างสิทธิ์การรับรองความถูกต้องของคุณโดยที่คุณไม่รู้ตัว

ตอนนี้ผู้โจมตีทางไซเบอร์เป็นเจ้าของวิดีโอที่คุณตรวจสอบสิทธิ์ได้สําเร็จ  ตอนนี้พวกเขาสามารถข้ามเซ็นเซอร์ได้อย่างสมบูรณ์ (ในกรณีนี้คือกล้องโทรศัพท์) และฉีดการอ้างสิทธิ์ที่ประสบความสําเร็จก่อนหน้านี้ของคุณลงในแอปโดยตรงเมื่อใดก็ตามที่พวกเขาต้องการ

รูปแบบการโจมตีนี้จะผ่านการป้องกันของ Liveness มากมาย

แต่อย่างไร?

เพราะคำกล่าวอ้างนี้ไม่ใช่หน้ากาก ภาพถ่าย หรือวิดีโอ แต่เป็นการกล่าวอ้างบุคคลจริง ๆ ที่สามารถยืนยันตัวตนได้จริง อย่างไรก็ตาม พวกเขาไม่ได้ยืนยันตัวตนอยู่ในขณะนี้

อันตรายพอ ๆ กันคือการเกิดขึ้นของเทคโนโลยี Deepfake วิดีโอสังเคราะห์ที่สมจริงของใบหน้าของคุณสามารถสร้างขึ้นจากภาพถ่ายโซเชียลมีเดียของคุณ – ภาพสังเคราะห์ที่การตรวจจับ Liveness ไม่มีอุปกรณ์ให้จัดการ ภาพสังเคราะห์ดังกล่าวสามารถสร้างได้แบบเรียลไทม์และยังสามารถใช้เพื่อเลี่ยงเซ็นเซอร์ของระบบได้อีกด้วย Deepfakes สามารถทําได้อย่างง่ายดายบนแอพดาวน์โหลดฟรี

รูปแบบการโจมตีเหล่านี้มีต้นทุนต่ําและปรับขนาดได้ ซึ่งเป็นคุณสมบัติสองประการที่ดึงดูดผู้โจมตีทางไซเบอร์อย่างมาก การโจมตีเหล่านี้เป็นหนึ่งในการโจมตีที่อันตรายที่สุดและป้องกันน้อยที่สุด

เป็นเพียงเรื่องของเวลาจนกว่าการโจมตีเหล่านี้จะแพร่หลาย ระบบของคุณจะติดตั้งเพื่อระบุหรือไม่?

Dynamic Liveness ยืนยันถึงการมีอยู่จริง ซึ่งเป็นสิ่งสำคัญอย่างยิ่งต่อการปกป้องตัวตนดิจิทัล เราจะไม่หยุดพูดถึง Genuine Presence จนกว่าจะได้มาตรฐานความปลอดภัยที่คาดหวังไว้ และเราจะไม่หยุดพัฒนานวัตกรรม การเป็นผู้นำด้านการยืนยันตัวตนที่ทันสมัย ทำให้เราก้าวล้ำนำหน้า ภัยคุกคามแบบไดนามิก ล่าสุดอยู่เสมอ