Pada artikel ini saya akan mencoba merangkum informasi tentang metode deteksi live yang ada, yang digunakan untuk melindungi sistem pengenalan wajah dari peretasan.
Apa yang kita lindungi?
Dengan perkembangan teknologi cloud dan layanan web, semakin banyak transaksi bergerak ke lingkungan online. Selain itu,
lebih dari 50% transaksi online (ritel) dibuat dari perangkat seluler.
Meningkatnya popularitas transaksi seluler tidak bisa tidak dibarengi dengan pertumbuhan aktif dalam kejahatan dunia maya.
Penipuan online adalah 81% lebih mungkin daripada penipuan point-of-sale.
16,7 juta data pribadi orang Amerika dicuri hanya untuk 2017 ( Strategi dan Penelitian Javelin ). Penipuan pembajakan akun mencapai $ 5,1 miliar.
Di Rusia, menurut Group-IB , pada 2017, peretas mencuri lebih dari satu miliar rubel dari pemilik ponsel pintar Android, yang 136% lebih banyak dari tahun sebelumnya.
Metode tradisional untuk memastikan keamanan dalam kasus autentikasi jarak jauh, misalnya, melalui pertanyaan keamanan atau SMS, tidak lagi dapat diandalkan karena peningkatan penipuan pengguna dan mekanisme rekayasa sosial. Semakin banyak biometrik datang untuk menyelamatkan di sini, terutama pengenalan wajah.
Menurut Acuity Market Intelligence , pada tahun 2020, total volume transaksi biometrik, pembayaran dan non-pembayaran, akan melebihi 800 juta per tahun.
Teknologi pengenalan wajah biasanya lebih disukai karena kurangnya kontak dan persyaratan minimal untuk interaksi pengguna, dan pada saat yang sama, itu hampir yang paling rentan terhadap serangan penipuan. Gambar wajah seseorang jauh lebih mudah diperoleh daripada pengidentifikasi biometrik lainnya, seperti sidik jari atau iris. Setiap foto pengguna (diperoleh dengan memotret close-up tanpa persetujuan pengguna atau dari Internet) dapat digunakan untuk menipu sistem. Jenis serangan ini, ketika pengguna nyata digantikan oleh penipu menggunakan pengidentifikasi palsu, disebut spoofing.
Metode pendeteksian live
Dari waktu ke waktu, di Internet, ada laporan tentang upaya lain yang berhasil menipu sistem pengenalan wajah. Tetapi apakah pengembang dan peneliti benar-benar tidak mengambil tindakan untuk meningkatkan keamanan sistem pengenalan wajah? Tentu saja mereka melakukannya. Ini adalah bagaimana teknologi pendeteksian liveness muncul, tugasnya adalah untuk memeriksa pengidentifikasi milik pengguna "langsung".
Ada beberapa klasifikasi metode deteksi live. Pertama-tama, mereka dapat dibagi menjadi perangkat keras dan perangkat lunak.
Metode perangkat keras melibatkan penggunaan peralatan tambahan, misalnya, kamera inframerah, kamera termal, kamera 3D. Karena sensitivitasnya yang rendah terhadap kondisi pencahayaan dan kemampuan untuk menangkap perbedaan spesifik dalam gambar, metode ini dianggap yang paling dapat diandalkan, khususnya, menurut
tes terbaru
, iPhone X, dilengkapi dengan kamera inframerah, adalah satu-satunya smartphone yang berhasil menahan serangan dengan menggunakan model wajah 3D. Kerugian dari metode tersebut termasuk tingginya biaya sensor tambahan dan sulitnya mengintegrasikan ke dalam sistem pengenalan wajah yang ada.
Metode perangkat keras sangat ideal untuk produsen perangkat seluler.
Tidak seperti
metode perangkat keras,
metode perangkat lunak tidak memerlukan peralatan tambahan (mereka menggunakan kamera standar), yang berarti mereka lebih mudah diakses, pada saat yang sama, mereka lebih rentan terhadap spoofing, karena hasil pemeriksaan tergantung pada faktor-faktor seperti tingkat pencahayaan dan resolusi kamera.
Jadi, apakah cukup untuk membeli smartphone modern dengan biometrik dan sensor inframerah "on board" dan masalahnya selesai? Ini adalah kesimpulan logis, jika bukan untuk satu TETAPI. Menurut
perkiraan, pada tahun 2020 hanya 35% otentikasi akan dilakukan melalui biometrik "bawaan" di perangkat seluler, sementara aplikasi seluler biometrik akan digunakan dalam 65% kasus. Hanya ada satu alasan - perangkat seluler semacam itu jauh lebih mahal, yang berarti tidak akan banyak digunakan. Ini berarti bahwa fokusnya masih bergeser ke metode perangkat lunak yang dapat bekerja secara efektif pada miliaran perangkat dengan kamera konvensional. Kami akan membahasnya secara rinci.
Ada dua jenis metode pemrograman: aktif (dinamis) dan pasif (statis).
Metode aktif membutuhkan kerja sama dari pengguna. Dalam hal ini, sistem meminta pengguna untuk melakukan tindakan tertentu sesuai dengan instruksi, misalnya, berkedip, memutar kepalanya dengan cara tertentu, tersenyum, dll. (protokol tantangan-respons). Kerugian dari metode tersebut berasal dari sini: pertama, perlunya kerja sama menghilangkan keuntungan dari sistem pengenalan wajah sebagai jenis otentikasi biometrik non-kooperatif, pengguna tidak suka menghabiskan waktu pada "gerakan tubuh" yang tidak perlu; kedua, jika tindakan yang diperlukan diketahui sebelumnya, perlindungan dapat diatasi dengan memutar video atau replika 3D dengan meniru ekspresi / gerakan wajah.
Inti dari metode tersebut adalah deteksi gerakan dalam urutan frame input untuk mengekstrak fitur dinamis yang memungkinkan Anda untuk membedakan antara wajah asli dan palsu. Metode analisis didasarkan pada fakta bahwa pergerakan objek 2D datar secara signifikan berbeda dari pergerakan wajah manusia nyata, yang merupakan objek 3D. Karena metode aktif menggunakan lebih dari satu bingkai, mereka memerlukan lebih banyak waktu untuk membuat keputusan. Frekuensi gerakan wajah biasanya berkisar antara 0,2 hingga 0,5 Hz. Oleh karena itu, mengumpulkan data untuk mendeteksi spoofing membutuhkan waktu lebih dari 3 detik, pada saat yang sama, penglihatan manusia, yang kemampuannya, pada kenyataannya, meniru metode ini, menentukan gerakan dan membangun peta struktur Lingkungan jauh lebih cepat.
Tidak seperti aktif, metode pasif tidak memerlukan keterlibatan pengguna dan mengandalkan data analisis gambar 2D tunggal, yang memberikan respons cepat dan kenyamanan pengguna. Metode yang paling banyak digunakan: berdasarkan spektrum Fourier (mencari perbedaan dalam pantulan cahaya benda 2D dan 3D) dan metode yang mengekstraksi properti tekstur gambar. Efektivitas metode ini berkurang dengan perubahan arah dan kecerahan pencahayaan. Selain itu, perangkat modern mampu mentransmisikan gambar dalam resolusi tinggi dan warna alami, memungkinkan Anda menipu sistem.
Mana yang lebih baik?
Tabel ini merangkum karakteristik utama dari kategori utama metode. Saya tidak akan menjelaskan metode yang termasuk dalam setiap kategori, ada banyak dari mereka dan mereka bervariasi tergantung pada algoritma yang digunakan dan kombinasinya.
| Kategori Metode | Prinsip kerja | Manfaatnya | Keterbatasan |
|---|
| Metode berdasarkan gerakan (ekspresi wajah) atau metode temporal (dinamis, jarang statis) | Memperbaiki gerakan atau tindakan otot yang tidak disengaja berdasarkan permintaan | Kemampuan generalisasi yang baik * | - Keandalan rendah;
- respons lambat (> 3 detik);
- kompleksitas perhitungan yang tinggi;
- efektif terhadap foto dan topeng 2D. |
| Metode Analisis Tekstur (Statis) | Cari fitur tekstur khusus untuk wajah yang dicetak (blur, kegagalan fungsi cetak, dll.) | - Respon cepat (<1 detik);
- hanya satu gambar yang diperlukan;
- kompleksitas komputasi yang rendah;
- biaya rendah;
- metode non-invasif.
| - Kemampuan generalisasi yang rendah;
- rentan terhadap serangan menggunakan video resolusi tinggi. |
| Metode berdasarkan analisis kualitas gambar (statis) | Analisis kualitas gambar wajah asli dan gambar 2D palsu (analisis distorsi, analisis distribusi cermin) | - Kemampuan generalisasi yang baik;
- respon cepat (<1 detik);
- kompleksitas komputasi rendah.
| - Untuk berbagai jenis serangan spoofing, berbagai pengklasifikasi diperlukan;
- rentan terhadap perangkat modern.
|
| Metode berdasarkan struktur wajah 3D (dinamis) | Memperbaiki perbedaan dalam sifat-sifat aliran optik yang dihasilkan oleh objek tiga dimensi dan pesawat dua dimensi (analisis jalur gerak, membangun peta kedalaman) | Keandalan metode yang tinggi (terkait dengan serangan 2D dan serangan 3D)
| - Respons lambat (> 3 detik);
- sensitivitas terhadap pencahayaan dan kualitas gambar.
|
| Metode multimoda (statis dan dinamis) | Kombinasi dua atau lebih metode biometrik | - Keandalan tinggi;
- universalitas (kemampuan untuk memilih modalitas).
| - Respons lambat (> 3 detik);
- kemampuan untuk memilih modalitas membuatnya lebih mudah untuk memilih metode serangan paling sederhana;
- Kompleksitas menggabungkan fitur yang diekstraksi dengan metode yang berbeda.
|
| Metode Sensor lembam (Dinamis) | Analisis korespondensi gerakan wajah dengan pergerakan kamera menggunakan sensor bawaan perangkat seluler (accelerometer dan giroskop) | - Keandalan metode yang tinggi (terkait dengan serangan 2D);
- Sensor yang diperlukan sudah termasuk dalam smartphone.
| - Respons lambat (> 3 detik);
- hasilnya tergantung pada keakuratan pengukuran sensor;
- sensitivitas terhadap pencahayaan, penyumbatan, dan ekspresi wajah.
|
* Kemampuan model untuk bekerja secara efektif dalam kasus-kasus di luar ruang lingkup contoh pelatihan (misalnya, ketika mengubah kondisi pendaftaran templat: pencahayaan, kebisingan, kualitas gambar)Berbagai jenis metode dapat digabungkan satu sama lain, tetapi karena lamanya pemrosesan berbagai parameter, efisiensi pendeteksian dengan metode hibrida semacam itu sangat diinginkan.
Gambar aplikasi dalam sistem pengenalan wajah modern kira-kira sebagai berikut *:
* Menurut analisis sistem lebih dari 20 vendorSeperti dapat dilihat dari grafik, metode dinamis berlaku, dan tawaran ditempatkan pada permintaan untuk tindakan. Pilihan ini kemungkinan besar karena asumsi bahwa penyerang tipikal memiliki keterampilan teknis dan alat sederhana yang terbatas. Dalam praktiknya, pengembangan teknologi dan peningkatan ketersediaannya menyebabkan munculnya metode spoofing yang lebih canggih.
Contoh dari ini adalah
laporan oleh para peneliti dari University of North Carolina yang berhasil mengelabui lima algoritma pengenalan wajah menggunakan model 3D kepala sukarelawan bertekstur yang dibuat pada smartphone menggunakan foto studio dan foto dari jejaring sosial, serta teknologi realitas virtual untuk mensimulasikan gerakan dan ekspresi wajah. Sistem "tertipu" hanya mengandalkan analisis tindakan pengguna (dengan membangun struktur atau hanya memeriksa gerakan), setidaknya pada saat itu vendor sistem tidak menyatakan metode lain.
Tetapi metode
FaceLive , yang pada waktu itu tidak digunakan dalam sistem pengenalan wajah, melewatkan serangan hanya pada 50% kasus. Mekanisme pendeteksian liveness membandingkan kesamaan antara perubahan arah gerakan ponsel yang diukur dengan akselerometer dan perubahan landmark wajah (hidung, mata, dll.) Yang diamati pada video dari kamera. Pengguna langsung terdeteksi jika perubahan posisi kepala dalam video wajah konsisten dengan pergerakan perangkat. Kerugian dari metode ini termasuk ketergantungan pada keakuratan sensor inersia perangkat, tingkat pencahayaan, ekspresi wajah pengguna dan durasi prosedur yang lama.
Menurut penulis laporan tersebut, analisis aliran darah, proyeksi cahaya, dan penggunaan kamera inframerah mampu menahan serangan dengan sukses menggunakan model 3D yang meniru ekspresi dan gerakan wajah.
Analisis aliran darah didasarkan pada mengidentifikasi perbedaan dalam reproduksi perubahan periodik dalam warna kulit sebagai akibat dari kontraksi jantung. Gambar palsu mereproduksi warna lebih buruk.
Saat menggunakan proyeksi cahaya, perangkat internal atau sumber cahaya eksternal memancarkan berkedip secara berkala. Ketika mencoba menipu, sistem rendering 3D harus dapat dengan cepat dan akurat memvisualisasikan pola pencahayaan yang diproyeksikan pada model. Persyaratan untuk peralatan tambahan adalah batasan yang signifikan.
Laporan tersebut diterbitkan pada tahun 2016, dan selama itu beberapa algoritma diperbaiki. Jadi, beberapa vendor mengklaim kemampuan sistem mereka untuk berhasil menolak serangan menggunakan topeng 3D.
Contoh sikap serius terhadap keandalan teknologi adalah Apple dan Microsoft. ID Wajah pada satu waktu membantu menarik perhatian khalayak luas untuk menghadapi pengakuan, menunjukkan seperti apa masa depan keamanan data pribadi. Namun segera setelah peluncuran, puluhan video (kebanyakan palsu) muncul dengan topik penipuan teknologi. Pada 2017,
Windows Hello berhasil menipu pengenalan wajah dengan gambar yang dicetak. Kembali ke
hasil uji Forbes, dapat dinyatakan bahwa perusahaan telah melakukan pekerjaan yang baik sejak saat itu, akibatnya sistem mereka tidak retak.
Saya pribadi belum melihat contoh nyata (untuk tujuan melakukan kejahatan) peretasan sistem pengenalan wajah, tidak seperti, katakanlah, sistem yang didasarkan pada pemindaian sidik jari. Yaitu semua upaya peretasan dilakukan untuk menguji keandalan, atau untuk mendiskreditkan teknologinya. Tentu saja, sistem pengenalan wajah tidak seluas sistem pemindaian sidik jari, tetapi mereka masih digunakan, termasuk di bank, di mana perhatian maksimum diberikan pada masalah keamanan.
Untuk meringkas
- Pengembang sistem pengenalan wajah tentu prihatin tentang masalah keamanan, semua vendor menawarkan beberapa bentuk perlindungan terhadap spoofing (baik, atau mengklaim memilikinya), pengecualian adalah beberapa produsen perangkat seluler, tetapi mereka biasanya memperingatkan tentang kemungkinan kecurangan pada teknologi pengenalan individu, menawarkannya sebagai faktor perlindungan tambahan.
- Metode konvensional biasanya tunduk pada batasan seperti ketergantungan pada kondisi pencahayaan, kecepatan respons, interaktivitas, atau biaya tinggi. Oleh karena itu, peningkatan algoritma diperlukan untuk meningkatkan kualitas pengguna sistem pengenalan.
- Mekanisme perlindungan di masa depan harus mengantisipasi perkembangan teknologi spoofing dan cepat beradaptasi dengan ancaman baru.
- Pengenalan algoritma modern akan membuat penipuan "kesenangan yang mahal", dan karena itu tidak praktis untuk sebagian besar penyerang, mis. semakin banyak sarana teknis dan keterampilan yang dibutuhkan untuk melakukan serangan, semakin banyak pengguna yang dilindungi dapat merasakan.
- Kehadiran algoritma baru dalam Grafik korelasi penerapan berbagai metode, meskipun dalam proporsi kecil, menunjukkan bahwa vendor mencari cara perlindungan yang lebih efektif terhadap spoofing. Perusahaan sedang bereksperimen, sering menawarkan tidak hanya satu tetapi beberapa metode pendeteksian live, yang tidak bisa tidak menginspirasi optimisme tentang masa depan sistem pengenalan wajah.