新的登录验证方法可以提高依赖于用户脸部的视频或图像的当前生物识别技术的安全性。这种技术被称为Real-Time Captcha,它使用了一种对人类来说很容易的独特“挑战” - 但对于可能使用机器学习和图像生成软件欺骗合法用户的攻击者来说却很难。
Real-Time Captcha要求用户在回答设备屏幕上Captcha中随机选择的问题时,查看他们手机的内置摄像头。必须在有限的时间内给出响应,这对于人工智能或机器学习程序来说太短了。Captcha将补充基于图像和音频的身份验证技术,这些技术可能被攻击者欺骗,攻击者可能能够查找和修改用户的图像,视频和音频,或者从移动设备窃取它们。
该技术将于2月19日在加利福尼亚州圣地亚哥的网络和分布式系统安全(NDSS)研讨会2018年进行描述。该研究由海军研究办公室(ONR)和国防高级研究计划局(DARPA)提供支持。佐治亚理工学院的网络安全专家。
佐治亚理工学院计算机科学学院研究生助理Erkam Uzun表示:“攻击者现在知道要求他们微笑或眨眼的身份验证,这样他们就可以相对轻松地实时制作闪烁模型或笑脸。”这篇论文的第一作者。“我们通过向用户发送不可预测的请求并限制响应时间来排除机器交互,从而使挑战更加艰难。”
作为消除传统登录密码的努力的一部分,移动设备和在线服务正在转向利用人脸,视网膜或其他生物属性来验证谁正在尝试登录的生物识别技术.iPhone X旨在解锁例如,用户的脸部,而其他系统利用用户的短视频片段点头,闪烁或微笑。
佐治亚理工学院计算机科学学院教授,乔治亚理工学院联合主任Wenke Lee表示,在网络安全的猫捉老鼠游戏中,这些生物识别技术可能被欺骗或被盗,这将迫使公司找到更好的方法。信息安全和隐私研究所。
“如果攻击者知道认证是基于识别面部的,他们可以使用算法来合成虚假图像来冒充真实用户,”Lee说。“但是通过在Captcha图像中展示随机选择的挑战,我们可以防止攻击者知道会发生什么。我们系统的安全性来自对人类来说很容易对机器来说很难的挑战。”
在对30名受试者进行的测试中,人类能够在一秒或更短的时间内应对挑战。最好的机器需要6到10秒钟来解码Captcha中的问题并用假的视频和音频进行响应。“这使我们能够快速确定响应是来自机器还是人,”Uzun说。
新方法需要登录请求才能通过四项测试:成功识别Captcha中的挑战问题,在只有人类可以遇到的狭窄时间窗口内的响应,以及成功匹配合法用户的预先录制的图像和语音。
Captcha技术 - 最初是“完全自动公共图灵测试以告诉计算机和人类”的首字母缩写 - 被广泛用于防止机器人访问网站上的表格。它的工作原理是利用人类识别图像模式的卓越能力。实时验证码方法将超出网站上的要求,方法是提示生成实时视频和音频的响应,然后将其与用户存储的安全配置文件进行匹配。
Captcha挑战可能涉及识别乱码或解决简单的数学问题。这个想法是允许人们在机器甚至能够识别问题之前做出反应。
“使静止图像微笑或闪烁只需几秒钟,但是破坏我们的Captcha更改需要十秒或更长时间,”Uzun说。
在尝试改进身份验证时,研究人员研究了图像欺骗软件,并决定尝试一种新的方法,希望在与攻击者的战斗中开辟新的前沿。该方法将攻击者的任务从产生令人信服的视频转移到破坏Captcha。
佐治亚理工学院计算机科学学院的研究科学家Simon Pak Ho Chung说:“我们看看了解攻击者可能会做什么的问题。” “提高图像质量是一种可能的反应,但我们想要创造一个全新的游戏。”
Chung说,实时的Captcha方法不应该显着改变带宽要求,因为发送到移动设备的Captcha图像很小,认证方案已经在传输视频和音频。
未来的挑战之一是克服在嘈杂环境中识别语音的困难并确保设备相机和验证服务器之间的连接。
“对于我们开发的任何安全机制,我们首先需要担心机制的安全性,”Lee说。“一旦开发出安全技术,它就会成为攻击者的目标,而这肯定适用于生物识别技术。”