¿Es el reconocimiento facial una buena característica de seguridad?

74

Encontré que este tipo subió un código de reconocimiento facial con un comentario que él Me gustaría usarlo "como una característica de seguridad". Esto me hizo pensar; ¿Es el reconocimiento facial una característica de seguridad válida, o es "genial", pero no es una forma muy efectiva de asegurar algo?

    
pregunta MatthewRock 06.09.2016 - 14:11
fuente

6 respuestas

127

No, en realidad no. Al menos no como forma primaria de autenticación. La biometría en general no es buena para la autenticación, porque:

  • Los dejas por todos lados, y no hay forma de evitar eso.
  • No se pueden cambiar en caso de incumplimiento.
  • Es necesario agregar una alta tolerancia de error para no causar problemas de uso. Estas tolerancias conducen a falsos positivos, incluso sin ataques, y hacen posibles los ataques.
  

En la práctica, cuando se implementan los algoritmos, generalmente tienen que   equilibrio entre [tasa de aceptación falsa] y [tasa de rechazo falso].   Esto hace que la eficiencia del reconocimiento facial sea la más baja de todas.   Respecto a la mesa. Su seguridad también es inferior a otras biométricas.   Sistema de reconocimiento, especialmente en comparación con el escaneo de huellas dactilares.

     

- Su   face NO es su contraseña, Autentificación de rostro Pasando por Lenovo -   Asus - Toshiba   (2009)

No pude encontrar una demostración en vivo para ese documento, pero aquí hay una de 31C3 habla sobre biometría , que utiliza una imagen simple y puede omitir el parpadeo requerido. Aquí hay un artículo de una persona que utiliza un video para evitar un requisito de parpadeo.

Aquí hay un artículo más reciente que utiliza enfoques más modernos:

  

En este documento, presentamos un enfoque novedoso para evitar la cara moderna   sistemas de autentificación Más específicamente, aprovechando un puñado de   Imágenes del usuario objetivo tomadas de las redes sociales, mostramos cómo   Crea modelos faciales 3D realistas y texturizados que socavan la   Seguridad de las soluciones de autenticación de rostro ampliamente utilizadas.

     

[...]

     

En nuestra opinión, es altamente improbable que una autenticación facial robusta   Los sistemas podrán operar utilizando únicamente cámara web / móvil.   entrada. Dada la naturaleza generalizada de la alta resolución personal en línea   fotos, los adversarios de hoy tienen una mina de oro de información en su   Disposición para la creación sintética de datos faciales falsos. Además, incluso si   un sistema es capaz de detectar robusto cierto tipo de ataque, ya sea   utilizando una copia impresa en papel, una máscara impresa en 3D o nuestro método propuesto:   La generalización a todos los posibles ataques aumentará la posibilidad.   de falsos rechazos y, por lo tanto, limitan la usabilidad general de la   sistema.

     

- U virtual: Derrotando la detección de la vitalidad facial mediante la construcción   Modelos virtuales de tus fotos públicas (2016)

    
respondido por el tim 06.09.2016 - 14:52
fuente
56

Es útil como un "nombre de usuario"

Tenemos un nombre para una función de autenticación que no se puede cambiar fácilmente y ocasionalmente se muestra a terceros: es el ID de su cuenta, nombre de usuario, etc.

Si bien aún desea utilizar otra cosa (por ejemplo, una contraseña) como la función de autenticación principal, reemplazar la ID de usuario con reconocimiento facial puede hacer que sea más conveniente (sin necesidad de ingresar nada) y más seguro que el que se usa comúnmente ID como nombres de usuario o direcciones de correo electrónico.

    
respondido por el Peteris 06.09.2016 - 17:14
fuente
18

Lo etiquetaste con autenticación, así que responderé desde esa perspectiva. (Pero como Aria señala en los comentarios, también tiene aplicaciones en vigilancia).

Para que el reconocimiento facial sea una característica interesante en Facebook, solo necesita funcionar la mayor parte del tiempo. Para que sea útil para la autenticación, debe tener una tasa de falla cercana a cero. Casi no hay falsos positivos (incluso si es una persona que se parece mucho a usted, o si alguien está sosteniendo una fotografía o un modelo 3D de su rostro), y casi no tiene falsos negativos (incluso si perdió mucho peso o se aplicó algún maquillaje). Eso es pedir mucho.

Y al igual que con toda la autenticación biométrica, tiene el problema de incrustar la clave en su cuerpo. Si pensabas que los chicos malos que te cortaban el dedo para superar el escáner de huellas dactilares eran malos, imagina lo que tendrían que hacer para ponerte cara ...

Además, no puede cambiar la forma de su cara (excepto la cirugía plástica) tan fácil como puede cambiar una contraseña o una clave física si está comprometida.

Así que esto tiene todos los problemas de los lectores de huellas digitales, solo que mucho peor. Es una mala idea.

    
respondido por el Anders 06.09.2016 - 14:38
fuente
4

Ya se han proporcionado algunas buenas respuestas. Probablemente el punto clave es que depende de su perfil de riesgo. En algunas situaciones, el reconocimiento facial puede ser un control conveniente que sea adecuadamente efectivo para esa situación en particular, pero para muchas otras situaciones, deberá incluirlo con otros controles antes de que proporcione un nivel adecuado de protección. Por ejemplo, podría decidir que el reconocimiento facial está bien en la computadora de mi hogar o que podría ser adecuado para el bloqueo del protector de pantalla, pero no es suficiente para un inicio de sesión inicial o en mi computadora en la oficina de planta abierta en el trabajo, etc.

El otro punto importante a tener en cuenta es que existe una variación considerable en la precisión y confiabilidad de los diferentes sistemas de reconocimiento facial. Por ejemplo, las personas han demostrado que muchas de las implementaciones en algunos dispositivos móviles de gama baja tienen diferentes parámetros de coincidencia que pueden ser fácilmente engañados por una foto o por alguien que se vea "similar".

Al igual que con casi todos los controles de seguridad, las preguntas como "Is X secure" son generalmente la pregunta incorrecta. La seguridad debe ser evaluada dentro del contexto objetivo. Lo que busca es un equilibrio adecuado entre el riesgo de un compromiso y la conveniencia. Una vez que haya identificado qué controles son apropiados, debe evaluar cuán efectiva es la implementación de los controles seleccionados. Si ha evaluado que en una situación específica, el reconocimiento facial sería apropiado, entonces evalúa que la solución de reconocimiento facial implementada funciona dentro de los parámetros aceptables.

    
respondido por el Tim X 09.09.2016 - 01:04
fuente
1

Depende de tu definición de seguridad. Por ejemplo, ciertamente se puede usar como una función de seguridad si nadie lo sabe y la cámara compara de manera oculta los rostros de los hombres que inician sesión con los rostros obligados a acc y advierte a los responsables de la seguridad sobre los desajustes. Pero es seguridad a través de la oscuridad y si un atacante lo sabe, usará medios simples o complicados para evitar el acceso a la seguridad. Mostrar una foto o usar una máscara facial. Lo mismo sobre huellas dactilares y escáneres de iris. La mayoría de las cosas biométricas con fines de autenticación funcionan solo en entornos supervisados cuando un hombre se encuentra cerca y detecta tramposos con sus ojos, cerebro y experiencia, como control de fronteras, vigilancia de calles (si los usar máscaras o evitar cámaras o comportarse de manera diferente son detenidos por la policía) o criminales de perfil. Así que para auth. Para propósitos no autorizados, solo es bueno impresionar a niños de 5 años.

    
respondido por el KOLANICH 06.09.2016 - 17:47
fuente
0

No. Uno podría simplemente reemplazar la cámara con un dispositivo que responda con un video de la cara de la persona. Y dejas tu cara en todas partes.

O ejecute el sistema en una máquina virtual y conecte un controlador virtual con los datos recopilados de una cámara de su cara.

Usar esto como la única medida de seguridad es altamente inseguro y nunca debe usarse. Tal vez funcionaría bien en un esquema de autenticación de dos factores, pero nunca solo.

    
respondido por el noɥʇʎԀʎzɐɹƆ 06.09.2016 - 23:13
fuente

Lea otras preguntas en las etiquetas