黑客破解面容ID盜取用戶隱私信息,人臉識別技術(shù)真的夠安全嗎?

大米粒說安全
密碼是可以更改的,而物理生物識別特征是遺傳所得,而且每個人都不一樣?;谕瑯拥脑?,行為生物特征。通過合并一個人的身體動作,包括敲擊鍵盤、移動鼠標(biāo)、滾動速度、字段切換方式,以及根據(jù)加速度計和陀螺儀檢測到的手機操控方式,提供了一個連續(xù)的認證層。
  2019年網(wǎng)絡(luò)安全預(yù)測:
 
  攻擊者入侵人臉識別軟件以盜取用戶的面容信息
 
  黑客會將入侵最終用戶的人臉識別軟件看作是一次賭博,組織應(yīng)通過基于行為的系統(tǒng)作出響應(yīng)。
 
  
 
人臉識別技術(shù)
 
  數(shù)字、指紋及面容密碼的哪個更安全?
 
  對于攻擊者來說,成功盜取到合法憑證時的感覺,就像是中彩票一樣。最終用戶將被拒無法登錄帳戶、不能訪問Dropbox和Microsoft Of?ce 365等第三方云服務(wù)、關(guān)鍵數(shù)據(jù)被他人下載或完全擦除。暴增的數(shù)據(jù)泄露事件反映出一個簡單的事實:電子郵件地址、密碼和個人信息(喜歡的顏色、寵物的名稱)都不足以保護在線身份。
 
  2017年Google、加州大學(xué)伯克利分校和國際計算機研究中心共同展開的一項研究顯示,在最終用戶身份盜用事件中,網(wǎng)絡(luò)釣魚排名第一,仍然是最慣用的伎倆。根據(jù)研究人員的計算,2016年到2017年總共有超過1240萬人被網(wǎng)絡(luò)釣魚所害,表明我們必須強化認證機制以減少信息盜用事件的發(fā)生。
 
  盜取憑證是最舊(也是最有效)的手段,但這不表示攻擊者沒有研究出新的把戲。雙因素認證(2FA)帶來了額外一層的安全防護;但即便是這個方法也存在漏洞:大多數(shù)情況都需要通過手機完成。
 
 
  
 
面容密碼的安全性
 
  攻擊者通過釣魚和社交工程手段欺騙用戶
 
  2018年,第一個比特幣愛好者天使投資集團的聯(lián)合創(chuàng)始人Michael Terpin對電信公司AT&T提起一項2.24億美元的訴訟,稱因一次“SIM轉(zhuǎn)號”而導(dǎo)致其損失了價值2400萬美元的加密貨幣。攻擊者通過釣魚和社交工程手段欺騙客戶服務(wù)代表將Terpin的手機號碼轉(zhuǎn)到一個無法追蹤的“一次性”手機上。一旦轉(zhuǎn)號,犯罪者就能輕易得逞,如同點擊“忘記密碼?”鏈接獲取密碼一樣簡單。
 
  生物特征識別技術(shù)超越了2FA驗證,其使用每個最終用戶更獨特的數(shù)據(jù)。乍一看,通過生理生物特征傳感器來驗證個人身份的做法,似乎很可能會取代2FA驗證。指紋、動作、虹膜識別,所有這些都使得攻擊者難以通過盜取其他人的身份來訪問資源。
 
 
  
 
虹膜識別
 
  人臉識別存在嚴重的漏洞
 
  但近年來,即使是生物特征識別技術(shù)也開始被破解。2016年,密歇根州立大學(xué)的研究人員發(fā)現(xiàn)了便宜又簡單的方法,只需使用標(biāo)準噴墨打印機即可打印指紋圖像。2017年,紐約大學(xué)(NYU)坦登工程學(xué)院的研究人員能夠使用數(shù)字技術(shù)修改“萬能指紋”,匹配任何人的指紋。
 
  得益于Apple推出的iPhone X,人臉識別已成為主流,這款手機使用了泛光感應(yīng)元件、紅外攝像頭和點陣投影器來進行3D人臉測量,他們聲稱照片、視頻或任何其他類型的2D媒體都無法滿混過關(guān)。
 
  但事實是,人臉識別存在嚴重的漏洞,這也是我們認為黑客會在2019年竊取公眾面容的原因。事實上,這已經(jīng)發(fā)生了,雖然目前只有研究人員能做到。2016年,北卡羅來納大學(xué)的安全和計算機視覺專家使用社交媒體和搜索引擎上公開的數(shù)字照片,配合移動VR技術(shù),成功戰(zhàn)勝了人臉識別系統(tǒng)。
 
   
 
  VR技術(shù)
 
  許多用戶仍對這些類型的攻擊一無所知
 
  密碼是可以更改的,而物理生物識別特征是遺傳所得,而且每個人都不一樣?;谕瑯拥脑?,行為生物特征。通過合并一個人的身體動作,包括敲擊鍵盤、移動鼠標(biāo)、滾動速度、字段切換方式,以及根據(jù)加速度計和陀螺儀檢測到的手機操控方式,提供了一個連續(xù)的認證層。這樣可以杜絕騙子模仿這些動作的可能性。
 
  將行為生物特征同基于FaceID或2FA等先進技術(shù)的強認證相結(jié)合,是更為明智的做法。組織可通過登錄時和使用中/連續(xù)驗證等機制識別出劫持開放工作資料的入侵者,為基于風(fēng)險的方法。打好基礎(chǔ),以便在風(fēng)險升級時觸發(fā)驗證檢查點。
 
  社交平臺最大的擔(dān)憂,許多用戶仍對這些類型的攻擊一無所知,很容易就會上當(dāng)受騙。
THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論