Realtid Captcha-teknik forbedrer biometrisk godkendelse

En ny tilgang til logingodkendelse kan forbedre sikkerheden ved nuværende biometriske teknikker, der er afhængige af video eller billeder af brugernes ansigter. Kendt som Real-Time Captcha, teknikken bruger en unik "udfordring", der er let for mennesker - men vanskelig for angribere, der muligvis bruger maskinlæring og billedgenereringssoftware til at forfalde legitime brugere.

Real-time Captcha kræver, at brugerne kigger ind i deres mobiltelefons indbyggede kamera, mens de besvarer et tilfældigt valgt spørgsmål, der vises i en Captcha på skærmen på enhederne. Svaret skal gives inden for en begrænset periode, der er for kort til, at kunstig intelligens eller maskinlæringsprogrammer kan reagere. Captcha ville supplere billed- og lydbaserede godkendelsesteknikker, der kan forfalskes af angribere, der muligvis kan finde og ændre billeder, video og lyd af brugere - eller stjæle dem fra mobile enheder.

Teknikken beskrives den 19. februar på Network and Distributed Systems Security (NDSS) Symposium 2018 i San Diego, Calif. Understøttet af Office of Naval Research (ONR) og Defense Advanced Research Projects Agency (DARPA), forskningen blev udført af cybersikkerhedsspecialister ved Georgia Institute of Technology.

"Angriberne ved nu, hvad de kan forvente med godkendelse, der beder dem om at smile eller blinke, så de relativt let kan producere en blinkende model eller smilende ansigt i realtid, "sagde Erkam Uzun, en forskerassistent i Georgia Tech's School of Computer Science og papirets første forfatter. "Vi gør udfordringen sværere ved at sende brugerne uforudsigelige anmodninger og begrænse svartiden for at udelukke maskininteraktion."

Som en del af bestræbelserne på at fjerne traditionelle adgangskoder til logins, mobile enheder og onlinetjenester går over til biometriske teknikker, der bruger et menneskeligt ansigt, nethinde eller anden biologisk egenskab for at kontrollere, hvem der forsøger at logge ind. iPhone X er designet til at låse op med brugerens ansigt, for eksempel, mens andre systemer anvender korte videosegmenter af en bruger, der nikker, blinker eller smiler.

I kat-og-mus-spil om cybersikkerhed, disse biometri kan forfalskes eller stjæles, som vil tvinge virksomheder til at finde bedre tilgange, sagde Wenke Lee, en professor i Georgia Tech's School of Computer Science og meddirektør for Georgia Tech Institute for Information Security and Privacy.

"Hvis angriberen ved, at godkendelse er baseret på at genkende et ansigt, de kan bruge en algoritme til at syntetisere et falsk billede for at efterligne den rigtige bruger, "Sagde Lee." Men ved at præsentere en tilfældigt valgt udfordring indlejret i et Captcha-billede, vi kan forhindre angriberen i at vide, hvad han kan forvente. Sikkerheden i vores system kommer fra en udfordring, der er let for et menneske, men svært for en maskine. "

Ved test udført med 30 forsøgspersoner, mennesker var i stand til at reagere på udfordringerne på et sekund eller mindre. De bedste maskiner krævede mellem seks og ti sekunder for at afkode spørgsmålet fra Captcha og svare med en forfalsket video og lyd. "Dette giver os mulighed for hurtigt at afgøre, om svaret er fra en maskine eller et menneske, "Sagde Uzun.

Den nye tilgang ville kræve login -anmodninger for at bestå fire tests:vellykket anerkendelse af et udfordringsspørgsmål indefra en Captcha, svar inden for et snævert tidsvindue, som kun mennesker kan møde, og vellykkede matcher både den legitime brugers forudindspillede billede og stemme.

"At bruge ansigtsgenkendelse alene til godkendelse er sandsynligvis ikke stærkt nok, "sagde Lee." Vi vil kombinere det med Captcha, en gennemprøvet teknologi. Hvis du kombinerer de to, det vil gøre ansigtsgenkendelse teknologi meget stærkere. "

Captcha -teknologi - oprindeligt et akronym for "Helt automatiseret offentlig Turing -test for at fortælle computere og mennesker fra hinanden" - bruges i vid udstrækning til at forhindre bots i at få adgang til formularer på websteder. Det virker ved at udnytte et menneskes overlegne evne til at genkende mønstre i billeder. Realtids Captcha-tilgangen ville gå ud over, hvad der kræves på websteder, ved at bede om et svar, der producerer livevideo og lyd, der derefter matches med en brugers lagrede sikkerhedsprofil.

Captcha -udfordringer kan indebære at genkende krypterede bogstaver eller løse simple matematiske problemer. Ideen ville være at give mennesker mulighed for at reagere, før maskiner overhovedet kan genkende spørgsmålet.

"At få et stillbillede til at smile eller blinke tager en maskine bare et par sekunder, men at bryde vores Captcha -ændringer tager ti sekunder eller mere, "sagde Uzun.

I forsøget på at forbedre godkendelsen, forskerne studerede software til billedspoofing og besluttede at prøve en ny tilgang, i håb om at åbne en ny front i kampen mod angribere. Fremgangsmåden flytter angriberens opgave fra at generere overbevisende video til at bryde en Captcha.

"Vi kiggede på problemet og vidste, hvad angriberne sandsynligvis ville gøre, "sagde Simon Pak Ho Chung, en forsker ved Georgia Tech's School of Computer Science. "Forbedring af billedkvaliteten er et muligt svar, men vi ville skabe et helt nyt spil. "

Realtidens Captcha-tilgang bør ikke ændre kravene til båndbredde væsentligt, da Captcha-billedet, der sendes til mobile enheder, er lille, og godkendelsesordninger allerede overførte video og lyd, Sagde Chung.

Blandt udfordringerne fremover er at overvinde vanskeligheden ved at genkende tale i et støjende miljø og sikre forbindelsen mellem enhedens kamera og den godkendende server.

"For enhver sikkerhedsmekanisme, vi udvikler, vi skal først bekymre os om mekanismens sikkerhed, "Sagde Lee." Når du har udviklet sikkerhedsteknologi, det bliver et mål for angriberne, og det gælder bestemt biometrisk teknologi. "