احراز هویت مبتنی بر بایومتریک از شناسههای بیولوژیکی منحصربهفرد افراد برای تأیید هویت آنها استفاده میکند. این احراز هویت مبتنی بر ذات، یک پیشرفت ایدهآل برای احراز هویت مبتنی بر مالکیت (چیزی که فقط شما دارید) یا مبتنی بر دانش (چیزی که فقط شما میدانید) ارائه میدهد. با این وجود احراز هویت بایومتریک در معرض “حملات نمایشی” مانند جعل است که تلاش میکند تا یک فرآیند شناسایی یا تأیید بایومتریک را شکست دهد.
برخی از روشها برای جعل پیچیدهتر از بقیه هستند. علاوه بر این، کلاهبرداران از تکنیکهای مختلف جعل برای هر روش استفاده میکنند؛ بنابراین، مکانیسمهای مورد نیاز برای شناسایی جعلها و سایر حملات ارائه نیز باید بهطور خاص برای مدالیته طراحی شوند.
تشخیص زنده بودن نه تنها برای احراز هویت، بلکه برای اثبات هویت نیز مفید است. در مواردی که احراز هویت بایومتریک مستلزم تأیید اینکه کاربر همان شخصی است که در ابتدا ثبتنام کرده است باشد؛ تأیید هویت بایومتریک میتواند به عنوان بخشی از فرآیند ورود برای تأیید واقعی بودن متقاضی انجام شود. یک مثال از موارد کاربرد این تکنولوژی میتواند استفاده از اپلیکیشنهای موبایل بانک برای درخواست حساب جدید باشد. در این سناریو شخص برای بانک ناشناخته است، بنابراین شناسایی زنده بودن تأیید میکند که متقاضی سعی در افتتاح حساب جعلی ندارد.
حمله تظاهر به حضور چیست؟
حمله تظاهر به حضور هرگونه تلاش برای مقابله با هدف مورد نظر یک سیستم بایومتریک است. یک کلاهبردار ممکن است از حملات جعل برای جعل هویت شخصی استفاده کند تا مکانیزم احراز هویت بایومتریک را شکست دهد. به عنوان مثال، جعل یک الگوریتم بایومتریک صورت ممکن است از یک تصویر غیر زنده مانند یک ویدیو یا عکس برای کپی کردن یک قربانی هدف استفاده کند. برای اثر انگشت، آنها ممکن است از “انگشت لثهای” استفاده کنند که با ریختن اثرانگشت در خاک رس ایجاد میشود.
نوع دیگری از حمله ارائه مستلزم پنهان کردن هویت واقعی برای جلوگیری از شناسایی در جستجوی بایومتریک است. یک فرد ممکن است موهای صورت خود را رشد دهد یا از آرایش و پروتزهایی استفاده کند که ظاهر آنها را تغییر میدهد که میتواند به او کمک کند جستجوی بایومتریک یک به چند را فریب دهد. از طرف دیگر، آنها ممکن است سعی کنند نوک انگشتان خود را مثله کنند. هر یک از این سناریوها بهطور بالقوه به آنها اجازه میدهد در بیش از یک هویت ثبتنام کنند.
گوگل برای احراز هویت بایومتریک در گوشیهای هوشمند اندرویدی، بین حملات “شخص تظاهر کننده” و حملات “جعل” تفاوت قائل میشود. اولی تلاش یک کلاهبردار برای جعل هویت قربانی با پنهان کردن ویژگیهای او است. دومی از یک نمایش غیرزنده مانند ضبط ویدیو یا صدا استفاده میکند. Google معیارهایی را برای تشخیص حمله با آستانه 7٪ نرخ پذیرش یا کمتر برای امنیت کامل تعیین میکند؛ یعنی درصد دفعاتی که یک حمله شناسایی نمیشود از هر صد مورد 7 مورد است.
تشخیص زنده بودن چیست؟
تشخیص زنده بودن هر تکنیکی است که برای تشخیص کلاهبرداری با تعیین اینکه آیا ارائهدهندهی نمونهی بایومتریک یک انسان زنده (Live) است یا یک نمایش جعلی استفاده میشود. این کار از طریق الگوریتمهایی انجام میشود که دادههای جمعآوریشده از حسگرهای بایومتریک را تجزیهوتحلیل میکنند تا مشخص شود دادهها از منبع زنده و یا بازتولید شده دریافت شدهاند.
دو دسته اصلی تشخیص زنده بودن وجود دارد:
- فعال: از کاربر میخواهد عملی را انجام دهد که بهراحتی با یک سند جعلی قابل تکرار نیست. همچنین ممکن است چندین روش مانند تجزیهوتحلیل حرکت یا تشخیص بلندگو را شامل شود. دومی ممکن است حرکت دهان را برای تعیین زندهبودن تجزیهوتحلیل کند.
- غیرفعال: از الگوریتمهایی برای شناسایی نشانگرهای یک تصویر غیرزنده بدون تعامل کاربر استفاده میکند. گرفتن دادههای بایومتریک با کیفیت بالا در طول ثبتنام، عملکرد الگوریتمهای تطبیق و تشخیص زنده بودن را بهبود میبخشد.
ممکن است یکی از دو مورد مذکور در سناریوهای خاصی ارجح باشند، اما به طور کلی باهم بهتر کار میکنند.
تشخیص چهره و تشخیص زنده بودن: یک مثال
تشخیص چهره یک روش بایومتریک ایدهآل برای احراز هویت دیجیتال است که با توجه به وجود دوربین در اکثر دستگاههای الکترونیکی شامل لب تاپ، تلفن همراه، تبلت و … این روش را میتوان به راحتی با استفاده از این نوع دستگاههای الکترونیکی به کار برد. با این حال، در دسترس بودن حجم بالایی از تصاویر چهره، از طریق رسانههای اجتماعی، بایومتریکهای صورت را بیشتر در معرض جعل قرار میدهد. به همین دلیل، استفاده از تشخیص زنده بودن قوی برای راهحلهای احراز هویت بایومتریک تلفن همراه که از تشخیص چهره استفاده میکنند بسیار مهم است.
در تشخیص چهره، نقش تشخیص زنده بودن برای تمایز بین یک تصویر زنده و یک نمایش دوبعدی، چاپ سهبعدی یا دیجیتالی، از چهرهی خود کاربر استفاده میشود. یکی دیگر از تلاشها برای جعل، ممکن است شامل استفاده از ماسک سهبعدی باشد. فناوریهای هوش مصنوعی میتوانند این نوع تلاشها برای کلاهبرداری را از طریق الگوریتمهایی شناسایی کنند که مصنوعات یک نمونه غیرزنده را تشخیص میدهند و ممکن است از معیارهای «فعال» (مانند تحلیل حرکت و کلیک یا صدا) استفاده کنند. روشهای تشخیص زنده بودن به طور قابلتوجهی اثربخشی جعل و سایر حملات تظاهر به حضور را کاهش میدهد.
گواهی تشخیص زنده بودن (Liveness Detection Certification) چه سازوکاری دارد؟
تا سه سال پیش، موضوع گواهینامه تشخیص زنده بودن در صنعت تشخیص چهره بایومتریک وجود نداشت و هیچ اصطلاح تعریف شدهای به طور عمومی مطرح نبود ولی در حال حاضر هر ارائهدهندهی خدمات احراز هویت دیجیتال در سطح بینالملل که سعی در ارائه تشخیص زنده بودن کاربران دارد، باید با یک آزمایشگاه معتبر بینالمللی تعامل داشته باشد و یک راهحل نرمافزاری/سختافزاری مناسب برای تشخیص زنده بودن ارائه دهد. در حال حاضر تعداد کمی از آزمایشگاههای تأیید شده برای صدور گواهی تشخیص زنده بودن وجود دارد که به عنوان مثال عبارتاند از: TÜV IT آلمان، مرکز تحقیقات و آزمایش بیومتریک سوئیس (موسسه تحقیقاتی Idiap) و ELITT/Leti CEA فرانسه و … .
برای ارائه یک تشخیص زنده بودن تأیید شده، فروشندگان بیومتریک میتوانند فرایند گواهی FIDO را انجام دهند یا صرفاً ارزیابی PAD را انجام دهند. علاوه بر عملکرد PAD، گواهی FIDO همچنین شامل عملکرد تأیید بیومتریک (تشخیص چهره) است. در طول هر دو تست عملکرد، سیستمهای ضد جعل بیومتریک با حملات مختلف ارائه مانند عکسهای چاپ شده، ماسکهای کاغذی یا فیلمها به چالش کشیده میشوند. در صورت موفقیتآمیز بودن آزمایش بر اساس ISO/IEC 30107-3، فروشنده بیومتریک یک گزارش آزمایش (در مورد ارزیابی PAD) یا یک گواهی FIDO (اگر گواهینامه کامل FIDO انجام شده باشد) دریافت میکند.