web-dev-qa-db-fra.com

La reconnaissance faciale est-elle une bonne fonctionnalité de sécurité?

J'ai trouvé que ce type a téléchargé un code de reconnaissance faciale avec un commentaire qu'il aimerait utiliser "comme fonction de sécurité". Cela m'a fait réfléchir; la reconnaissance faciale est-elle une fonctionnalité de sécurité valide, ou est-ce un moyen "cool", mais pas très efficace de sécuriser quelque chose?

76
MatthewRock

Non, pas vraiment. Du moins pas comme forme principale d'authentification. La biométrie en général n'est pas bonne pour l'authentification, car:

  • Vous les laissez partout, et il n'y a aucun moyen d'éviter cela.
  • Ils ne peuvent pas être modifiés en cas de violation.
  • Vous devez ajouter une tolérance d'erreur élevée pour ne pas causer de problèmes d'utilisation. Ces tolérances conduisent à des faux positifs, même sans attaques, et rendent les attaques possibles.

En pratique, lors de la mise en œuvre des algorithmes, ils doivent généralement trouver un équilibre entre [taux de fausse acceptation] et [taux de faux rejet]. Cela rend l'efficacité de la reconnaissance faciale la plus faible de toutes en ce qui concerne la table. Sa sécurité est également inférieure à celle des autres systèmes de reconnaissance biométrique, en particulier par rapport au scan d'empreintes digitales.

- Votre visage N'EST PAS votre mot de passe, Face Authentication ByPassing Lenovo - Asus - Toshiba (2009)

Je n'ai pas pu trouver de démonstration en direct pour cet article, mais en voici une d'un 1C3 parler de biométrie , qui utilise une image simple, et peut contourner le clignotement requis. Voici un article d'une personne utilisant ne vidéo pour contourner une exigence de clignotement.

Voici un article plus récent utilisant des approches plus modernes:

Dans cet article, nous introduisons une nouvelle approche pour contourner les systèmes modernes d'authentification faciale. Plus précisément, en exploitant une poignée de photos de l'utilisateur cible prises à partir des médias sociaux, nous montrons comment créer des modèles faciaux 3D réalistes et texturés qui sapent la sécurité des solutions d'authentification faciale largement utilisées.

[...]

À notre avis, il est très peu probable que des systèmes d'authentification faciale robustes puissent fonctionner en utilisant uniquement une entrée de caméra Web/mobile. Compte tenu de la nature très répandue des photos personnelles en ligne à haute résolution, les adversaires d'aujourd'hui ont une mine d'or d'informations à leur disposition pour créer synthétiquement de fausses données faciales. De plus, même si un système est capable de détecter de manière robuste un certain type d'attaque - que ce soit en utilisant une impression papier, un masque imprimé en 3D ou notre méthode proposée - la généralisation à toutes les attaques possibles augmentera la possibilité de faux rejets et donc limiter la convivialité globale du système.

- Virtual U: vaincre la détection de la vivacité du visage en créant des modèles virtuels à partir de vos photos publiques (2016)

130
tim

C'est utile comme "nom d'utilisateur"

Nous avons un nom pour une fonction d'authentification qui ne peut pas être facilement modifiée et qui est parfois montrée à des tiers - c'est votre ID de compte, votre nom d'utilisateur, etc.

Bien que vous souhaitiez toujours utiliser autre chose (par exemple, un mot de passe) comme fonctionnalité d'authentification principale, le remplacement de l'ID utilisateur par la reconnaissance faciale peut le rendre plus pratique (pas besoin de saisir quoi que ce soit) et plus sécurisé que les ID couramment utilisés tels que noms d'utilisateur ou adresses e-mail.

58
Peteris

Vous avez marqué cela avec l'authentification, donc je vais répondre de ce point de vue. (Mais comme Aria le souligne dans les commentaires, il a également des applications en surveillance.)

Pour que la reconnaissance faciale soit une fonctionnalité intéressante sur Facebook, elle doit simplement fonctionner la plupart du temps. Pour être utile à l'authentification, il doit avoir un taux d'échec proche de zéro. Presque pas de faux positifs (même si c'est une personne qui vous ressemble beaucoup, ou quelqu'un tient une photo ou un modèle 3D de votre visage), et presque pas de faux négatifs (même si vous avez perdu beaucoup de poids ou appliqué Certains maquillent). Cela demande beaucoup.

Et comme pour toute authentification biométrique, vous avez le problème avec l'intégration de la clé dans votre corps. Si vous pensiez que les méchants qui vous coupaient le doigt pour passer le scanner d'empreintes digitales étaient mauvais, imaginez ce qu'ils auraient à faire pour avoir votre visage ...

De plus, vous ne pouvez pas changer la forme de votre visage (à moins d'une chirurgie plastique) aussi facilement que vous pouvez changer un mot de passe ou une clé physique s'il est compromis.

Cela a donc tous les problèmes des lecteurs d'empreintes digitales, mais bien pire. C'est une mauvaise idée.

19
Anders

Il y a déjà eu de bonnes réponses. Le point clé est probablement que cela dépend de votre profil de risque. Dans certaines situations, la reconnaissance faciale peut être un contrôle pratique qui est suffisamment efficace pour cette situation particulière, mais pour de nombreuses autres situations, vous devrez l'inclure avec d'autres contrôles avant de fournir un niveau de protection adéquat. Par exemple, je pourrais décider que la reconnaissance faciale est bien sur mon ordinateur à la maison ou elle peut être adéquate pour mon verrouillage de l'économiseur d'écran, mais elle n'est pas suffisante pour une connexion initiale ou sur mon ordinateur dans le bureau ouvert au travail, etc.

L'autre point important à noter est qu'il existe des variations considérables dans la précision et la fiabilité des différents systèmes de reconnaissance faciale. Par exemple, les gens ont montré que de nombreuses implémentations sur certains appareils mobiles bas de gamme ont des paramètres de correspondance larges qui peuvent facilement être trompés par une photo ou quelqu'un qui a l'air `` similaire ''.

Comme avec presque tous les contrôles de sécurité, des questions comme "Is X secure" sont généralement la mauvaise question. La sécurité doit être évaluée dans le contexte cible. Ce que vous recherchez, c'est un équilibre adéquat entre le risque de compromis et la commodité. Une fois que vous avez identifié les contrôles appropriés, vous devez ensuite évaluer l'efficacité de la mise en œuvre des contrôles sélectionnés. Si vous avez évalué que dans une situation spécifique, la reconnaissance faciale serait appropriée, vous estimez alors que la solution de reconnaissance faciale mise en œuvre fonctionne dans des paramètres acceptables.

4
Tim X

Cela dépend de votre définition de la sécurité. Par exemple, il peut certainement être utilisé comme élément de sécurité si personne ne le sait et la caméra compare de manière cachée les visages des hommes qui se connectent avec les visages liés à l'accident et avertit les responsables de la sécurité des asymétries. Mais c'est la sécurité par l'obscurité et si un attaquant le sait, il utilisera des moyens simples ou compliqués de contourner s.a. montrant une photo ou portant un masque facial. Il en va de même pour les empreintes digitales et les scanners d'iris. La plupart des éléments biométriques à des fins d'authentification ne fonctionnent que dans un cadre supervisé lorsqu'un homme se tient à proximité et détecte des tricheurs avec ses yeux, son cerveau et son expérience, tels que le contrôle des frontières, la surveillance de la rue (si ceux-ci portant des masques ou en évitant des caméras ou des comportements différents sont arrêtés par la police) ou le profilage de criminels. Donc pour l'auth. À des fins non encadrées, il est seulement bon d'impressionner des enfants de 5 ans.

1
KOLANICH

Non. On pourrait simplement remplacer l'appareil photo par un appareil répondant par une vidéo du visage de la personne. Et vous laissez votre visage partout.

Ou exécutez le système dans un VM et connectez un pilote virtuel avec les données collectées à partir d'une caméra de votre visage.

L'utiliser comme seule mesure de sécurité est très peu sûr et ne doit jamais être utilisé. Peut-être que cela fonctionnerait bien dans un schéma d'authentification à deux facteurs, mais jamais seul.

0