یک روش جدید تأیید هویت ورود به سیستم می تواند امنیت روشهای فعلی بیومتریک را که به ویدیو یا تصاویر چهره کاربران متکی است ، بهبود بخشد. شناخته شده به عنوان Real-Time Captcha ، این تکنیک از یک "چالش" منحصر به فرد که برای انسان ها آسان است استفاده می کند ، اما برای مهاجمین که ممکن است با استفاده از نرم افزار یادگیری ماشین و تولید تصویر برای جعل کاربران مشروع کار دشواری داشته باشند.

Captcha Real-Time به کاربران پاسخ می دهد در حالی که به یک سؤال انتخاب شده تصادفی که در یک Captcha در صفحه نمایش دستگاه ها ظاهر شده است ، به دوربین داخلی داخلی تلفن همراه خود نگاه کنند. پاسخ باید در مدت زمان محدودی داده شود که برای پاسخ به هوش مصنوعی یا برنامه های یادگیری ماشین خیلی کوتاه است. Captcha تکنیک های تأیید هویت مبتنی بر تصویر و صوتی را که می تواند توسط مهاجمی که ممکن است بتوانند تصاویر ، ویدئو و صوت کاربران را پیدا کنند و تغییر دهند یا از دستگاه های تلفن همراه دزدی کند ، تکمیل می کند ، تکمیل کند.

این تکنیک در تاریخ 19 فوریه در سمپوزیوم شبکه و توزیع امنیت سیستم ها (NDSS) 2018 در سن دیگو ، کالیفرنیا تشریح خواهد شد.با پشتیبانی دفتر تحقیقات نیروی دریایی (ONR) و آژانس طرح های تحقیقاتی پیشرفته دفاعی (DARPA) ، این تحقیق انجام شد توسط متخصصان امنیت سایبری در موسسه فناوری جورجیا.

Erkam Uzun ، دستیار تحقیقات فارغ التحصیل دانشکده علوم کامپیوتر جورجیا تکنیک گفت: "مهاجمان اکنون می دانند که با احراز هویت چه چیزی را باید انتظار داشته باشند که از آنها بخواهد لبخند بزنند یا چشمک بزنند ، بنابراین می توانند یک مدل چشمک زن یا صورت خندان را در زمان واقعی نسبتاً آسان تولید کنند." و نویسنده اول مقاله "ما با ارسال درخواست های غیرقابل پیش بینی کاربران و محدود کردن زمان پاسخگویی برای رد کردن تعامل دستگاه ، این چالش را سخت تر می کنیم."

به عنوان بخشی از تلاش ها برای از بین بردن رمزهای عبور سنتی برای ورود به سیستم ، دستگاه های تلفن همراه و خدمات آنلاین به سمت تکنیک های بیومتریک حرکت می کنند که از چهره انسان ، شبکیه یا سایر ویژگیهای بیولوژیکی استفاده می کنند تا تأیید کنند که چه کسی سعی در ورود به سیستم دارد. iPhone X به منظور باز کردن قفل با به عنوان مثال ، چهره کاربر ، در حالی که سایر سیستم ها از بخش های ویدیویی کوتاه استفاده می کنند که گره می زند ، چشمک می زند یا لبخند می زند.

ونکه لی ، استاد دانشکده علوم کامپیوتر جورجیا تکنیک و مدیر گروه جورجیا تکنیک گفت: در بازی گربه و ماوس از امنیت سایبر ، این بیومتریک ها می توانند از بین بروند و یا به سرقت بروند و این امر شرکت ها را وادار می کند تا رویکردهای بهتری پیدا کنند. انستیتوی امنیت اطلاعات و حریم خصوصی.

لی گفت: "اگر مهاجمی بداند كه احراز هویت مبتنی بر تشخیص یك چهره است ، می توانند از یك الگوریتم برای تلفیق یك تصویر جعلی برای جعل هویت کاربر واقعی استفاده كنند." "اما با ارائه یک چالش انتخاب شده به صورت تصادفی تعبیه شده در تصویر Captcha ، می توان مانع از آن شد که مهاجم از آنچه انتظار دارد انتظار داشته باشد.

در آزمایشاتی که با 30 آزمودنی انجام شد ، انسانها در یک ثانیه یا کمتر توانستند به چالش ها پاسخ دهند. برای رمزگشایی این سوال از Captcha به بهترین ماشین ها بین شش تا ده ثانیه زمان نیاز است و با یک فیلم و صوتی جعلی پاسخ می دهید. اوزون گفت: "این به ما اجازه می دهد تا به سرعت تعیین کنیم که آیا پاسخ از دستگاه یا یک انسان است یا خیر."

رویکرد جدید نیاز به درخواست ورود به سیستم برای گذراندن چهار تست دارد: شناخت موفقیت آمیز یک سوال چالش از درون یک Captcha ، پاسخ در یک پنجره زمانی باریک که فقط انسان ها می توانند آن را ملاقات کنند ، و مطابقت های موفق با تصویر و صدا از پیش ضبط شده از کاربر قانونی.

پنجره زمان حمله به سیستم Real-Time Captcha. اعتبار: جورجیا فناوری
لی گفت: "استفاده از تشخیص چهره به تنهایی برای تأیید هویت احتمالاً به اندازه کافی قوی نیست." "ما می خواهیم آن را با Captcha ، یک فناوری اثبات شده ترکیب کنیم. اگر این دو را ترکیب کنید ، این فناوری تشخیص چهره را بسیار قوی تر می کند."

فناوری Captcha - در ابتدا مخفف "آزمایش کاملاً خودکار تورینگ عمومی برای گفتن رایانه ها و انسانها از هم" - به طور گسترده برای جلوگیری از دسترسی رباتها به وب سایتها استفاده می شود. این با بهره گیری از توانایی برتر یک انسان در تشخیص الگوهای موجود در تصاویر کار می کند. رویکرد Captcha در زمان واقعی فراتر از آنچه که در وب سایت ها قرار دارد با ایجاد پاسخی که باعث ایجاد فیلم و صوتی زنده می شود و سپس با مشخصات امنیتی ذخیره شده کاربر مطابقت دارد ، فراتر خواهد رفت.

چالش های Captcha ممکن است مستلزم شناخت حروف خرد شده یا حل مشکلات ریاضی ساده باشد. ایده این است که اجازه دهیم انسانها قبل از اینکه ماشینها حتی بتوانند این سؤال را پاسخ دهند ، پاسخ دهند.

اوزون گفت: "ایجاد یک لبخند یا چشمک زدن به تصویر ثابت چند دقیقه طول می کشد تا یک ماشین ، اما شکستن تغییرات Captcha ما ده ثانیه یا بیشتر طول می کشد."

محققان در تلاش برای بهبود احراز هویت ، نرم افزارهای جعل تصویر را مورد مطالعه قرار دادند و تصمیم گرفتند با آرزوی باز کردن جبهه جدید در نبرد با مهاجمان ، رویکرد جدیدی را امتحان کنند. این روش وظیفه مهاجم را از تولید ویدیوی قانع کننده به شکستن یک Captcha سوق می دهد.

سیمون پاک هو چونگ ، دانشمند محقق دانشکده علوم کامپیوتر جورجیا تکنیک گفت: "ما به این مسئله نگاه کردیم که می دانیم مهاجمان چه کاری انجام می دهند." "بهبود کیفیت تصویر یک پاسخ ممکن است ، اما ما می خواهیم یک بازی کاملاً جدید ایجاد کنیم."

چونگ گفت ، رویکرد Captcha در زمان واقعی نباید به طور قابل توجهی نیازهای پهنای باند را تغییر دهد ، زیرا تصویر Captcha ارسال شده به دستگاه های تلفن همراه کوچک است و طرح های تأیید صحت در حال انتقال ویدئو و صوتی بودند.

از جمله چالش های پیش رو ، غلبه بر دشواری در تشخیص گفتار در یک محیط پر سر و صدا و برقراری ارتباط بین دوربین دستگاه و سرور تأیید اعتبار است.

لی گفت: "برای هر مکانیسم امنیتی که توسعه می دهیم ، ابتدا باید از امنیت مکانیسم نگران باشیم." "هنگامی که شما توسعه فن آوری امنیتی ، آن را به یک هدف برای مهاجمین تبدیل می شود ، و مطمئناً این موضوع مربوط به فناوری بیومتریک است.