Viết bởi Andrew Bud, Giám đốc điều hành & Người sáng lập
Khi chúng tôi ra mắt iProov vào năm 2013, dường như rõ ràng với chúng tôi rằng "các cuộc tấn công phát lại" sẽ là một trong những mối đe dọa nguy hiểm nhất phải đối mặt với việc xác minh. Chúng xảy ra khi một ứng dụng, thiết bị, liên kết liên lạc hoặc cửa hàng bị xâm phạm và hình ảnh video của nạn nhân bị đánh cắp; Hình ảnh bị đánh cắp sau đó được sử dụng để mạo danh nạn nhân. Ngay từ đầu, chúng tôi đã thiết kế hệ thống của mình để có khả năng phục hồi mạnh mẽ trước mối nguy hiểm này. Tuy nhiên, chỉ đến lúc này thị trường mới bắt đầu hiểu được sự nguy hiểm của các cuộc tấn công phát lại.
Một cuộc tấn công phát lại là gì và làm thế nào nó có thể được chống lại?
Một số lượng ngày càng giảm người vẫn tin rằng nhận dạng khuôn mặt là chìa khóa để bảo mật xác minh khuôn mặt. Không phải vậy. Về mặt thực tế, sẽ là ngu ngốc của một tên tội phạm khi cố gắng mạo danh nạn nhân bằng cách cố gắng trông giống họ - điều đó cực kỳ khó thực hiện và khó có thể thành công đến mức gần như vô nghĩa. Vì khuôn mặt của chúng tôi đều công khai và dễ sao chép, nên việc trình bày hình ảnh của nạn nhân sẽ hiệu quả hơn nhiều. Hầu hết các nhân vật chính trong ngành vẫn tập trung vào các bản sao đồ tạo tác - ảnh, hình ảnh màn hình (ảnh tĩnh hoặc video) hoặc mặt nạ. Rất nhiều năng lượng được dành cho mặt nạ. Real-f Co., có trụ sở tại Nhật Bản, tạo ra một số mặt nạ thực tế nhất hiện có - kết cấu lỗ chân lông trên da là hoàn hảo và thậm chí cả ống dẫn nước mắt lấp lánh. Mặc dù chúng hấp dẫn về mặt hình ảnh, nhưng những tác phẩm nghệ thuật như vậy có thể có giá 10.000 đô la. Mặt nạ không phải là một cách có thể mở rộng để tấn công kinh tế số lượng lớn nạn nhân. Tất nhiên, việc phát hiện mạnh mẽ khẩu trang là điều cần thiết, nhưng có những nguy hiểm lớn hơn.
Nếu kẻ tấn công có thể cấy phần mềm độc hại vào thiết bị người dùng, ví dụ bằng cách khiến người dùng nhấp vào liên kết giả mạo, phần mềm độc hại đó có khả năng truy cập vào hình ảnh được chụp bởi các ứng dụng trên thiết bị. Điều này đúng với tất cả các ứng dụng, bất kể chúng được bọc thép mạnh đến đâu. Các biện pháp tăng cường ứng dụng không chặn các cuộc tấn công, chúng chỉ đơn giản là tăng nỗ lực mà kẻ tấn công phải đầu tư để thành công. Và nếu giải thưởng là quyền truy cập vào hàng triệu thiết bị, các động lực kinh doanh để làm như vậy là hấp dẫn. Đây là lý do tại sao, tại iProov, chúng tôi không bao giờ dựa vào tính toàn vẹn của thiết bị. Sau khi bị đánh cắp, video sẽ được phát lại kỹ thuật số thành một thiết bị độc hại, bỏ qua máy ảnh và không bao giờ xuất hiện trên màn hình.
Đó là lý do tại sao công nghệ Flashmark cốt lõi của chúng tôi làm cho mọi video xác minh trở nên độc đáo. Flashmark chiếu sáng khuôn mặt của người dùng với một chuỗi màu một lần từ màn hình thiết bị. Khuôn mặt được chiếu sáng là cái mà chúng ta gọi là "sinh trắc học một lần". Giống như mật mã một lần, số được gửi bằng tin nhắn văn bản để xác thực với nhiều dịch vụ bảo mật, nó đã lỗi thời ngay khi được sử dụng và vô giá trị nếu bị đánh cắp.
Bất kỳ phần mềm độc hại hoặc cuộc tấn công nào cố gắng đánh cắp video khuôn mặt Flashmarked đều thấy rằng nó hoàn toàn vô dụng - với chuỗi màu sai trên khuôn mặt, nó sẽ bị phát hiện và từ chối ngay lập tức. Công nghệ tương tự này cũng cung cấp khả năng bảo vệ mạnh mẽ duy nhất của ngành công nghiệp chống lại ảnh tĩnh hoạt hình, video tổng hợp và Deepfakes, một mối đe dọa mà iProov đã nhấn mạnh trong vài năm.
Ưu điểm lớn của công nghệ này là cực kỳ hữu dụng. Các phương pháp phòng thủ phát lại khác phá hủy khả năng sử dụng bằng cách bắn phá người dùng bằng các hướng dẫn ngày càng khó hiểu để di chuyển đầu của họ theo một chiều, sau đó điện thoại của họ theo cách khác, sau đó đọc thuộc lòng số, v.v. Rất thường xuyên, họ thất bại vì người dùng không làm như họ được bảo hoặc vì khá đơn giản là không thể hiểu hướng dẫn. iProov Flashmark hoàn toàn thụ động – người dùng không cần thực hiện hành động nào, vì vậy tỷ lệ thành công giao dịch rất cao.
Gợi ý rằng thiết bị người dùng không thấm nước hoặc các ứng dụng dành cho thiết bị di động có thể được làm cho không bị hỏng, là sai lệch và nguy hiểm. Chúng tôi tin rằng trung tâm của bảo mật sinh trắc học tốt nằm ở khả năng phát hiện và làm chệch hướng các cuộc tấn công dựa trên các bản ghi bị đánh cắp được phát lại và các hình ảnh kỹ thuật số khác, được đưa trực tiếp vào luồng dữ liệu. Bất cứ điều gì ít làm thất vọng các doanh nghiệp và người dùng của họ.
