تشخیص کلاه‌برداری در احراز هویت بایومتریک

احراز هویت مبتنی بر بایومتریک از شناسه‌های بیولوژیکی منحصربه‌فرد افراد برای تأیید هویت آن‌ها استفاده می​کند. این احراز هویت مبتنی بر ذات، یک پیشرفت ایده‌آل برای احراز هویت مبتنی بر مالکیت (چیزی که فقط شما دارید) یا مبتنی بر دانش (چیزی که فقط شما می‌دانید) ارائه می‌دهد. با این وجود احراز هویت بایومتریک در معرض “حملات نمایشی” مانند جعل است که تلاش می‌کند تا یک فرآیند شناسایی یا تأیید بایومتریک را شکست دهد.

برخی از روش‌ها برای جعل پیچیده‌تر از بقیه هستند. علاوه بر این، کلاهبرداران از تکنیک‌های مختلف جعل برای هر روش استفاده می‌کنند؛ بنابراین، مکانیسم‌های مورد نیاز برای شناسایی جعل‌ها و سایر حملات ارائه نیز باید به‌طور خاص برای مدالیته طراحی شوند.

تشخیص زنده بودن نه تنها برای احراز هویت، بلکه برای اثبات هویت نیز مفید است. در مواردی که احراز هویت بایومتریک مستلزم تأیید اینکه کاربر همان شخصی است که در ابتدا ثبت‌نام کرده است باشد؛ تأیید هویت بایومتریک می‌تواند به عنوان بخشی از فرآیند ورود برای تأیید واقعی بودن متقاضی انجام شود. یک مثال از موارد کاربرد این تکنولوژی می‌تواند استفاده از اپلیکیشن‌های موبایل بانک برای درخواست حساب جدید باشد. در این سناریو شخص برای بانک ناشناخته است، بنابراین شناسایی زنده بودن تأیید می‌کند که متقاضی سعی در افتتاح حساب جعلی ندارد.

حمله تظاهر به حضور چیست؟

حمله تظاهر به حضور هرگونه تلاش برای مقابله با هدف مورد نظر یک سیستم بایومتریک است. یک کلاهبردار ممکن است از حملات جعل برای جعل هویت شخصی استفاده کند تا مکانیزم احراز هویت بایومتریک را شکست دهد. به عنوان مثال، جعل یک الگوریتم بایومتریک صورت ممکن است از یک تصویر غیر زنده مانند یک ویدیو یا عکس برای کپی کردن یک قربانی هدف استفاده کند. برای اثر انگشت، آن‌ها ممکن است از “انگشت لثه‌ای” استفاده کنند که با ریختن اثرانگشت در خاک رس ایجاد می‌شود.

نوع دیگری از حمله ارائه مستلزم پنهان کردن هویت واقعی برای جلوگیری از شناسایی در جستجوی بایومتریک است. یک فرد ممکن است موهای صورت خود را رشد دهد یا از آرایش و پروتزهایی استفاده کند که ظاهر آن‌ها را تغییر می‌دهد که می‌تواند به او کمک کند جستجوی بایومتریک یک به چند را فریب دهد. از طرف دیگر، آن‌ها ممکن است سعی کنند نوک انگشتان خود را مثله کنند. هر یک از این سناریوها به‌طور بالقوه به آن‌ها اجازه می‌دهد در بیش از یک هویت ثبت‌نام کنند.

گوگل برای احراز هویت بایومتریک در گوشی‌های هوشمند اندرویدی، بین حملات “شخص تظاهر کننده” و حملات “جعل” تفاوت قائل می‌شود. اولی تلاش یک کلاهبردار برای جعل هویت قربانی با پنهان کردن ویژگی‌های او است. دومی از یک نمایش غیرزنده مانند ضبط ویدیو یا صدا استفاده می‌کند. Google معیارهایی را برای تشخیص حمله با آستانه 7٪ نرخ پذیرش یا کمتر برای امنیت کامل تعیین می‌کند؛ یعنی درصد دفعاتی که یک حمله شناسایی نمی‌شود از هر صد مورد 7 مورد است.

تشخیص زنده بودن چیست؟

تشخیص زنده بودن هر تکنیکی است که برای تشخیص کلاه‌برداری با تعیین اینکه آیا ارائه‌دهنده‌ی نمونه‌ی بایومتریک یک انسان زنده (Live) است یا یک نمایش جعلی استفاده می‌شود. این کار از طریق الگوریتم‌هایی انجام می‌شود که داده‌های جمع‌آوری‌شده از حسگرهای بایومتریک را تجزیه‌وتحلیل می‌کنند تا مشخص شود داده‌ها از منبع زنده و یا بازتولید شده دریافت شده‌اند.

دو دسته اصلی تشخیص زنده بودن وجود دارد:

• فعال: از کاربر می‌خواهد عملی را انجام دهد که به‌راحتی با یک سند جعلی قابل تکرار نیست. همچنین ممکن است چندین روش مانند تجزیه‌وتحلیل حرکت یا تشخیص بلندگو را شامل شود. دومی ممکن است حرکت دهان را برای تعیین زنده‌بودن تجزیه‌وتحلیل کند.
• غیرفعال: از الگوریتم‌هایی برای شناسایی نشانگرهای یک تصویر غیرزنده بدون تعامل کاربر استفاده می‌کند. گرفتن داده‌های بایومتریک با کیفیت بالا در طول ثبت‌نام، عملکرد الگوریتم‌های تطبیق و تشخیص زنده بودن را بهبود می‌بخشد.

ممکن است یکی از دو مورد مذکور در سناریوهای خاصی ارجح باشند، اما به طور کلی باهم بهتر کار می‌کنند.

تشخیص چهره و تشخیص زنده بودن: یک مثال

تشخیص چهره یک روش بایومتریک ایده‌آل برای احراز هویت دیجیتال است که با توجه به وجود دوربین در اکثر دستگاه‌های الکترونیکی شامل لب تاپ، تلفن همراه، تبلت و … این روش را می‌توان به راحتی با استفاده از این نوع دستگاه‌های الکترونیکی به کار برد. با این حال، در دسترس بودن حجم بالایی از تصاویر چهره، از طریق رسانه‌های اجتماعی، بایومتریک‌های صورت را بیشتر در معرض جعل قرار می‌دهد. به همین دلیل، استفاده از تشخیص زنده بودن قوی برای راه‌حل‌های احراز هویت بایومتریک تلفن همراه که از تشخیص چهره استفاده می‌کنند بسیار مهم است.

در تشخیص چهره، نقش تشخیص زنده بودن برای تمایز بین یک تصویر زنده و یک نمایش دوبعدی، چاپ سه‌بعدی یا دیجیتالی، از چهره‌ی خود کاربر استفاده می‌شود. یکی دیگر از تلاش‌ها برای جعل، ممکن است شامل استفاده از ماسک سه‌بعدی باشد. فناوری‌های هوش مصنوعی می‌توانند این نوع تلاش‌ها برای کلاه‌برداری را از طریق الگوریتم‌هایی شناسایی کنند که مصنوعات یک نمونه غیر‌زنده را تشخیص می‌دهند و ممکن است از معیارهای «فعال» (مانند تحلیل حرکت و کلیک یا صدا) استفاده کنند. روش‌های تشخیص زنده بودن به طور قابل‌توجهی اثربخشی جعل و سایر حملات تظاهر به حضور را کاهش می‌دهد.

گواهی تشخیص زنده بودن (Liveness Detection Certification) چه سازوکاری دارد؟

تا سه سال پیش، موضوع گواهینامه تشخیص زنده بودن در صنعت تشخیص چهره بایومتریک وجود نداشت و هیچ اصطلاح تعریف شده‌ای به طور عمومی مطرح نبود ولی در حال حاضر هر ارائه‌دهنده‌ی خدمات احراز هویت دیجیتال در سطح بین‌الملل که سعی در ارائه تشخیص زنده بودن کاربران دارد، باید با یک آزمایشگاه معتبر بین‌المللی تعامل داشته باشد و یک راه‌حل نرم‌افزاری/سخت‌افزاری مناسب برای تشخیص زنده بودن ارائه دهد. در حال حاضر تعداد کمی از آزمایشگاه‌های تأیید شده برای صدور گواهی تشخیص زنده بودن وجود دارد که به عنوان مثال عبارت‌اند از: TÜV IT آلمان، مرکز تحقیقات و آزمایش بیومتریک سوئیس (موسسه تحقیقاتی Idiap) و ELITT/Leti CEA فرانسه و … .

برای ارائه یک تشخیص زنده بودن تأیید شده، فروشندگان بیومتریک می‌توانند فرایند گواهی FIDO را انجام دهند یا صرفاً ارزیابی PAD را انجام دهند. علاوه بر عملکرد PAD، گواهی FIDO همچنین شامل عملکرد تأیید بیومتریک (تشخیص چهره) است. در طول هر دو تست عملکرد، سیستم‌های ضد جعل بیومتریک با حملات مختلف ارائه مانند عکس‌های چاپ شده، ماسک‌های کاغذی یا فیلم‌ها به چالش کشیده می‌شوند. در صورت موفقیت‌آمیز بودن آزمایش بر اساس ISO/IEC 30107-3، فروشنده بیومتریک یک گزارش آزمایش (در مورد ارزیابی PAD) یا یک گواهی FIDO (اگر گواهینامه کامل FIDO انجام شده باشد) دریافت می‌کند.