Een nieuwe benadering voor login-authenticatie zou de beveiliging kunnen verbeteren van de huidige biometrische technieken die afhankelijk zijn van video of afbeeldingen van gezichten van gebruikers. Bekend als Realtime Captcha, de techniek maakt gebruik van een unieke "uitdaging" die gemakkelijk is voor mensen, maar moeilijk voor aanvallers die mogelijk machine learning en software voor het genereren van afbeeldingen gebruiken om legitieme gebruikers te vervalsen.

De Real-Time Captcha vereist dat gebruikers in de ingebouwde camera van hun mobiele telefoon kijken terwijl ze een willekeurig geselecteerde vraag beantwoorden die in een Captcha op de schermen van de apparaten verschijnt. Het antwoord moet worden gegeven binnen een beperkte tijd die te kort is voor kunstmatige intelligentie of machine learning-programma's om te reageren. De Captcha zou een aanvulling zijn op beeld- en audiogebaseerde authenticatietechnieken die kunnen worden vervalst door aanvallers die mogelijk afbeeldingen kunnen vinden en wijzigen, video en audio van gebruikers, of stel ze van mobiele apparaten.

De techniek zal op 19 februari worden beschreven tijdens het Network and Distributed Systems Security (NDSS) Symposium 2018 in San Diego, Calif. Ondersteund door het Office of Naval Research (ONR) en het Defense Advanced Research Projects Agency (DARPA), het onderzoek is uitgevoerd door cyberbeveiligingsspecialisten van het Georgia Institute of Technology.

"De aanvallers weten nu wat ze kunnen verwachten met authenticatie die hen vraagt ​​te glimlachen of te knipperen. zodat ze relatief gemakkelijk in realtime een knipperend model of lachend gezicht kunnen produceren, " zei Erkam Uzun, een afgestudeerde onderzoeksassistent aan de Georgia Tech's School of Computer Science en de eerste auteur van het artikel. "We maken de uitdaging moeilijker door gebruikers onvoorspelbare verzoeken te sturen en de reactietijd te beperken om machine-interactie uit te sluiten."

Als onderdeel van de inspanningen om traditionele wachtwoorden voor aanmeldingen te elimineren, mobiele apparaten en online diensten gaan over op biometrische technieken die gebruik maken van een menselijk gezicht, netvlies of ander biologisch attribuut om te verifiëren wie probeert in te loggen. De iPhone X is ontworpen om te ontgrendelen met het gezicht van de gebruiker, bijvoorbeeld, terwijl andere systemen gebruik maken van korte videosegmenten van een knikkende gebruiker, knipperen of glimlachen.

In het kat-en-muisspel van cyberbeveiliging, die biometrische gegevens kunnen worden vervalst of gestolen, die bedrijven zullen dwingen om betere benaderingen te vinden, zei Wenke Lee, een professor aan de Georgia Tech's School of Computer Science en mededirecteur van het Georgia Tech Institute for Information Security and Privacy.

"Als de aanvaller weet dat authenticatie gebaseerd is op het herkennen van een gezicht, ze kunnen een algoritme gebruiken om een ​​nep-afbeelding te synthetiseren om de echte gebruiker na te bootsen, "Zei Lee. "Maar door een willekeurig geselecteerde uitdaging te presenteren die is ingebed in een Captcha-afbeelding, we kunnen voorkomen dat de aanvaller weet wat hij kan verwachten. De veiligheid van ons systeem komt voort uit een uitdaging die gemakkelijk is voor een mens, maar moeilijk voor een machine."

Bij testen gedaan met 30 proefpersonen, de mensen waren in staat om binnen een seconde of minder op de uitdagingen te reageren. De beste machines hadden tussen de zes en tien seconden nodig om de vraag van de Captcha te decoderen en te reageren met een vervalste video en audio. "Hierdoor kunnen we snel bepalen of de reactie van een machine of van een mens komt, ' zei Uzun.

De nieuwe aanpak vereist inlogverzoeken om vier tests te doorstaan:succesvolle herkenning van een uitdagingsvraag vanuit een Captcha, reactie binnen een smal tijdvenster dat alleen mensen kunnen ontmoeten, en succesvolle overeenkomsten met zowel het vooraf opgenomen beeld als de stem van de legitieme gebruiker.

"Het gebruik van gezichtsherkenning alleen voor authenticatie is waarschijnlijk niet sterk genoeg, "zei Lee. "Dat willen we combineren met Captcha, een bewezen technologie. Als je de twee combineert, dat maakt gezichtsherkenningstechnologie veel sterker."

Captcha-technologie - oorspronkelijk een acroniem voor "Completely Automated Public Turing test to tell Computers and Humans Apart" - wordt veel gebruikt om te voorkomen dat bots toegang krijgen tot formulieren op websites. Het werkt door gebruik te maken van het superieure vermogen van een mens om patronen in afbeeldingen te herkennen. De Real-Time Captcha-aanpak zou verder gaan dan wat nodig is op websites door een reactie op te roepen die live video en audio produceert die vervolgens worden vergeleken met het opgeslagen beveiligingsprofiel van een gebruiker.

Captcha-uitdagingen kunnen betrekking hebben op het herkennen van gecodeerde letters of het oplossen van eenvoudige wiskundige problemen. Het idee zou zijn om mensen te laten reageren voordat machines de vraag zelfs maar kunnen herkennen.

"Een stilstaand beeld laten glimlachen of knipperen kost een machine slechts een paar seconden, maar het doorbreken van onze Captcha-wijzigingen duurt tien seconden of meer, ' zei Uzun.

Bij het verbeteren van authenticatie, de onderzoekers bestudeerden software voor het vervalsen van afbeeldingen en besloten een nieuwe aanpak te proberen, in de hoop een nieuw front te openen in de strijd tegen aanvallers. De aanpak verplaatst de taak van de aanvaller van het genereren van overtuigende video naar het breken van een Captcha.

"We hebben naar het probleem gekeken, wetende wat de aanvallers waarschijnlijk zouden doen, " zei Simon Pak Ho Chung, een onderzoeker aan de Georgia Tech's School of Computer Science. "Het verbeteren van de beeldkwaliteit is een mogelijke reactie, maar we wilden een heel nieuw spel maken."

De realtime Captcha-aanpak zou de bandbreedtevereisten niet significant moeten veranderen, aangezien de Captcha-afbeelding die naar mobiele apparaten wordt verzonden klein is en authenticatieschema's al video en audio verzenden, zei Chung.

Een van de toekomstige uitdagingen is het overwinnen van de moeilijkheid van het herkennen van spraak in een lawaaierige omgeving en het beveiligen van de verbinding tussen de camera van het apparaat en de authenticatieserver.

"Voor elk beveiligingsmechanisme dat we ontwikkelen, we moeten ons eerst zorgen maken over de veiligheid van het mechanisme, ' zei Lee. 'Als je eenmaal beveiligingstechnologie hebt ontwikkeld, het wordt een doelwit voor de aanvallers, en dat geldt zeker voor biometrische technologie."