我发现这个人上载了一些面部识别代码,并带有注释,他想“将其用作安全功能”。这让我开始思考;识别是一种有效的安全功能,还是“很酷”,但不是安全的有效方法?

评论

这取决于。对于身份验证,目前还没有。用于监视是。

过去,我欺骗了多种生物识别技术,但现在还没有。我直接与Microsoft处理Windows 10面部识别的团队合作。MS使用的新版本检测到足够的差异,一对双胞胎将彼此锁定。它可以看到您的皮肤中的脊。他们还没有一次成功的进攻。请注意,我只是在谈论Surface Pro 4和Surface Book。我一直在使用它作为IT专业人员。

@Lofful因此,如果您的脸部有任何损伤,您会被锁定在设备之外吗? (例如瘀伤,割伤,整形手术)。

@Lofful:您与Microsoft合作的奖励是,有99个人赞成蒂姆的答案,说您对误报率撒谎(或错误);-)

@Lofful难道不只是PINN吗?

#1 楼

不,不是。至少不是作为身份验证的主要形式。一般来说,生物识别技术不利于身份验证,原因是:

您将它们遗留在各处,并且无法避免。
如果发生违反,则不能更改它们。
您需要增加较高的容错性,以免引起可用性问题。这些容差即使在没有攻击的情况下也会导致误报,并使攻击成为可能。


实际上,在实现算法时,它们通常必须在[错误接受率]之间取得平衡。 ]和[错误拒绝率]。
这使得人脸识别的效率是所有表格中最低的。它的安全性也低于其他生物特征识别系统,尤其是与指纹扫描相比。
—您的
人脸不是您的密码,通过联想的人脸身份验证–
华硕–东芝
(2009)

我找不到该论文的现场演示,但这是31C3关于生物识别的演讲中的一个,它使用简单的图片,并且可以绕过所需的闪烁。这是某人使用视频绕过眨眼要求的文章。
这是一篇使用更现代方法的最新论文:

在本文中,我们介绍了一种新颖的绕过眨眼的方法现代人脸
身份验证系统。更具体地说,通过利用从社交媒体获取的少量目标用户图片,我们展示了如何
创建逼真的,纹理化的3D面部模型,从而破坏广泛使用的面部的安全性。身份验证解决方案。
[...]
我们认为,健壮的面部身份验证系统
不可能仅使用网络/移动摄像头输入就能运行。考虑到高分辨率的个人在线照片的广泛性,当今的对手在处理合成假脸数据的信息处理中占有一席之地。而且,即使
系统能够可靠地检测某种类型的攻击-无论是使用纸质打印输出,3D打印的蒙版还是我们提出的方法-
将所有可能的攻击概括化将增加可能性
的错误拒绝,因此限制了系统的整体可用性。
—虚拟U:通过从公开照片中构建虚拟模型来打击人脸活动检测(2016)
/>

评论


是的,到处都是肯定是+1的大问题。我最喜欢的生物识别信息是:它们很傻,就像您不能更改的密码(不知道是谁先说了,对不起)

–grochmal
2016年9月6日14:38在

可能需要添加到此答案中的另一点是,生物识别密码必须随时间变化,这需要对人体进行频繁采样。许多人并没有意识到他们的脸,视网膜甚至指纹在他们的一生中会发生多大的变化,尤其是在极短期的变化(例如疤痕或其他伤害)下。如果我早上刮脸剃须,就不想被锁在笔记本电脑之外!

– sethmlarson
2016年9月6日15:02

这个答案相当不错,但似乎忽略了关于活泼的关键话题。可以使用多种技术来确定图像中的面部是否是真实人物(例如,静态照片或视频)。有些很容易傻(例如,眨眼);其他人可能更有效。是否有一种经济有效,准确的方法来进行活动检测以提供足够的保护,这是一个开放的研究课题。同样,尚不清楚需要好莱坞式3D蒙版的攻击是否会使人脸识别无用。这取决于您使用它们的目的。

– D.W.
16-09-6在20:35



@ D.W。我同意,我本可以在活度检测方面做得更深入,但是我认为上一篇论文做得很好。还要注意的是,它不使用3d遮罩来绕过当前的活动性检测,而是使用在智能手机上运行的VR系统,该系统由FR系统的相机支撑。当然,这始终是一个问题,该系统的用途是什么,但是我的主要观点是,一般而言,生物识别技术和面部识别技术都有一些根本性的弱点,至少在可预见的将来,它们有可能不适合作为主要身份验证。

–蒂姆
2016年9月6日在21:13

我听说有位黑客能够伪造照片中的手指或眼睛,并将其发送给德国政府。这是一篇文章,来自报纸,而不是研究论文:scmagazineuk.com/…

–沃尔夫特
16-9-7上午11:41

#2 楼

用作“用户名”很有用。

我们有一个身份验证功能的名称,该名称不能轻易更改,偶尔会显示给第三方-这是您的帐户ID,用户名等。

尽管您仍想使用其他东西(例如密码)作为主要身份验证功能,但用面部识别代替用户ID可以使其比通常更方便(无需输入任何内容)且更安全使用的ID,例如用户名或电子邮件地址。

评论


“并且比常用的ID(例如用户名或电子邮件地址)更安全。”我强烈不同意。对于某人来说,拍我的脸照片并将其显示在相机上比找出我的用户名更容易。另外,我可以控制用户名的暴露,但(实际上)我不能控制头的暴露。我也可以更改用户名,但不能更改自己的头。

–糟糕
16/09/8在7:44



@假面具很便宜

– PyRulez
2016年9月11日下午13:50

#3 楼

您用身份验证标记了这个,所以我将从这个角度回答。 (但是正如Aria在评论中指出的那样,它也可以在监视中使用。)

要使脸部识别成为Facebook上的一个很酷的功能,它大部分时间都需要工作。为了使其对身份验证有用,它的失败率必须接近零。几乎没有误报(即使是一个看起来很像您的人,或者有人举着您的脸部照片或3D模型),也几乎没有误报(即使您减掉了很多体重或不知所措)一些弥补)。这就要求很多。

和所有生物特征认证一样,将密钥嵌入体内会遇到问题。如果您认为坏人切断手指以通过指纹扫描仪很不好,请想象一下他们将如何做才能让您的脸...

此外,您无法更改您的脸部(无需整形手术)就很容易,只要您更改了密码或物理密钥即可。

因此,这会带来指纹读取器的所有问题,只会更糟。这是一个坏主意。

评论


+1:特别是因为“ ...坏人切断手指穿过指纹扫描器很糟糕,想象一下他们将需要做些什么才能露出你的脸...”,这使我想起了007部电影! :-)

– Lorenzo Donati-Codidact.com
2016年9月9日下午4:28

另外需要提醒的是,使用密码时,您可能会被迫肉体露出眼睛/手指,如果您准备死去并接受酷刑,将无能为力。

– Xavier59
18年8月29日在23:30

#4 楼

已经提供了一些好的答案。关键点可能在于它取决于您的风险状况。在某些情况下,面部识别可能是方便的控件,对于该特定情况而言是足够有效的,但是对于许多其他情况,您需要先将其与其他控件一起使用,然后才能提供足够的保护级别。例如,我可能认为面部识别在家用计算机上很好,或者对于我的屏幕保护程序锁定是足够的,但是对于首次登录或在开放式办公室工作中的计算机等来说,这还不够。

要注意的另一个重要点是,不同面部识别系统的准确性和可靠性存在很大差异。例如,人们已经表明,一些低端移动设备上的许多实现具有广泛的匹配参数,很容易被照片或看上去“相似”的人所迷惑。

与几乎所有安全控制措施一样,“ X是否安全”之类的问题通常是错误的问题。安全性需要在目标范围内进行评估。您所寻求的是在折衷和便利之间取得适当的平衡。确定适当的控制措施后,您需要评估所选控制措施的实施效果。如果您评估了在特定情况下面部识别是合适的,则可以评估所实施的面部识别解决方案在可接受的参数范围内执行。

#5 楼

这取决于您对安全性的定义。例如,如果没有人知道它,它肯定可以用作安全功能,并且摄像头隐式地将登录人员的面孔与acc绑定的面孔进行比较,并警告不负责安全的人员。但这是通过默默无闻实现的安全性,如果攻击者知道它,它将使用简单或复杂的方法绕过s.a.展示图片或戴面膜。指纹和虹膜扫描仪也是如此。大多数用于身份验证的生物识别材料只能在有监督的环境下工作,当一个男人站在附近并用眼睛,大脑和经验检测到作弊者时,例如边境管制,街道监视(如果戴面具的人,避免摄像头或行为不同的人被阻止)警察)或犯罪分子简介。因此对于身份验证。在无情的环境中使用,只会给5岁的孩子留下深刻的印象。

#6 楼

不需要。只需将摄像头替换为能够响应人脸视频的设备即可。然后你无处不在。

或者在VM中运行系统,并将虚拟驱动程序与从您的面部摄像头收集的数据连接起来。

将其用作唯一的安全措施是高度不安全的,应该永远不会被使用。也许它在两因素身份验证方案中会很好用,但永远不会孤单。

评论


如果您允许更改硬件甚至安全系统的操作系统,那么我认为您仍然不能创建安全系统。如果系统告诉您如何移动视频,视频将无法立即使用

– FooBar
16-09-7在7:04

@FooBar如果您不允许的话,只需用大锤的墙壁/门突破墙壁即可。我说的是加密安全性。

–noɥʇʎԀʎzɐɹƆ
16 Sep 7 '21:18



您是否知道如果在攻击者VM中运行的系统仍然可以安全使用?

– FooBar
16年9月8日在8:21