即時驗證碼(Real-TimeCaptcha)使用了一種對人類來說很簡單但使用機器學習和圖像生成軟體欺騙合法使用者的攻擊者來說卻很困難的獨特問題, 這種身份驗證方法可以提高當前靠使用者面部視頻或圖像的生物鑒別技術的安全性。
最近出現了一種新的登錄身份驗證方法可以提高當前基於使用者面部視頻或圖像的生物識別技術的安全性。 這種技術被稱為即時驗證碼(Real-Time Captcha), 它使用了一種對人類來說很簡單的獨特問題——但對於那些可能使用機器學習和圖像生成軟體欺騙合法使用者的攻擊者來說卻很困難。
即時驗證碼要求使用者在回答出現在設備螢幕上的驗證碼中的隨機問題時要查看手機內置攝像頭, 必須在有限的時間內給出答案, 而人工智慧或機器學習程式無法在如此短時間內做出回復。 驗證碼可對基於圖像和音訊的身份驗證技術提供輔助。 如果攻擊者能夠查找和修改使用者的圖像、視頻和音訊, 或者能夠從使用者的移動設備中竊取這些資訊, 那麼上述身份驗證技術就可能被欺騙。
在美國海軍研究辦公室(ONR)和國防高級研究計畫局(DARPA)的支持下, 喬治亞理工學院(Georgia Institute of Technology)的網路安全專家取得了這項進展。 攻擊者現在已經知道該身份驗證的要求, 比如要求他們微笑或眨眼, 所以他們可以比較容易地即時製造出會眨眼的模型或笑臉。
為了避免在登錄時使用傳統密碼, 移動設備和線上服務正轉向使用人臉、視網膜或其他生物屬性的生物識別技術, 來驗證登錄者身份。 例如, iPhone X的設計是使用人臉來解鎖, 而其他系統則通過使用者點頭、眨眼或微笑的短視頻片段來解鎖。
研究人員表示, 在網路安全的攻防中, 這些生物特徵可能被偽造或竊取, 這將迫使企業尋找更好的方法。 如果攻擊者知道身份驗證是基於人臉識別的, 那他們可以使用演算法合成一個假圖像來類比真實使用者。 但是通過在驗證碼圖像中給出隨機選擇的挑戰,
這個新方法將要求登錄者通過四項測試:從驗證碼內成功識別出挑戰問題;在狹窄的時間視窗內給出只有人類能夠做到的回答;成功匹配合法使用者預先錄製的圖像和聲音。 研究人員表示僅僅使用人臉識別進行認證可能還不夠強大,
驗證碼技術——最初是“完全自動化的用來區分電腦和人類的公共圖靈測試”的縮寫, 廣泛用於防止機器人在網站上訪問表單。 它的工作原理是利用人類在圖像中識別模式的優越能力。 即時驗證碼方法通過提示用戶做出回應, 生成即時視頻和音訊, 然後與使用者存儲的安全設定檔進行匹配, 這將超出網站要求的能力。
驗證碼的挑戰可能包括識別混亂的字母或解決簡單的數學問題。 這個想法是讓人類在機器能夠識別問題之前做出反應。 研究人員稱, 機器讓靜止的圖像微笑或眨眼需要幾秒鐘, 但識破我們驗證碼的變化卻需要十秒或更長時間。
為了改進認證,
研究人員研究了這個問題, 知道攻擊者接下來可能會做什麼, 並表示提高圖像品質是一種可能的應對方式, 但他們想要創造一個全新的遊戲。 即時驗證碼方法不會顯著改變頻寬需求, 因為發送到移動設備的驗證碼圖像很小, 而且認證方案已經在傳輸視頻和音訊。
未來面臨的挑戰包括要克服在嘈雜的環境中識別語音的困難, 以及確保設備攝像頭和身份驗證伺服器之間的連接。 對於任何安全機制, 首先需要擔心該機制的安全性, 一旦開發出一種安全技術,它就會成為攻擊者的攻擊目標,生物識別技術也是一樣。
一旦開發出一種安全技術,它就會成為攻擊者的攻擊目標,生物識別技術也是一樣。