بسیاری از سازمانها و کسب و کارها پیش از ارائه خدمات به مردم باید هویت کاربران را تایید کنند. با ظهور تکنولوژی تشخیص چهره در سالهای اخیر، روش های احراز هویت از شیوه سنتی به آنلاین تغییر کرده است. در سیستم های احراز هویت آنلاین، نرم افزار با دریافت یک عکس سلفی از کاربر، فرآیند احراز هویت را با مقایسه عکس سلفی با تصویر موجود بر روی کارت شناسایی او به صورت خودکار انجام میدهد.
یکی از چالشهایی که شرکتهای ارائه دهنده خدمات احراز هویت دیجیتال با آن مواجه هستند، خطر حملات جعل هویت به روشهای گوناگون است. یک راهکار بسیار کارآمد برای رفع این مشکل، استفاده از الگوریتم های تشخیص زنده یا Liveness Detection در نرم افزار احراز هویت آنلاین است. در این مقاله قصد داریم به معرفی تکنولوژی تشخیص زنده بودن چهره بپردازیم و روشهایی که برای دور زدن این الگوریتمها ممکن است مورد استفاده قرار گیرند را تحلیل کنیم.
تکنولوژی تشخیص زنده بودن چهره چیست؟
تکنولوژی تشخیص زنده بودن یا Liveness Detection عبارت است از توانایی کامپیوترها در تعیین اینکه آیا با یک انسان واقعی مواجه هستند یا خیر. درواقع میتوان به طرق مختلف رفتارهای انسان را شبیهسازی کرد و با استفاده از آنها کامپیوترها را فریب داد. اما به کمک تکنولوژی تشخیص زنده بودن چهره میتوان این رفتارهای جعلی را تشخیص داد و از ورود کاربران جعلی جلوگیری کرد.
سامانه احراز هویت آنلاین آتنا با استفاده از الگوریتمهای هوش مصنوعی قدرتمند و پیچیده خود قادر است تشخیص دهد که اطلاعات ثبت شده از یک انسان زنده و حاضر تهیه شده است، یا از روی عکس یا فیلم.
تاریخچه فناری تشخیص زنده بودن چهره
در سال 1950، آلن تورینگ "تست تورینگ" را توسعه داد. این تست قادر بود توانایی کامپیوترها را برای نشان دادن رفتاری شبیه به انسان بسنجد. اما در تشخیص زنده بودن چهره چیزی فراتر از توانایی شناسایی رفتارهای مشابه انسان نیاز است. Liveness Detection یک الگوریتم مبتنی بر هوش مصنوعی است که تعیین میکند آیا کامپیوتر با یک انسان زنده در تعامل است یا خیر.
اصطلاح Liveness اولین بار توسط خانم دوروتی ای. دنینگ در سال 2001 در یک مقاله در مجله امنیت اطلاعات مطرح شد. او در این مقاله بیان کرد که یک سیستم بایومتریک کارآمد نباید متکی بر به خاطر سپردن یا حفظ کردن اطلاعاتی مانند نام کاربری و رمز عبور باشد. درواقع چنین سیستمی باید به گونهای طراحی شود که فرد بدون کمترین تلاشی بتواند به اکانتهای شخصی خود دسترسی پیدا کند. اما لازمه دستیابی به چنین سیستمی، یک فرآیند احراز هویت قدرتمند است که از طریق آن بتوان زنده بودن فرد را تشخیص داد.
تشخیص زنده بودن چگونه میتواند از ما محافظت کند؟
شما در موبایل یا کامپیوتر شخصی خودتان عکس افراد مختلفی را دارید. همچنین میتوانید با یک جستجوی ساده در اینترنت عکس هر شخصی را پیدا کنید. سوالی که در اینجا مطرح میشود این است که آیا با داشتن یک کپی از تصویر این افراد، میتوان به اکانتهای شخصی این افراد دسترسی پیدا کرد؟
جواب این سوال در صورتی که حسابهای شخصی این افراد با استفاده از الگوریتمهای تشخیص زنده بودن سه بعدی احراز هویت شده باشند، خیر است. هیچ عکس یا کپی از گواهینامه و پاسپورت این فرد نمیتواند کمکی به دسترسی به حسابهای شخصی او کند. زیرا الگوریتمهای تشخیص زنده بودن بهگونهای طراحی شدهاند که تنها در صورتی به فرد اجازه دسترسی میدهند که آن فرد واقعا به صورت فیزیکی پشت سیستم حضور داشته باشد.
فناوری 3D Liveness Detection از دسترسی افرادی که قصد دارند با استفاده از تصاویر افراد دیگر، ویدیوهای تقلبی، ماسکهای شبیهسازی شده و سایر حقهها به حساب کاربران دسترسی پیدا کنند، جلوگیری میکند. الگوریتمهای تشخیص زنده بودن، تضمین میکنند که فقط انسانهای واقعی میتوانند حساب باز کنند و به آن دسترسی داشته باشند. به عنوان مثال شرکت فیس بوک در سال 2019 مجبور شد 5.4 میلیارد حساب جعلی را حذف کند. اگر فیس بوک در ابتدا از فناوری تشخیص زنده بودن برای احراز هویت کاربرانش استفاده میکرد، میتوانست از ایجاد این حسابهای جعلی جلوگیری کند.
انواع روشها برای جعل یا دور زدن سیستم های احراز هویت
سیستم های احراز هویت به دو صورت ممکن است مورد حمله قرار گیرند. این دو روش عبارتند از:
- Spoof
- bypass
اگر که یک شی غیر زنده که ویژگیهای انسانی از خود نشان میدهد برای احراز هویت مورد استفاده قرار گیرد، spoof اتفاق افتاده است. عکسها، فیلمهای روی صفحهنمایش، ماسکها و عروسکها همگی نمونههای رایج spoof به شمار میروند. نوع دیگری از تقلب زمانی اتفاق میافتد که دادههای بیومتریک پس از عکسبرداری دستکاری شوند. به این شیوه از تقلب در احراز هویت bypass گفته میشود.
برخی از روشهای تشخیص زنده بودن، هرگز ایمنی کافی ندارند، زیرا دادههای منحصربهفرد کافی برای تایید جعلی نبودن اطلاعات دریافت نمیکنند.
به عنوان مثال، اگر یک مانیتور 4k ویدیویی را به دستگاهی با دوربین 2 بعدی و با رزولوشن پایین نشان دهد، اگر هیچ خیرگی یا انحرافی مشاهده نشود، تشخیص اینکه آیا مانیتور 4k جعلی را نشان میدهد یا خیر، تقریبا غیرممکن است. در این شرایط، دوربین وضوح کمتری نسبت به صفحه نمایش دارد و درنتیجه الگوریتمهای ضعیف زنده بودن فریب خواهند خورد.
مهمترین روشهایی رایج تشخیص liveness که با استفاده از مانیتورهای با کیفیت بالا قابل دور زدن هستند عبارتند از:
- پلک زدن
- لبخند زدن
- چرخاندن سر
- پلک زدن
- ایجاد چهرههای تصادفی
- بیان اعداد تصادفی
جعل همه این روشها با مانیتورهای با وضوح بالاتر از دوربینهای مجازی بسیار آسان است. در این وضعیت امنیت کاربر و اعتبار شرکتی که به سختی به دست آمده است به دلیل ادعاهای امنیتی اغراق آمیز Liveness فروشندگان در معرض خطر قرار می گیرد.