黑客破解面容ID盜取用戶隱私信息,人臉識別技術(shù)真的夠安全嗎?
大米粒說安全
2019年網(wǎng)絡(luò)安全預(yù)測:
攻擊者入侵人臉識別軟件以盜取用戶的面容信息
黑客會將入侵最終用戶的人臉識別軟件看作是一次賭博,組織應(yīng)通過基于行為的系統(tǒng)作出響應(yīng)。
人臉識別技術(shù)
數(shù)字、指紋及面容密碼的哪個更安全?
對于攻擊者來說,成功盜取到合法憑證時的感覺,就像是中彩票一樣。最終用戶將被拒無法登錄帳戶、不能訪問Dropbox和Microsoft Of?ce 365等第三方云服務(wù)、關(guān)鍵數(shù)據(jù)被他人下載或完全擦除。暴增的數(shù)據(jù)泄露事件反映出一個簡單的事實:電子郵件地址、密碼和個人信息(喜歡的顏色、寵物的名稱)都不足以保護在線身份。
2017年Google、加州大學(xué)伯克利分校和國際計算機研究中心共同展開的一項研究顯示,在最終用戶身份盜用事件中,網(wǎng)絡(luò)釣魚排名第一,仍然是最慣用的伎倆。根據(jù)研究人員的計算,2016年到2017年總共有超過1240萬人被網(wǎng)絡(luò)釣魚所害,表明我們必須強化認證機制以減少信息盜用事件的發(fā)生。
盜取憑證是最舊(也是最有效)的手段,但這不表示攻擊者沒有研究出新的把戲。雙因素認證(2FA)帶來了額外一層的安全防護;但即便是這個方法也存在漏洞:大多數(shù)情況都需要通過手機完成。
面容密碼的安全性
攻擊者通過釣魚和社交工程手段欺騙用戶
2018年,第一個比特幣愛好者天使投資集團的聯(lián)合創(chuàng)始人Michael Terpin對電信公司AT&T提起一項2.24億美元的訴訟,稱因一次“SIM轉(zhuǎn)號”而導(dǎo)致其損失了價值2400萬美元的加密貨幣。攻擊者通過釣魚和社交工程手段欺騙客戶服務(wù)代表將Terpin的手機號碼轉(zhuǎn)到一個無法追蹤的“一次性”手機上。一旦轉(zhuǎn)號,犯罪者就能輕易得逞,如同點擊“忘記密碼?”鏈接獲取密碼一樣簡單。
生物特征識別技術(shù)超越了2FA驗證,其使用每個最終用戶更獨特的數(shù)據(jù)。乍一看,通過生理生物特征傳感器來驗證個人身份的做法,似乎很可能會取代2FA驗證。指紋、動作、虹膜識別,所有這些都使得攻擊者難以通過盜取其他人的身份來訪問資源。
虹膜識別
人臉識別存在嚴重的漏洞
但近年來,即使是生物特征識別技術(shù)也開始被破解。2016年,密歇根州立大學(xué)的研究人員發(fā)現(xiàn)了便宜又簡單的方法,只需使用標(biāo)準噴墨打印機即可打印指紋圖像。2017年,紐約大學(xué)(NYU)坦登工程學(xué)院的研究人員能夠使用數(shù)字技術(shù)修改“萬能指紋”,匹配任何人的指紋。
得益于Apple推出的iPhone X,人臉識別已成為主流,這款手機使用了泛光感應(yīng)元件、紅外攝像頭和點陣投影器來進行3D人臉測量,他們聲稱照片、視頻或任何其他類型的2D媒體都無法滿混過關(guān)。
但事實是,人臉識別存在嚴重的漏洞,這也是我們認為黑客會在2019年竊取公眾面容的原因。事實上,這已經(jīng)發(fā)生了,雖然目前只有研究人員能做到。2016年,北卡羅來納大學(xué)的安全和計算機視覺專家使用社交媒體和搜索引擎上公開的數(shù)字照片,配合移動VR技術(shù),成功戰(zhàn)勝了人臉識別系統(tǒng)。
VR技術(shù)
許多用戶仍對這些類型的攻擊一無所知
密碼是可以更改的,而物理生物識別特征是遺傳所得,而且每個人都不一樣?;谕瑯拥脑?,行為生物特征。通過合并一個人的身體動作,包括敲擊鍵盤、移動鼠標(biāo)、滾動速度、字段切換方式,以及根據(jù)加速度計和陀螺儀檢測到的手機操控方式,提供了一個連續(xù)的認證層。這樣可以杜絕騙子模仿這些動作的可能性。
將行為生物特征同基于FaceID或2FA等先進技術(shù)的強認證相結(jié)合,是更為明智的做法。組織可通過登錄時和使用中/連續(xù)驗證等機制識別出劫持開放工作資料的入侵者,為基于風(fēng)險的方法。打好基礎(chǔ),以便在風(fēng)險升級時觸發(fā)驗證檢查點。
社交平臺最大的擔(dān)憂,許多用戶仍對這些類型的攻擊一無所知,很容易就會上當(dāng)受騙。
THEEND
免責(zé)聲明:凡注明為其它來源的信息均轉(zhuǎn)自其它平臺,由網(wǎng)友自主投稿和發(fā)布、編輯整理上傳,對此類作品本站僅提供交流平臺,不為其版權(quán)負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。若有來源標(biāo)注錯誤或侵犯了您的合法權(quán)益,請作者持權(quán)屬證明與本站聯(lián)系,我們將及時更正、刪除,謝謝。聯(lián)系郵箱:xiali@infoobs.com
評論請先登錄~
最新評論(評論僅代表用戶觀點)
更多暫無評論
精選文章
-
第六屆(2023)數(shù)字金融創(chuàng)新大賽開啟!助力中國式現(xiàn)代化
-
第五屆中國信息技術(shù)應(yīng)用創(chuàng)新大會 景美榮獲2022信息技術(shù)應(yīng)用創(chuàng)新榜·GPU行業(yè)領(lǐng)軍企業(yè)
-
政采云錢國興:數(shù)字化,是實現(xiàn)中國式政府采購現(xiàn)代化的必然選擇
-
考閱智能面試評分系統(tǒng)提高面試工作效率
-
瑞安市玉海街道“云江云治"--人時空基層治理系統(tǒng)
-
無錫軟件產(chǎn)業(yè)發(fā)展有限公司榮獲無錫市軟件和信息技術(shù)服務(wù)業(yè)“突出貢獻獎”