最近,我必须在线进行身份验证才能使用基于Internet的服务。身份验证过程是通过视频通话完成的,我将ID卡握在脸部旁边的笔记本电脑摄像头前。我还必须扭动ID卡,以便视频通话另一端的人可以看到ID卡上打印的安全保护功能。

然后该人要求我挥手身份证正面,所以很快被我的手完全盖了好几次。

这种方法应该实现什么,或者仅仅是安全剧院?

评论

看看您在德国的住所,一个有趣的后续问题将是他们在您进行身份验证时是否拍照,或者他们是否写下了序列号,以及原则上是否可以以任何方式访问任何信息自动(实际上是在连接到网络的计算机上的情况)等。思考一下PAuswG的巨大乐趣。

阅读标题后,我想的就是“这些不是您要寻找的机器人”

#1 楼

鉴于此鉴定很可能是根据德国法律进行的,因此此要求是与BaFin 3/2017号通函相符的,该通函要求(以其非约束性的英语翻译):


任何替代/必须采取适当措施制止对身份证件各部分或要素的操纵。为此,必须要求要识别的人,例如,将手指放在身份证明文件中与安全性相关的部分上(由系统可变并由系统随机确定),然后一只手在他们的脸上移动。
员工必须使用这些经过裁剪和放大的静止图像,以确保身份证明文件以及所有在白光下可视觉识别的安全特征在正确的位置被完全遮盖,并且没有伪影指示人为操纵在过渡点很明显。


因此,陈述的原因是在您发送的视频供稿中发现潜在的操纵。必须要有足够多且不可预测的任务,这会使您难以准备合适的替代品。

评论


我接受了这个答案,因为它给出了这样做的实际原因,但是施罗德的答案当然也是正确的,并给出了充分的理由。

–汤姆·K。
18年8月13日在19:29

那么基本上是中层人员呢?

–安东尼
18年8月13日在22:16

绿屏软件难道不容易欺骗吗?

–乔纳森·雷兹(JonathanReez)
18年8月14日在2:13

@JonathanReez-我认为绿屏软件没有您想象的那么好。也许可以对这种不稳定的行为进行后处理,但是要使其活下去将是非常困难的。特别是在演示卡的安全功能时。

–阴影
18年8月14日在5:01



@JonathanReez也许在理论上。在实践中,您需要一些非常先进的软件来跟踪对象,即使该对象被完全隐藏,也可以从“另一侧”拾取它。这涉及很多问题,甚至没有考虑标准的绿色屏幕问题(例如,色度会反射到其他表面上或被裁剪掉)

–莫妮卡基金的诉讼
18年8月16日在17:16

#2 楼

挡住待检查物品的视线的运动有助于打败试图用视频上的覆盖图像代替实际物品的人。

例如,我可以拍摄您的ID的简短视频(显示安全功能),然后将其覆盖在实时视频中,而不是我的实际ID。但是通过在前面挥动我的手,远程观看者可以看到这不是视频叠加。

是真正的威胁吗?是。只要看一下我们看到的伪造视频,就可以使某人看起来像是某人在说他们从未做过的事情。该技术已存在并正在使用。

可信的威胁?值得商,,但缓解措施没有成本,所有参与者都很容易,而且很简单。因此,缓解成本可以忽略不计。

这意味着它不是“安全剧院”。它实际上处理了风险。但是我可能会同意,此时此刻可能是临界点。明年,我可能必须编辑此答案。

评论


@TheLethalCoder好的。只要有足够的资源,几乎所有东西都可以破坏。安全性是关于相对成本的,这大大增加了此类欺诈的最小工作量。

–杰里米
18年8月13日在12:35

绿屏覆盖要复杂得多。覆盖层能够平滑地处理您的手对对象的部分覆盖,这也有助于查看者确定其是否真实。他们可以以各种速度请求波浪,以检测处理速度不够快的覆盖层的伪影。

–尼尔森
18年8月13日在15:56

伪造的ID是否会击败这种方法?它不一定是有史以来最好的伪造,足以通过笔记本电脑相机使用

–Felipe Pereira
18年8月13日在20:35

@FelipePereira,伪造的ID不具有真实卡的视觉安全功能(全息图等)

– schroeder♦
18年8月14日在9:57

@schroeder良好的ID具有诸如浮雕文字,特殊卡片材料,缩微打印,UV墨水等安全功能,这些功能无法通过相机进行验证。即使是全息图或变色墨水也很难通过消费级网络摄像头展示。

–user71659
18年8月15日在15:50

#3 楼

Lethalcoder和其他人指出,简化手波很容易做到。但这遗漏了请求的要点-这是一个意外的请求,可能不会提前取消。明天,他们可能会要求您显示手机的时间,或今天的报纸(好像有人在读报纸),或在ID前面显示任何其他随机物品。如果他们总是在身份验证过程中大约同时要求相同的任务,那么这将成为安全区。

关于为什么需要挥手的原因,施罗德在回答中很好地解释了这一点。 :


“阻止检查中的项目的视图的运动有助于
击败试图在视频上使用覆盖图像作为替换对象的人。例如,我可以拍摄一个简短的
您的ID的视频(显示安全功能),然后将该
覆盖在实时视频中,而不是我的真实ID。 br />,则远程查看器可以看到它不是视频重叠。”


评论


@pipe那天,他们可能会要求您在前面挥手。明天,他们可能会要求您挥动笔或将鼠标放在前面。还有一次,他们可能会要求您将ID前后旋转2到3次。正如吉姆所说,任何出乎意料的事情。这并不是说您不能伪造这些请求,而是您不可能准备现成的视频来满足他们的要求。

– TripeHound
18年8月13日在14:24



Neo的回答证实了任务的不可预测性

– schroeder♦
18年8月13日在17:14



@TripeHound不确定为什么要在评论中告诉我。我已经看过其他答案,也没有问这个问题。

–烟斗
18年8月13日在18:56

为了获得正确和正确的随机性,您可能希望使用骰子版本的步骤,否则可能只是一堆挥舞之手

–Wayne Werner
18年8月15日在19:15



@Joan这样的事情在“几年内”变得越来越普遍,他们可能会更改其安全程序。

– TripeHound
18年8月18日在23:34