Vi ser fram til en tilværelse hvor passord ikke er nødvendig, men det lar stadig vente på seg. Nå har sikkerheten fått et skudd for baugen.
Under årets USENIX sikkerhetssymposium i Texas presenterte nemlig fire eksperter fra University of North Carolina at Chapel Hill hvordan de har klart å lure en rekke system for ansiktsgjenkjenning.
Slik teknologi blir stadig mer utbredt skriver Wired, og er en mulighet for å blant annet låse opp Android-telefoner i stedet for å bruke et passord.
Brukte bilder fra sosiale medier
Til sitt prosjekt hentet Yi Xu, True Price, Jan-Michael Frahm og Fabian Monrose bilder av 20 frivillige fra sosiale medier som Google+ og Facebook, samt andre steder på nettet. Mellom 3 og 27 bilder av hver person ble brukt.
Clearly, the availability of online user photos is a boon for an adversary tasked with the challenge of undermining face authentication systems.
Bildene ble satt sammen til en 3D-modell av «offerets» ansikt. Det var denne modellen som ble brukt til å lure systemer for ansiktsgjenkjenning.
Ved hjelp av VR-teknologi (kunstig virkelighet) kunne de manipulere modellen til å heve øyenbryn eller smile.
Dette lurte ansiktsgjenkjenningssystemene til å tro at et ekte menneske forsøkte å identifisere seg. De utmanøvrerte dermed «liveness»-funksjonen som skal gjøre det vanskeligere å lure systemet ved bruk av stillestående bilder.
Fem avanserte systemer for ansiktsgjenkjenning ble testet, som KeyLemon, Mobius, BioID og 1U App og True Key. Sistnevnte er utviklet av Intel og fungerer på en rekke plattformer som beskrevet i denne videoen:
Gullgruve for angripere
Ekspertene konkluderer med at offentlige bilder på sosiale medier er en grullgruve for de som ønsker å lure slike system.
Det som gjør det hele ekstra utfordrende er at jo mer robust systemet bygges, jo vanskeligere blir det å bruke, skriver de videre.
Hvis man skal hindre en papirutstkrift, 3D-printet maske, eller VR-modell fra å funke, vil systemet høyst sannsynlig svært ofte avvise den ekte brukeren. Dette vil gjøre systemet nærmest umulig å bruker.
For å unngå dette skriver ekspertene at de kraftigste systemene for ansiktsgjenkjenning må inkludere bilder som ikke er offentlige og ikke kan kopieres på en enkel måte.
– I det minste er det viktig at systemer for ansiktsgjenkjenning klarer å avvise syntetiske ansikt med lav oppløsning, skriver ekspertene.
Du kan se ekspertenes presentasjon her eller lese hele rapporten her.
Bruker du ansiktsgjenkjenning eller fingeravtrykk i stedet for passord?