Skip to content

Ist die Gesichtserkennung ein gutes Sicherheitsmerkmal?

Lösung:

Nein nicht wirklich. Zumindest nicht als primäre Form der Authentifizierung. Biometrie im Allgemeinen ist nicht gut für die Authentifizierung, weil:

  • Sie lassen sie überall liegen, und es gibt keine Möglichkeit, das zu vermeiden.
  • Sie können im Falle eines Verstoßes nicht geändert werden.
  • Sie müssen eine hohe Fehlertoleranz hinzufügen, um keine Usability-Probleme zu verursachen. Diese Toleranzen führen auch ohne Angriffe zu Fehlalarmen und machen Angriffe möglich.

In der Praxis müssen sie bei der Implementierung der Algorithmen in der Regel zwischen [false acceptance rate] und [false rejection rate]. Dies macht die Effizienz der Gesichtserkennung am niedrigsten von allen in Bezug auf den Tisch. Seine Sicherheit ist auch geringer als bei anderen biometrischen Erkennungssystemen, insbesondere im Vergleich zum Fingerabdruckscan.

— Ihr Gesicht ist NICHT Ihr Passwort, Face Authentication ByPassing Lenovo – Asus – Toshiba (2009)

Ich konnte keine Live-Demonstration für dieses Papier finden, aber hier ist eine aus einem 31C3-Vortrag über Biometrie, die ein einfaches Bild verwendet und das erforderliche Blinken umgehen kann. Hier ist ein Artikel von einer Person, die ein Video verwendet, um eine Blinkanforderung zu umgehen.

Hier ist ein neueres Papier mit moderneren Ansätzen:

In diesem Papier stellen wir einen neuartigen Ansatz vor, um moderne Gesichtsauthentifizierungssysteme zu umgehen. Genauer gesagt, zeigen wir anhand einer Handvoll Bilder des Zielbenutzers aus sozialen Medien, wie realistische, texturierte 3D-Gesichtsmodelle erstellt werden können, die die Sicherheit weit verbreiteter Gesichtsauthentifizierungslösungen untergraben.

[...]

Unserer Meinung nach ist es sehr unwahrscheinlich, dass robuste Gesichtsauthentifizierungssysteme ausschließlich mit Web-/Mobilkameraeingaben funktionieren werden. Angesichts der weit verbreiteten Natur von hochauflösenden persönlichen Online-Fotos verfügen die Gegner von heute über eine Goldgrube an Informationen, um künstlich gefälschte Gesichtsdaten zu erstellen. Selbst wenn ein System in der Lage ist, eine bestimmte Art von Angriff robust zu erkennen – sei es mithilfe eines Papierausdrucks, einer 3D-gedruckten Maske oder unserer vorgeschlagenen Methode – erhöht die Verallgemeinerung auf alle möglichen Angriffe die Wahrscheinlichkeit falscher Zurückweisungen und schränken daher die Gesamtnutzbarkeit des Systems ein.

— Virtual U: Besiegen der Gesichtserkennung durch Erstellen virtueller Modelle aus Ihren öffentlichen Fotos (2016)

Es ist nützlich als "Benutzername"

Wir haben einen Namen für ein Authentifizierungsmerkmal, das nicht einfach geändert werden kann und gelegentlich an Dritte weitergegeben wird - es ist Ihre Konto-ID, Ihr Benutzername usw.

Sie möchten zwar immer noch etwas anderes (z. B. ein Passwort) als primäre Authentifizierungsfunktion verwenden, aber das Ersetzen der Benutzer-ID durch die Gesichtserkennung kann dies bequemer (keine Eingabe erforderlich) und sicherer machen als die häufig verwendeten IDs wie Benutzernamen oder E-Mail-Adressen.

Sie haben dies mit Authentifizierung markiert, daher werde ich aus dieser Perspektive antworten. (Aber wie Aria in Kommentaren hervorhebt, gibt es auch Anwendungen in der Überwachung.)

Damit die Gesichtserkennung eine coole Funktion auf Facebook ist, muss sie die meiste Zeit nur funktionieren. Damit es für die Authentifizierung nützlich ist, muss es eine Fehlerrate nahe Null haben. Fast keine falsch-positiven Ergebnisse (auch wenn es sich um eine Person handelt, die Ihnen sehr ähnlich sieht oder jemand ein Foto oder ein 3D-Modell Ihres Gesichts hochhält) und fast keine falsch-negativen Ergebnisse (auch wenn Sie viel abgenommen oder aufgetragen haben) etwas Make-Up). Das verlangt viel.

Und wie bei jeder biometrischen Authentifizierung haben Sie das Problem, den Schlüssel in Ihren Körper einzubetten. Wenn Sie dachten, dass die Bösen, die Ihnen den Finger abschneiden, um am Fingerabdruckscanner vorbeizukommen, schlecht sind, stellen Sie sich vor, was sie tun müssten, um Ihr Gesicht zu bekommen ...

Außerdem können Sie die Form Ihres Gesichts (abgesehen von einer plastischen Operation) nicht so einfach ändern, wie Sie ein Passwort oder einen physischen Schlüssel ändern können, wenn er kompromittiert ist.

Das hat also alle Probleme von Fingerabdrucklesern, nur viel schlimmer. Es ist eine schlechte Idee.

Click to rate this post!
[Total: 0 Average: 0]



Anderer Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.