Em yêu, sao thế? Khuôn mặt của em không riêng tư, nhưng sinh trắc học của em thì phải riêng tư

Vụ vi phạm dữ liệu 'Honey Pot' năm 2024 ở El Salvador là một lời cảnh tỉnh . Gần 80% dân số của đất nước này đã bị lộ hồ sơ cá nhân, bao gồm cả hình ảnh khuôn mặt. Khi sự cố này tái diễn trên mạng xã hội, nó đặt ra những câu hỏi quan trọng về những gì thực sự làm cho xác thực sinh trắc học trở nên an toàn.

Nhưng đây là điều mà nhiều nhà bình luận bỏ lỡ: vi phạm này, mặc dù đáng báo động vì lý do riêng tư, nhưng không làm ảnh hưởng đến các hệ thống xác thực sinh trắc học có khả năng phát hiện sự sống . Hiểu được lý do có nghĩa là xóa tan một quan niệm sai lầm phổ biến.

Trong bài viết này, chúng tôi sẽ giải thích sự khác biệt giữa bảo vệ quyền riêng tư và bảo mật xác thực trong hệ thống sinh trắc học, đồng thời phân biệt cách lưu trữ dữ liệu sinh trắc học và cách sử dụng dữ liệu này để xác minh danh tính .

Một quan niệm sai lầm phổ biến: Huyền thoại về sự bí mật của khuôn mặt

Nhiều người cho rằng bảo mật sinh trắc học phụ thuộc vào việc giữ bí mật hình ảnh khuôn mặt của bạn, như thể khuôn mặt của bạn là một mật khẩu phải được ẩn. Ý tưởng là nếu khuôn mặt của bạn vẫn được ẩn, thì danh tính của bạn cũng vậy, và do đó dịch vụ bạn đang sử dụng vẫn được bảo mật. 

Trong thời đại kỹ thuật số của chúng ta, thực tế là khuôn mặt của chúng ta đã là công khai. Hãy nghĩ đến:

• Ảnh chuyên nghiệp trên LinkedIn
• Hình ảnh cá nhân trên phương tiện truyền thông xã hội
• Ảnh ID do chính phủ cấp
• Cảnh quay camera an ninh ở nơi công cộng

Kẻ tấn công có thể dễ dàng tìm thấy ảnh trên mạng xã hội mà không cần phải xâm phạm cơ sở dữ liệu an toàn. Nếu bảo mật sinh trắc học chỉ dựa vào tính bảo mật của khuôn mặt, thì việc đăng ảnh của bạn lên Instagram sẽ là một rủi ro bảo mật rất lớn.

Kẻ tấn công không cần phải xâm phạm cơ sở dữ liệu an toàn để tìm ra khuôn mặt của bạn – chúng chỉ cần truy cập vào hồ sơ công khai của bạn. Tuy nhiên, các hệ thống xác thực sinh trắc học vẫn tiếp tục bảo mật hàng tỷ giao dịch mỗi ngày. Làm thế nào?

Chỉ vì ai đó nhìn thấy khuôn mặt của bạn hoặc hình ảnh khuôn mặt của bạn không cho phép họ sao chép các điều kiện chính xác cần thiết để xác thực mà không có sự hiện diện của bạn. Thách thức thực sự nằm ở việc xác minh rằng người đang cố gắng truy cập vào hệ thống thực sự là đúng người, một người thực, đang xác thực theo thời gian thực - điều mà hình ảnh tĩnh không thể chứng minh được.

Tìm hiểu thêm về cách iProov liên tục bảo vệ chống lại các mối đe dọa đang phát triển và mới nổi tại đây.

Quyền riêng tư so với Bảo mật: Một sự phân biệt quan trọng

Thông tin sinh trắc học được lưu trữ phải được mã hóa và bảo vệ, nhưng chủ yếu là để tôn trọng quyền riêng tư của cá nhân và tuân thủ quy định, không phải vì việc tiết lộ thông tin sẽ làm ảnh hưởng đến tính bảo mật sinh trắc học. 

Quyền riêng tư và bảo mật tuy có liên quan nhưng lại phục vụ những mục đích khác nhau trong hệ thống sinh trắc học:

• Bảo vệ quyền riêng tư liên quan đến cách dữ liệu cá nhân được lưu trữ, truy cập và sử dụng. Đó là về việc tôn trọng quyền của cá nhân trong việc kiểm soát thông tin của họ và ngăn chặn truy cập trái phép vào dữ liệu đó.
• Bảo mật xác thực tập trung vào một câu hỏi quan trọng: Liệu người đang cố gắng truy cập có thực sự là người mà họ tuyên bố, đang xác thực theo thời gian thực hay không?

Vụ vi phạm ở El Salvador mặc dù là hành vi vi phạm nghiêm trọng quyền riêng tư nhưng không nhất thiết tạo ra lỗ hổng bảo mật trong các hệ thống xác thực được thiết kế đúng cách. 

Trong khi việc mã hóa dữ liệu sinh trắc học rất cần thiết cho quyền riêng tư, thước đo thực sự về bảo mật lại nằm ở việc liệu hệ thống có thể xác nhận được người truy cập dữ liệu có thực sự có mặt tại thời điểm giao dịch hay không.

Nền tảng thực sự của bảo mật sinh trắc học

Thứ thực sự bảo vệ chống lại các nỗ lực mạo danh là sự kết hợp giữa các công nghệ và thuật toán cơ bản để xác định con người thực sự đang có mặt trong thời gian thực – không phải là cuộc tấn công phát lại , deepfake hay tiêm dữ liệu kỹ thuật số .

Khi giải pháp xác thực sinh trắc học dựa trên khoa học được triển khai, hình ảnh bị đánh cắp trở nên vô giá trị trong các cuộc tấn công. Chúng không thể được sử dụng để đánh lừa hệ thống phát hiện sinh trắc học tinh vi xác định xem người thực có đang xác thực tại thời điểm đó hay không.

Ngay cả khi kẻ tấn công có quyền truy cập vào cơ sở dữ liệu hình ảnh khuôn mặt, những hình ảnh đó sẽ vô dụng nếu hệ thống yêu cầu bằng chứng trực tiếp về sự hiện diện. Một bức ảnh tĩnh hoặc thậm chí là deepfake sẽ không vượt qua được bài kiểm tra độ sống dựa trên khoa học.

Hệ thống sinh trắc học tiên tiến đòi hỏi phải có bằng chứng chứng minh rằng:

1. Một con người thực sự (không phải ảnh hoặc deepfake) hiện diện
2. Người cụ thể này (phù hợp với thông tin đăng nhập đã lưu trữ) được xác thực
3. Xác thực đang diễn ra ngay bây giờ (không phải phát lại từ phiên trước)

Tìm hiểu thêm về các quy trình/chứng nhận về quyền riêng tư và bảo mật của hệ thống của chúng tôi trong Sách điện tử Bảo mật & Kiến trúc mới .

Vượt ra ngoài bảo mật mẫu

Nhiều tổ chức tập trung nhiều vào cách lưu trữ dữ liệu sinh trắc học một cách an toàn – chia nhỏ và mã hóa dữ liệu tại nhiều vị trí, giống như việc lưu trữ các mảnh của một bức tranh có giá trị trong nhiều két an toàn khác nhau. 

Công nghệ của iProov sử dụng tường lửa riêng tư. iProov không có quyền truy cập vào thông tin nào khác ngoài khuôn mặt và tổ chức sử dụng iProov không có quyền truy cập vào dữ liệu sinh trắc học. Có sự tách biệt về mặt cấu trúc giữa danh tính người dùng và dữ liệu sinh trắc học của người dùng, điều này rất hiệu quả trong việc bảo vệ quyền riêng tư của người dùng.

Nhưng tính bảo mật của xác thực sinh trắc học không phụ thuộc vào việc chúng ta lưu trữ hình ảnh khuôn mặt hay mẫu sinh trắc học tốt như thế nào – mà phụ thuộc vào khả năng phát hiện và ngăn chặn các nỗ lực mạo danh của hệ thống trong quá trình xác thực.

Phát hiện sự sống dựa trên khoa học

Thiết lập tính xác thực theo thời gian thực là một trong những thách thức cấp bách nhất trong bảo mật sinh trắc học. Để thực hiện được điều này, cần có công nghệ phát hiện sự sống động theo kiểu thách thức-phản hồi thụ động ; công nghệ này tạo thành nền tảng thực sự của xác thực sinh trắc học an toàn. Không giống như phản hồi thách thức chủ động, như quay đầu, phản hồi thách thức thụ động không có hướng dẫn phức tạp và mang lại hiệu suất cao trên nhiều nhóm nhân khẩu học.

iProov Dynamic Liveness xác minh đó là người thật và họ đang xác thực theo thời gian thực, cung cấp mức độ đảm bảo danh tính cao nhất và khả năng phòng thủ deepfake quan trọng. Các mức độ bảo mật tiên tiến đạt được nhờ công nghệ Flashmark™ đã được cấp bằng sáng chế , công nghệ này sẽ chiếu sáng màn hình thiết bị trong quá trình chụp khuôn mặt. Sự phản chiếu ánh sáng trên khuôn mặt của cá nhân xác nhận rằng họ thực sự có mặt và cung cấp khả năng giảm thiểu tiên tiến các cuộc tấn công dựa trên AI zero-day, bao gồm deepfake và hoán đổi khuôn mặt.

Nhìn về phía trước

Vụ vi phạm ở El Salvador làm nổi bật một sự thật quan trọng: trong một thế giới ngày càng bị đe dọa bởi các cuộc tấn công deepfake và tiêm dữ liệu kỹ thuật số tinh vi, tính bảo mật của các hệ thống sinh trắc học sẽ phụ thuộc nhiều hơn bao giờ hết vào khả năng xác minh sự hiện diện thực sự của con người. Bằng cách tập trung vào tính sống động dựa trên khoa học với xác minh theo thời gian thực, các tổ chức có thể tạo ra một môi trường bảo mật nơi dữ liệu bị đánh cắp không thể được sử dụng lại để mạo danh.

Bài học từ El Salvador không phải là xác thực sinh trắc học có lỗi; mà là khuôn mặt không phải là chìa khóa của sinh trắc học – phát hiện sự sống mới là chìa khóa. Với phát hiện sự sống phù hợp, xác thực sinh trắc học vẫn là một trong những công cụ mạnh nhất của chúng ta chống lại gian lận danh tính.

Khi xác thực sinh trắc học ngày càng trở nên quan trọng trong cuộc sống số của chúng ta – từ ngân hàng đến chăm sóc sức khỏe đến các dịch vụ của chính phủ – thì việc lựa chọn đúng đối tác công nghệ là rất quan trọng.

iProov coi trọng quyền riêng tư và bảo mật – công nghệ của chúng tôi được chứng nhận bởi FIDO và ISO , và tuân thủ GDPR, SOC 2 và eIDAS ( và các tiêu chuẩn khác – tìm hiểu thêm ), cung cấp mức độ đảm bảo danh tính cao nhất để giảm gian lận và bảo vệ tổ chức của bạn. Sẵn sàng xem các giải pháp xác thực tiên tiến của chúng tôi có thể bảo vệ người dùng của bạn như thế nào? Đặt lịch trình demo ngay hôm nay.