Chứng minh sự hiện diện thực sự: Ba tầng bảo mật

Bạn có thể đã nghe thuật ngữ 'Liveness' được sử dụng trong thị trường xác thực. Nhưng bạn đã nghe nói về 'Sự Hiện Diện Chân Thật' chưa? Tại iProov chúng tôi sử dụng thuật ngữ hiện diện thực sự rất nhiều (và không chỉ vì chúng tôi đặt ra nó.) Nó được in trên tờ rơi của chúng tôi, swag của chúng tôi ... Chúng tôi thậm chí đã có #genuinepresence in trên áo phông.

Tại sao sự hiện diện chân thật lại quan trọng?
Xác định sự hiện diện thực sự là rất quan trọng để bảo vệ danh tính kỹ thuật số. Nếu không có Đảm bảo sự hiện diện chính hãng, các yêu cầu xác thực gian lận hàng loạt có thể và sẽ được thông qua. Các cuộc tấn công không thể phát hiện sẽ được mở rộng quy mô và danh tính kỹ thuật số bị xâm phạm.

Sự hiện diện chân thật có nghĩa là gì?
Xác thực sinh trắc học trực tuyến tập trung vào ba tầng bảo mật.
Sự thành công của xác thực sinh trắc học an toàn được xác định bởi sự kết hợp của:

• Kết hợp - đây có phải là người phù hợp không?
• Liveness - đây có phải là người thật không?
• Thời gian thực – giao dịch này có đang diễn ra ngay bây giờ không?

"Sự hiện diện chân thật" đề cập đến các giải pháp kết hợp cả ba cấp. Trong khi phần lớn thị trường vẫn đang vật lộn với Liveness - những kẻ tấn công mạng đang khám phá các hình thức tấn công mới, có thể mở rộng để bỏ qua phát hiện Liveness.

Vì vậy, hãy phá vỡ Sự hiện diện chân thật... Từng bậc một.

Kết hợp khuôn mặt: 'Đúng người'

'Phù hợp' là tự giải thích. Công nghệ kết hợp chỉ đơn giản là khớp một bộ dữ liệu sinh trắc học với một bộ dữ liệu sinh trắc học khác, để xác minh các bộ dữ liệu đến từ cùng một người.

Face Matching lần đầu tiên được tiếp cận vào năm 1964 bởi một nhà khoa học tên là Bledsoe. Quá trình của ông liên quan đến việc nhập tọa độ theo cách thủ công với tốc độ trung bình 40 hình ảnh một giờ. Chúng tôi đã đi một chặng đường dài từ đó - bây giờ kết hợp là một thị trường bão hòa nặng nề, với ngay cả những người phù hợp khuôn mặt tinh vi nhất cũng có giá chỉ 1 xu mỗi trận đấu.

Face Matching đã được sử dụng cho các trường hợp sử dụng giám sát từ cuối những năm 90, nhưng gần đây Face Matching đã được tận dụng để xác thực.

Hãy nghĩ đến việc thiết lập một tài khoản ngân hàng mới tại nhà. Thay vì trực tiếp đến chi nhánh với ID của bạn, với công nghệ Matching, bạn có thể chỉ cần chụp ảnh ID của mình và sau đó chụp ảnh tự sướng. Hai hình ảnh được ghép với nhau để chứng minh bạn thực sự là người phù hợp.

Tuy nhiên, với sự gia tăng kết hợp khuôn mặt cho xác thực từ xa, trực tuyến dẫn đến sự gia tăng khai thác các hệ thống khớp khuôn mặt. Đến nay, rất nhiều người đã thấy những ví dụ khét tiếng về việc mở khóa khả năng Xác thực khuôn mặt trên điện thoại thông minh chỉ bằng một bức ảnh của chủ sở hữu thiết bị.

Cue sự cần thiết của Liveness Detection.

Phát hiện sự sống: 'Người thật'

Phát hiện sự sống cố gắng xác minh rằng chúng tôi đang xem xét 'người dùng trực tiếp' bằng cách bảo vệ chống lại các cuộc tấn công bản trình bày. Tấn công thuyết trình là một nỗ lực để vượt qua một danh tính gian lận là hợp pháp, bằng cách trình bày vật lý một cái gì đó cho một cảm biến.

Nói cách khác, tính năng phát hiện sự sống phân biệt người dùng thực với ảnh, mặt nạ và video trên màn hình. Phát hiện sự sống cho chúng ta biết người dùng là Người thật.

Có nhiều phương pháp để làm điều này - mặc dù các hệ thống thường có thể được chia thành hai loại:

• Điều khiển bằng cử chỉ (Hệ thống hoạt động)
• Công nghệ điều khiển (Hệ thống thụ động)

Liveness theo cử chỉ yêu cầu người dùng thực hiện một loạt các hành động không tự nhiên để chứng minh rằng chúng là thật, ví dụ như chớp mắt hoặc chuyển động trên khuôn mặt. Nghiên cứu của chúng tôi cho thấy cách tiếp cận này đưa người dùng trung bình 2,4 lần thử để hoàn thành một giao dịch.

Liveness dựa trên công nghệ không yêu cầu hành động từ người dùng, thay vào đó sử dụng các thuật toán nội bộ để phát hiện giả mạo. Cách tiếp cận này đưa người dùng trung bình 1,1 lần thử để hoàn thành giao dịch.

Đã có lúc một hệ thống phân biệt khuôn mặt thật với mặt nạ được thiết kế cao là một kỳ tích ấn tượng. Tuy nhiên, chúng ta đã bước vào một kỷ nguyên mới của các cuộc tấn công giả mạo danh tính. Những kẻ tấn công mạng nguy hiểm không dành thời gian cầm ảnh lên máy ảnh. Presentation Attacks chỉ là một tập hợp con nhỏ của các cuộc tấn công có thể được khởi chạy chống lại một hệ thống.

Phát hiện thời gian thực: 'Ngay bây giờ'

Phát hiện thời gian thực là cấp độ bảo mật tiếp theo trong xác thực sinh trắc học trực tuyến. Đây là bước cuối cùng để đảm bảo rằng bạn đang đối phó với người dùng thực sự hiện diện, bằng cách bảo vệ chống lại không chỉ các cuộc tấn công trình bày mà còn cả các cuộc tấn công phát lại.

Nhưng một cuộc tấn công phát lại là gì? 

Giả sử bạn thực hiện giao dịch xác thực thành công trên điện thoại di động của mình. Có thể dễ dàng có phần mềm độc hại trên thiết bị của bạn mà bạn không biết. Phần mềm độc hại như vậy có thể ghi lại yêu cầu xác thực của bạn mà bạn không biết.

Kẻ tấn công mạng hiện sở hữu video bạn xác thực thành công.  Giờ đây, họ có thể bỏ qua cảm biến hoàn toàn (trong trường hợp này là camera điện thoại) và đưa yêu cầu thành công trước đó của bạn trực tiếp vào ứng dụng bất cứ khi nào họ muốn.

Hình thức tấn công này sẽ vượt qua mọi hàng phòng ngự của Liveness.

Nhưng bằng cách nào?

Bởi vì tuyên bố không phải là mặt nạ, ảnh hay video. Tuyên bố là của một người thật, thực sự xác thực. Tuy nhiên, họ KHÔNG xác thực ngay bây giờ.

Nguy hiểm không kém là sự xuất hiện của công nghệ Deepfake. Video tổng hợp thực tế về khuôn mặt của bạn có thể được tạo từ ảnh truyền thông xã hội của bạn - hình ảnh tổng hợp mà tính năng phát hiện Liveness không được trang bị để xử lý. Hình ảnh tổng hợp như vậy có thể được tạo ra trong thời gian thực và cũng có thể được sử dụng để bỏ qua các cảm biến của hệ thống. Deepfake có thể được thực hiện dễ dàng trên các ứng dụng tải xuống miễn phí.

Những hình thức tấn công này có chi phí thấp và có thể mở rộng - hai phẩm chất rất hấp dẫn đối với những kẻ tấn công mạng. Những cuộc tấn công này là một trong những cuộc tấn công nguy hiểm nhất và ít được bảo vệ nhất.

Chỉ là vấn đề thời gian cho đến khi các cuộc tấn công này lan rộng. Hệ thống của bạn sẽ được trang bị để xác định chúng?

Đảm bảo sự hiện diện chính hãng là rất quan trọng để bảo vệ danh tính kỹ thuật số. Chúng tôi sẽ không ngừng nói về Sự hiện diện đích thực cho đến khi nó là tiêu chuẩn bảo mật được mong đợi. Chúng tôi cũng sẽ không ngừng đổi mới. Tồn tại ở đỉnh cao của xác thực - luôn đi trước một bước so với mối đe dọa động mới nhất.