Testes de segurança biométrica coletivos explicados
SpoofBounty. com
Testes de segurança biométrica coletivos explicados
O que é um “Programa de recompensas falsas”?
Um programa de recompensas falsas é um teste público de segurança de chapéu branco incentivado, projetado para garantir que um autenticador biométrico seja seguro no mundo real, não apenas no laboratório ou na sala de aula. Semelhante a um programa de recompensa por bugs de software, se um testador conseguir encontrar uma paródia que engane o sistema, ele será recompensado com um pagamento em dinheiro. Através deste processo, o fornecedor que fornece o software de autenticação biométrica aprende sobre potenciais vulnerabilidades e, se alguma for encontrada, pode trabalhar para mitigá-la.
Como as recompensas falsas nos tornam mais seguros
Com esse estilo de teste de código aberto, os fornecedores de biometria não podem mais se esconder atrás dos links “Solicitar uma demonstração”; seu software de segurança deve estar aberto para que todos possam avaliar e testar. Essa abordagem proporciona transparência e garante que os fornecedores possam realmente comprovar sua segurança nos mesmos ambientes reais em que seus usuários operam.
Escala de vetor de ameaças de nível 1 a 5 do Liveness.com - artefato falsificado e níveis de desvio
Quando um objeto inanimado que exibe características humanas (um “artefato”) é apresentado a uma câmera ou sensor biométrico, isso é chamado de “falsificação”. Fotos, vídeos, fantoches, máscaras e bonecos deepfake são exemplos comuns de artefatos falsos. Quando os dados biométricos são adulterados após a captura ou a câmera é totalmente ignorada, isso é chamado de “desvio”. *Não há testes de laboratório disponíveis para artefatos de nível 3 ou desvios de nível 4 e 5, uma vez que esses vetores de ataque estão ausentes do padrão ISO 30107-3 e, portanto, de todos os testes de laboratório associados. Atualmente, apenas um programa Spoof Bounty pode abordar os níveis 1-5.
Tipo de artefato | Descrição | Exemplo |
---|---|---|
Nível 1 (A) | Fotos digitais e em papel de alta resolução, vídeos de desafio/resposta em alta definição e máscaras de papel. Cuidado: os testes de laboratório iBeta NÃO incluem ataques de fantoches deepfake, mas o Spoof Bounty da FaceTec inclui fantoches deepfake. | |
Nível 2 (B) | Bonecos realistas disponíveis comercialmente e máscaras 3D de resina, látex e silicone usadas por humanos com preço inferior a US$ 300. | |
Nível 3 (C) | Máscaras 3D ultra-realistas personalizadas, cabeças de cera, etc., com custo de criação de até US$ 3.000. *Nenhum teste de laboratório disponível |
Tipo de desvio | Descrição | Exemplo |
---|---|---|
Nível 4 | Descriptografe e edite o conteúdo de um FaceMap 3D para conter dados sintéticos não coletados da sessão, faça com que o servidor processe e responda com Liveness Success. | |
Nível 5 | Assuma com sucesso o feed da câmera e injete quadros capturados anteriormente que resultam na resposta do servidor com Liveness Success. |
Anti-Spoofing e Detecção de Liveness são a mesma coisa?
Sim, na maior parte, e neste site usaremos esses termos de forma intercambiável. Para adicionar contexto, se um artefato inanimado (foto, vídeo, máscara, etc.) enganar um autenticador facial, isso é chamado de falsificação. Se um autenticador facial for enganado por uma pessoa viva de aparência semelhante, então é um impostor, também conhecido como uma "falsa aceitação correspondente".
Como a detecção de vivacidade nos protege contra fraudes de identidade
A detecção de vivacidade evita que artefatos não vivos criem ou acessem contas porque uma foto não enganará a IA. E nem um vídeo, uma cópia de sua carteira de motorista, passaporte, impressão digital ou íris. O usuário legítimo deve estar fisicamente presente para acessar suas contas, portanto não há necessidade de se preocupar em manter os dados biométricos em “segredo”. A detecção de atividade evita que bots e malfeitores usem fotos roubadas, vídeos deepfake, máscaras ou outros artefatos falsos para criar ou acessar contas online, garantindo que apenas humanos reais possam criar e acessar contas.
As verificações de atividade resolvem alguns problemas muito sérios. Por exemplo, o Facebook teve de eliminar 5,4 mil milhões de contas falsas só em 2019! Exigir prova de vivacidade teria evitado que essas falsificações fossem criadas.
Por que os programas Spoof Bounty oferecem mais confiança do que os testes de laboratório
Os programas de recompensas falsas são o futuro dos testes de segurança biométrica porque nenhum laboratório pode criar ou comprar todos os artefatos falsificados que podem ser obtidos coletivamente, mesmo de um pequeno programa de recompensas falsas. A maioria dos laboratórios testa a detecção de ataque de apresentação (PAD) usando apenas cinco ou seis artefatos falsificados. Conjuntos de testes tão pequenos quase não têm significado no mundo real, visto que cerca de 1-2% das sessões durante a integração da conta (inscrições iniciais de novas contas) são falsas.
Por exemplo, se você tivesse um milhão de usuários, seu autenticador biométrico veria de 10.000 a 20.000 artefatos de falsificação diferentes. Compare isso com os cinco-seis dos testes de laboratório atuais e você poderá entender por que é muito mais difícil estar seguro no mundo real.
Fornecedores de animação 3D certificados pela FaceTec
É importante insistir para que seu fornecedor de biometria mantenha um programa persistente de recompensas por falsificação para garantir que eles estejam cientes e robustos contra quaisquer ameaças emergentes, como deepfakes. A partir de hoje, o único fornecedor de autenticação biométrica com uma recompensa ativa e real por falsificação é a FaceTec. Tendo já rejeitado mais de 130.000 ataques de falsificação do mundo real , o objetivo do Programa Spoof Bounty de US$ 600.000 continua sendo descobrir vulnerabilidades desconhecidas na IA de atividade e no esquema de segurança para que possam ser corrigidas e os recursos anti-spoofing aumentados ainda mais.
Para obter mais informações sobre detecção de vivacidade, visite www.Liveness.com
Fornecedores certificados de 3D FaceTec Liveness
Programa Spoof Bounty de US$ 600.000 + PAD certificado pelo NIST/NVLAP Lab: Nível 1 e 2 AI*
Programa de recompensas falsas de US$ 600.000
Testes de desvio público incentivados para adulteração de modelos, apresentação de nível 1-3, reprodução de vídeo, injeção de deepfake, câmera virtual e ataques de adaptador MIPI.
*Os fornecedores listados acima não foram testados individualmente por um laboratório credenciado pelo NVLAP/NIST para ataques de apresentação de nível 1 e 2. Eles estão distribuindo o software da FaceTec, que teve certificação v6.9.11 para testes de regressão de nível 2 + nível 1.
Por que o teste iBeta PAD não é suficiente?
Em nossa opinião, os testes iBeta PAD por si só não representam adequadamente as ameaças do mundo real que um sistema de detecção de atividade enfrentará por parte de hackers. Qualquer teste de terceiros é melhor do que nenhum, mas, tomados pelo valor nominal, os testes iBeta fornecem uma falsa sensação de segurança por serem incompletos, muito breves, por terem muita variação entre os fornecedores e por serem MUITO FÁCEIS de passar .
Infelizmente, o iBeta permite que os fornecedores escolham os dispositivos que QUEREM USAR para o teste, e a maioria escolhe dispositivos mais novos com câmeras de 8 a 12 MP. Para colocar isso em perspectiva, uma webcam 720p não tem nem 1MP, e quanto maior a qualidade/resolução do sensor da câmera, mais fácil será passar no teste.
Embora a maioria dos consumidores e usuários finais não tenha acesso ao documento da norma ISO 30107-3 "pay-per-view", a iBeta se recusa a adicionar isenções de responsabilidade em suas Cartas de Conformidade para alertar os clientes e usuários finaisque seus testes PAD contêm SOMENTE ataques de apresentação e não tentativas de contornar a câmera/sensor. Também é lamentável que ISO e iBeta combinem Matching & Liveness em um protocolo de teste não científico, tornando impossível saber se a Detecção de Liveness está realmente funcionando como deveria em cenários onde a correspondência está incluída, e o aplicativo apenas declara Match/No Match ou algo semelhante.
Isso significa que o teste iBeta considera apenas artefatos mostrados fisicamente a um sensor. E mesmo que os ataques digitais sejam os mais escaláveis, atualmente, o iBeta NÃO TESTA nenhum tipo de ataque de câmera virtual ou adulteração de modelo em seus testes PAD. Portanto, o teste iBeta, não importa o nível do PAD, NUNCA é suficiente para garantir a segurança no mundo real. Até onde sabemos, a iBeta nunca se ofereceu para realizar qualquer teste de desvio de sensor a qualquer fornecedor de PAD em nenhum momento antes da redação deste artigo.
O iBeta permite indiretamente que os fornecedores influenciem o número de sessões em seus testes baseados em tempo, porque alguns fornecedores têm tempos de sessão muito mais longos do que outros. Isso significa que, ao estender o tempo necessário para a conclusão de uma sessão, o fornecedor pode limitar a quantidade de ataques que podem ser executados no tempo alocado . O objetivo dos testes de segurança biométrica é expor vulnerabilidades e, quando o número de sessões, os dispositivos e os níveis de habilidade do testador não são padronizados, isso significa que o teste NÃO é igualmente difícil entre fornecedores e/ou não é representativo de ameaças do mundo real.
É importante observar que o iBeta NÃO oferece mais testes de nível 3. Ele foi oferecido por alguns meses sob uma "conformidade de nível 3", mas então o NIST notificou o iBeta de que não acreditava que o iBeta fosse capaz de realizar testes tão importantes e difíceis, e o iBeta teve que remover a opção de teste de nível 3 . No entanto, o iBeta ainda listou os testes de Nível 3 em seu site por mais de um ano e só recentemente os removeu, provavelmente porque alguém do NIST leu esta página... Os editores deste site acreditam que a falta de um aviso dizendo que "O Nível 3 não pode ser testado pelo iBeta sob seu credenciamento NIST" ESTÁ faltando propositalmente para tentar fazer com que o menu de testes do iBeta pareça mais completo e seu laboratório mais competente.
Observação: a equipe do iBeta declarou recentemente publicamente que foi sua decisão “comercial” não realizar testes de nível 3, mas isso é falso. Em telefonemas e e-mails, a equipe do iBeta disse repetidamente aos editores deste site que o iBeta não foi capaz de realizar testes de nível 3 devido às limitações do NIST. *Isso é contestado pelo iBeta.
O iBeta geralmente não testa o software Liveness Detection do fornecedor em navegadores da web, apenas em dispositivos nativos, portanto, existem vários vetores de ameaças não testados, mesmo em sistemas que passam em alguns testes básicos de PAD. Outra grande bandeira vermelha nos testes do iBeta é que eles ainda permitem até 15% de BPCER (taxa de erro de classificação de apresentação bona fide), que chamamos de taxa de rejeição falsa (ou FRR), o que permite que fornecedores inescrupulosos aumentem os limites de segurança apenas para passar no teste , mas posteriormente diminui a segurança em seu produto real quando os clientes experimentam uma usabilidade ruim. Foi verificado em testes do mundo real que pelo menos dois fornecedores que afirmam ter uma taxa de sucesso de ataque de apresentação (PA) de 0% nos testes iBeta, em testes independentes, foram encontrados com mais de 4% de taxa de sucesso de ataque de apresentação (PA)..
Observação: o iBeta NÃO exige verificação da versão de produção nem exige que o fornecedor assine uma declaração declarando que não reduzirá os limites de segurança nas versões de produção de seu software.
Lembre-se de que a Detecção de Liveness robusta também deve cobrir todos os vetores de ataque digital , portanto, não se deixe enganar por um selo de “Conformidade” do iBeta. Embora seja melhor do que nada, não chega nem perto do suficiente. Faça com que seu fornecedor assine uma declaração dizendo que não reduziu os limites de segurança, exija ver seus relatórios de conformidade completos com a taxa de rejeição falsa/BPCER listada, faça-os provar que foram submetidos a testes de penetração para os vetores de ataque de falsificação digital mencionados acima e exija que o fornecedor crie um programa de recompensas falsas antes que eles possam ganhar seu negócio.
Artigos acadêmicos iniciais sobre Liveness e anti-spoofing
Um dos primeiros artigos sobre detecção de vivacidade foi publicado por Stephanie Shuckers, SA, em 2002. " Spoofing and anti-spoofing Measures ", é amplamente considerado como a base do corpo acadêmico de trabalho atual sobre o assunto. O artigo afirma que, “a detecção de vivacidade é baseada no reconhecimento de informações fisiológicas como sinais de vida a partir de informações de vivacidade inerentes à biometria”.
Mais tarde, em 2016, seu seguimento, " Apresentações e ataques e spoofs, oh meu Deus ", continuou a influenciar pesquisas e testes de detecção de ataques de apresentação.
O reconhecimento facial é o mesmo que anti-spoofing e autenticação facial?
Não, não são, e é fundamental para uma compreensão básica destas tecnologias biométricas começar a utilizar a terminologia correta para evitar qualquer confusão adicional sobre como a biometria é diferente e onde é melhor utilizada.
O reconhecimento facial é para vigilância. É a correspondência de 1 para N de imagens capturadas com câmeras que o usuário não controla, como aquelas usadas em um cassino ou aeroporto. E só fornece correspondências “possíveis” para a pessoa vigiada a partir de fotos de rostos armazenadas em um banco de dados existente.
A autenticação facial (correspondência + vivacidade 1:1), por outro lado, utiliza dados iniciados pelo usuário, coletados de um dispositivo controlado pelo usuário, e confirma a identidade legítima do usuário para seu próprio benefício direto, como, por exemplo, acesso seguro à conta.
Estas tecnologias podem partilhar uma semelhança e até sobrepor-se um pouco, mas é contraproducente agrupá-las. Como qualquer tecnologia poderosa, esta é uma faca de dois gumes: a forma como o reconhecimento facial é conduzido e gerido provou ser uma possível ameaça à privacidade, enquanto a autenticação facial - garantindo que apenas o indivíduo legítimo tem acesso - é uma vitória significativa para ela. .
Devemos temer a autenticação facial centralizada?
O medo da autenticação biométrica decorre da crença de que o armazenamento centralizado de dados biométricos cria um “honeypot” que, se violado, compromete a segurança de todas as outras contas que dependem desses mesmos dados biométricos.
Os detratores argumentam: “Você pode redefinir sua senha se for roubada, mas não pode redefinir seu rosto”. Embora isso seja verdade, é uma falta de imaginação e compreensão parar por aí. Devemos perguntar: "O que tornaria segura a autenticação biométrica centralizada?"
A resposta é detecção certificada de vivacidade. Com ele, o honeypot biométrico não deve mais ser temido porque o alto nível de segurança não precisa depender de dados biométricos mantidos em segredo.
Saiba mais sobre como o Certified Liveness Detection torna seguro o armazenamento centralizado de dados neste white paper abrangente da FindBiometrics .
Métodos que nunca terão um programa de recompensasAlguns tipos de detecção de atividade não são seguros o suficiente para que seus fornecedores lancem um programa de recompensas falso, e o fornecedor estaria apenas doando dinheiro porque não tem chance de corrigir suas inúmeras falhas de segurança. Os métodos fracos de detecção de vivacidade incluem: piscar, sorrir, virar/acenar com a cabeça, luzes coloridas piscando, fazer caretas aleatórias, falar números aleatórios e muito mais. Todos são facilmente falsificados. A segurança do usuário e a credibilidade corporativa conquistada com dificuldade são colocadas em risco ao confiar nas afirmações exageradas de fornecedores inescrupulosos. Quando os fornecedores afirmam ter uma “detecção robusta de atividade”, eles devem: Fornecer um programa público de recompensas falsas para provar que sua tecnologia é segura ou removê-la do mercado. Observação: observe a segurança do aplicativo de "reconhecimento facial" não certificado do USAA Bank ser falsificada por uma apresentação de slides de fotos grosseira, desbloqueando facilmente uma das contas bancárias de seus usuários → |
A ameaça dos deepfakesOs chamados “ deepfakes ” já existem há anos, mas agora até o público em geral entende que a mídia digital pode ser facilmente manipulada. A detecção de vivacidade 2D é muito vulnerável a fantoches deepfake derivados de fotos ou vídeos, portanto não deve ser usada para segurança biométrica. Nota : Veja como um fantoche "deepfake" básico é criado em 20 segundos e pode ser usado para falsificar quase todos os fornecedores de liveness 2D no mercado hoje → |
Fantoche Deepfake realista de uma única fotoNão acredite que piscar, acenar ou balançar a cabeça. A vivacidade pode impedir fantoches deepfake sérios. O iBeta NÃO TESTA esses ataques, mas a FaceTec detecta esses ataques por causa dos aprendizados de seu programa Spoof Bounty. Se o Liveness Detection for vulnerável a falsificações profundas derivadas de fotos ou vídeos, ele não poderá ser usado para segurança biométrica. Observação : observe como um fantoche "deepfake" de nível profissional é criado a partir de uma única foto que pode falsificar muitos fornecedores de animação → |
Antifalsificação para integração, KYC e inscrição
Exigir que cada novo usuário prove sua vida antes mesmo de ser solicitado a apresentar um documento de identificação durante a integração digital é, por si só, um grande impedimento para os fraudadores que nunca querem seu rosto real diante das câmeras.
Se um sistema de integração tiver um ponto fraco, os bandidos irão explorá-lo para criar o maior número possível de contas falsas. Para evitar isso, deve ser necessária a detecção certificada de atividade durante a integração de uma nova conta. Então sabemos que a nova conta pertence a um ser humano real e que os seus dados biométricos podem ser armazenados como uma referência confiável da sua identidade digital no futuro.
Antifalsificação para autenticação contínua (substituição de senha)
Como a maioria dos ataques biométricos são tentativas de falsificação, a Detecção Certificada de Liveness durante a autenticação do usuário deve ser obrigatória. Com várias fotos de alta qualidade de quase todas as pessoas disponíveis no Google ou no Facebook, um autenticador biométrico não pode confiar no sigilo para segurança.
A detecção de atividade é a primeira e mais importante linha de defesa contra ataques direcionados de falsificação em sistemas de autenticação. O segundo é um FAR muito alto (ver Glossário abaixo) para correspondência biométrica precisa.
Com o Certified Liveness Detection você não pode nem fazer uma cópia dos seus dados biométricos que enganariam o sistema, mesmo que você quisesse. O Liveness captura as cópias detectando perda de geração, e somente o usuário genuíno e fisicamente presente pode obter acesso.
ISO/IEC 30107-3 - Padrão de detecção de ataque de apresentação, por volta de 2017
https://www.iso.org/standard/67381.html é a orientação de teste da Organização Internacional de Padronização (ISO) para avaliação da tecnologia Anti-Spoofing, também conhecida como Detecção de Ataque de Apresentação (PAD). Até o momento foram publicadas três edições do documento, estando uma quarta edição em andamento.
Lançada em 2017, a ISO 30107-3 serviu como orientação oficial sobre como determinar se o sujeito de uma varredura biométrica está vivo, mas permite que as verificações PAD sejam combinadas com a correspondência, o que complica os testes. Em 2020, com a introdução de fantoches deepfake e outros vetores de ataque não concebidos no momento da publicação, a ISO 30107-3 é agora considerada por muitos especialistas como desatualizada e incompleta.
Devido aos ataques de "escalada de colinas" (ver Glossário no final da página), os sistemas biométricos nunca devem revelar qual parte do sistema "captou" ou não uma falsificação. E embora a ISO 30107-3 acerte bastante, infelizmente ela incentiva o teste de Liveness e Matching ao mesmo tempo. O método científico exige que o menor número possível de variáveis seja testado de uma só vez, portanto, o teste de atividade deve ser feito apenas com uma resposta booleana (verdadeiro/falso). O teste de atividade não deve permitir que os sistemas tenham camadas de decisão múltipla que poderiam permitir que um artefato passasse na atividade, mas falhasse na correspondência porque não "se parecia" o suficiente com o sujeito inscrito.
As verificações antifalsificação devem ser exigidas por lei?
Acreditamos que deve ser aprovada legislação para tornar a Detecção de Liveness obrigatória se a biometria for usada para Gerenciamento de Identidade e Acesso (IAM). Nossos dados pessoais já foram violados, portanto não podemos mais confiar na Autenticação Baseada em Conhecimento (KBA). Devemos mudar nosso foco da manutenção de bancos de dados cheios de “segredos” para a proteção de superfícies de ataque. As leis atuais já exigem que os alimentos orgânicos sejam certificados e todos os medicamentos devem ser testados e aprovados. Por sua vez, os governos de todo o mundo devem exigir que a Detecção de Vida Certificada seja usada para proteger a segurança digital e a segurança biométrica dos seus cidadãos.
Recursos e artigos
Revista de Segurança da Informação - Artigo de Dorothy E. Denning ( wiki ) de 2001, “ É "vivacidade", não segredo, que conta "
Gartner, “A detecção de ataques de apresentação (PAD, também conhecido como “teste de vivacidade”) é um critério de seleção chave. ISO/IEC 30107 “Tecnologia da Informação – Detecção de Ataque de Apresentação Biométrica” foi publicada em 2017.
( Guia de mercado do Gartner para autenticação de usuário , analistas: Ant Allan, David Mahdi, publicado em: 26 de novembro de 2018). O ZoOm da FaceTec foi citado no relatório. Para acesso de assinante: https://www.gartner.com/doc/3894073?ref=mrktg-srch .
Forrester, "O estado do reconhecimento facial para autenticação - agiliza processos críticos de identidade para consumidores e funcionários", por Andras Cser, Alexander Spiliotes, Merritt Maxim, com Stephanie Balaouras, Madeline Cyr, Peggy Dostie. Para acesso de assinante: https://www.forrester.com/report/The+State+Of+Facial+Recognition+For+Authentication+And+Verification/-/E-RES141491#
Ghiani, L., Yambay, DA, Mura, V., Marcialis, GL, Roli, F. e Schuckers, SA, 2017. Revisão da série de competições Fingerprint Liveness Detection (LivDet): 2009 a 2015. Image and Vision Computing , 58 , pp.110-128:
https://www.clarkson.edu/sites/default/files/2017-11/Fingerprint%20Liveness%20Detection%2009-15.pdf
Schuckers, S., 2016. Apresentações e ataques e paródias, meu Deus. Computação de Imagem e Visão , 55 , pp.26-30:
https://www.clarkson.edu/sites/default/files/2017-11/Presentations%20and%20Attacks.pdf
Schuckers, SA, 2002. Medidas de falsificação e anti-falsificação. Relatório técnico de Segurança da Informação , 7 (4), pp.56-62:
https://www.clarkson.edu/sites/default/files/2017-11/Spoofing%20and%20Anti-Spoofing%20Measures.pdf
Resposta oficial da FaceTec ao NIST 800-63 RFI
https://facetec.com/NIST_800-63_RFI_FaceTec_Reply.pdf
Discussão da FaceTec com a ENISA sobre as Diretrizes IDV 2021
https://facetec.com/ENISA_RFI_Remote_ID_Attacks_FaceTec_Countermeasures.pdf
Glossário - Termos da indústria e testes de biometria:
1:1 (1 para 1) – Comparação dos dados biométricos de um usuário em questão com os dados biométricos armazenados do usuário esperado. Se os dados biométricos não corresponderem acima do nível FAR escolhido, o resultado será uma falha na correspondência.
1:N (1 para N) – Comparando os dados biométricos de um indivíduo com os dados biométricos de uma lista de indivíduos conhecidos, são retornados os rostos das pessoas na lista que parecem semelhantes. Isto é usado para vigilância de reconhecimento facial, mas também pode ser usado para sinalizar inscrições duplicadas.
Artefato (Artefato) – Um objeto inanimado que busca reproduzir traços biométricos humanos.
Autenticação – A detecção simultânea de vivacidade, detecção de profundidade 3D e verificação de dados biométricos (ou seja, compartilhamento de rosto) do usuário.
Mau Ator – Um criminoso; uma pessoa com intenções de cometer fraude enganando outras pessoas.
Biométrico – A medição e comparação de dados que representam as características físicas únicas de um indivíduo com o propósito de identificar esse indivíduo com base nessas características únicas.
Certificação – O teste de um sistema para verificar sua capacidade de atender ou exceder um padrão de desempenho especificado. O iBeta costumava emitir certificações, mas agora só pode emitir conformidades.
Fraude de usuário cúmplice – Quando um usuário finge ter cometido fraude contra ele, mas está envolvido em um esquema de fraude, roubando um ativo e tentando substituí-lo por uma instituição.
Usuário/Testador Cooperativo – Quando os Sujeitos humanos utilizados nos testes fornecem todo e qualquer dado biométrico solicitado. Isso ajuda a avaliar o risco de fraude e phishing do usuário cúmplice, mas só se aplica se o teste incluir correspondência (não recomendado).
Biometria Centralizada – Os dados biométricos são coletados em qualquer dispositivo compatível, criptografados e enviados a um servidor para registro e posterior autenticação para esse dispositivo ou qualquer outro dispositivo compatível. Quando os dados biométricos originais do Usuário são armazenados em um servidor seguro de terceiros, esses dados podem continuar a ser usados como fonte de confiança e sua identidade pode ser estabelecida e verificada a qualquer momento. Qualquer dispositivo compatível pode ser usado para coletar e enviar dados biométricos ao servidor para comparação, permitindo que os usuários acessem suas contas a partir de todos os seus dispositivos, novos dispositivos, etc., assim como acontece com as senhas. O Liveness é o componente mais crítico de um sistema biométrico centralizado e, como o Liveness certificado não existia até recentemente, a biometria centralizada ainda não foi amplamente implantada.
Compartilhamento de credenciais – Quando dois ou mais indivíduos não mantêm suas credenciais em segredo e podem acessar as contas uns dos outros. Isso pode ser feito para subverter taxas de licenciamento ou para induzir um empregador a pagar pelo tempo não trabalhado (também chamado de "soco de amigo").
Credential Stuffing – Um ataque cibernético em que credenciais de contas roubadas, geralmente compostas por listas de nomes de usuários e/ou endereços de e-mail e as senhas correspondentes, são usadas para obter acesso não autorizado a contas de usuários.
Biometria Descentralizada – Quando os dados biométricos são capturados e armazenados em um único dispositivo e os dados nunca saem desse dispositivo. Leitores de impressão digital em smartphones e Face ID da Apple são exemplos de biometria descentralizada. Eles desbloqueiam apenas um dispositivo específico, exigem o novo registro em qualquer novo dispositivo e, além disso, não comprovam a identidade do Usuário de forma alguma. Os sistemas biométricos descentralizados podem ser facilmente derrotados se um malfeitor souber o número PIN de substituição do dispositivo, permitindo-lhes substituir os dados biométricos do usuário pelos seus próprios.
Deepfake – Um deepfake (uma mala de viagem de "aprendizado profundo" e "falso") é uma tecnologia baseada em IA que pode produzir ou alterar conteúdo de vídeo digital para que apresente algo que de fato não ocorreu.
Usuário Final – Um indivíduo humano que está usando um aplicativo.
Cadastro – Quando os dados biométricos são coletados pela primeira vez, criptografados e enviados ao servidor. Nota: A atividade deve ser verificada e uma verificação 1:N deve ser realizada em todas as outras inscrições para verificar se há duplicatas.
Autenticação facial – A autenticação tem três partes: detecção de vivacidade, detecção de profundidade 3D e verificação de identidade. Tudo deve ser feito simultaneamente nas mesmas molduras faciais.
Face Matching – Imagens/dados biométricos recém-capturados de uma pessoa são comparados com os dados biométricos registrados (previamente salvos) do usuário esperado, determinando se eles são iguais.
Reconhecimento facial – Imagens/dados biométricos de uma pessoa são comparados com uma grande lista de indivíduos conhecidos para determinar se são a mesma pessoa.
Verificação facial – Correspondência dos dados biométricos do Usuário em questão com os dados biométricos do Usuário esperado.
FAR (taxa de aceitação falsa) – A probabilidade de o sistema aceitar os dados biométricos de um impostor como os dados corretos do usuário e fornecer acesso incorretamente ao impostor.
FIDO – Significa Fast IDentity Online: Uma organização de padrões que fornece orientação para organizações que optam por usar Sistemas Biométricos Descentralizados (https://fidoalliance.org).
FRR/FNMR/FMR – A probabilidade de um sistema rejeitar o usuário correto quando os dados biométricos desse usuário forem apresentados ao sensor. Se o FRR for alto, os usuários ficarão frustrados com o sistema porque serão impedidos de acessar suas próprias contas.
Ataque de escalada – quando um invasor usa informações retornadas pelo autenticador biométrico (nível de correspondência ou pontuação de atividade) para aprender como organizar seus ataques e obter uma maior probabilidade de falsificar o sistema.
iBeta – Um laboratório de testes certificado pelo NIST em Denver, Colorado; o único laboratório atualmente certificando sistemas biométricos para anti-spoofing/detecção de vivacidade de acordo com o padrão ISO 30107-3 (ibeta.com).
Gerenciamento de identidade e acesso (IAM) – Uma estrutura de políticas e tecnologias para garantir que apenas usuários autorizados tenham acesso apropriado a recursos tecnológicos, serviços, locais físicos e contas restritos. Também chamado de gerenciamento de identidade (IdM).
Impostor – Uma pessoa viva com características tão semelhantes às do Usuário Sujeito que o sistema determina que os dados biométricos são da mesma pessoa.
ISO 30107-3 – Orientação de teste da Organização Internacional de Padronização para avaliação da tecnologia Anti-Spoofing (www.iso.org/standard/67381.html).
Autenticação Baseada em Conhecimento (KBA) – Método de autenticação que busca comprovar a identidade de alguém que acessa um serviço digital. A KBA exige o conhecimento das informações privadas de um usuário para provar que a pessoa que solicita acesso é a proprietária da identidade digital. O KBA estático é baseado em um conjunto pré-acordado de segredos compartilhados. O KBA dinâmico é baseado em perguntas geradas a partir de informações pessoais adicionais.
Detecção de vivacidade ou verificação de vivacidade – A capacidade de um sistema biométrico determinar se os dados foram coletados de um ser humano vivo ou de um artefato inanimado e não vivo.
NIST – Instituto Nacional de Padrões e Tecnologia – A agência governamental dos EUA que fornece ciência, padrões e tecnologia de medição para promover vantagens econômicas nos negócios e no governo (nist.gov).
Phishing – Quando um usuário é induzido a fornecer a um malfeitor suas senhas, PII, credenciais ou dados biométricos. Exemplo: um usuário recebe uma ligação de um falso agente de atendimento ao cliente e solicita a senha do usuário para um site específico.
PII – Informações de identificação pessoal são informações que podem ser usadas isoladamente ou com outras informações para identificar, contatar ou localizar uma única pessoa, ou para identificar um indivíduo no contexto. Saber mais
Presentation Attack Detection (PAD) – Uma estrutura para detectar eventos de ataque de apresentação. Relacionado à detecção de vivacidade e anti-spoofing.
Provedor de Identidade Raiz – Uma organização que armazena dados biométricos anexados às informações pessoais correspondentes de indivíduos e permite que outras organizações verifiquem as identidades dos Usuários Sujeitos, fornecendo dados biométricos ao Provedor de Identidade Raiz para comparação.
Spoof – Quando um objeto inanimado que exibe algumas características biométricas é apresentado a uma câmera ou sensor biométrico. Fotos, máscaras ou bonecos são exemplos de artefatos utilizados em paródias.
Usuário Sujeito – O indivíduo que está apresentando seus dados biométricos ao sensor biométrico naquele momento.
Identidade Sintética - Quando um malfeitor usa uma combinação de dados biométricos, nome, número de segurança social, endereço, etc. para criar um novo registro para uma pessoa que na verdade não existe, com o propósito de abrir e usar uma conta naquele nome.
Editores e Colaboradores
Kevin Alan Tussy | John Wojewidka | Josh Rose |
Comentários
Postar um comentário