web-dev-qa-db-ja.com

顔認識は優れたセキュリティ機能ですか?

私は this guy が「セキュリティ機能として」使用したいコメントを含む顔認識コードをアップロードしたことを発見しました。これは私に考えさせられました。顔認識は有効なセキュリティ機能ですか、それとも「クール」ですが、何かを保護するための非常に効果的な方法ではありませんか?

76
MatthewRock

いいえ、そうではありません。少なくとも、主要な認証形式ではありません。バイオメトリクスは一般に、認証には適していません。

  • あなたはそれらをいたるところに残し、それを避ける方法はありません。
  • 違反があった場合は変更できません。
  • ユーザビリティの問題を引き起こさないように、高いエラー許容度を追加する必要があります。これらの許容範囲により、攻撃がなくても誤検知が発生し、攻撃が可能になります。

実際には、アルゴリズムを実装するときは、通常、[誤った受け入れ率]と[誤った拒否率]の間でバランスを取る必要があります。これにより、顔認識の効率は、テーブルの中で最も低くなります。特に指紋スキャンと比較して、そのセキュリティは他の生体認証システムよりも低くなっています。

あなたの顔はあなたのパスワードではありません、Lenovo – Asus – Toshiba(2009)をバイパスする顔認証

その論文のライブデモンストレーションは見つかりませんでしたが、これは 1C3生体認証についての話 からのもので、簡単な画像を使用し、必要な点滅をバイパスできます。これは ビデオ を使用して点滅の要件を回避する人からの記事です。

これは、より最近のアプローチを使用した最新の論文です。

このペーパーでは、最新の顔認証システムをバイパスする新しいアプローチを紹介します。具体的には、ソーシャルメディアから取得したターゲットユーザーの写真をいくつか活用することで、広く使用されている顔認証ソリューションのセキュリティを損なう、リアルでテクスチャのある3D顔モデルを作成する方法を示します。

[...]

私たちの意見では、堅牢な顔認証システムがWeb /モバイルカメラ入力のみを使用して動作できる可能性はほとんどありません。高解像度の個人のオンライン写真の広範な性質を考えると、今日の敵は、偽の顔データを合成して作成するために自由に使える情報の宝庫を持っています。さらに、システムが特定のタイプの攻撃を堅牢に検出できる場合でも-紙の印刷物、3D印刷されたマスク、または提案された方法を使用して-すべての可能な攻撃に一般化すると、誤った拒否の可能性が高まり、したがって、システムの全体的な使いやすさが制限されます。

仮想U:公開写真から仮想モデルを構築して顔の活性検出を無効にする(2016)

130
tim

「ユーザー名」として便利です

認証機能の名前は簡単に変更できず、第三者に表示されることがあります。これは、アカウントID、ユーザー名などです。

プライマリ認証機能として他のもの(パスワードなど)を使用したい場合でも、ユーザーIDを顔認識に置き換えると、次のような一般的に使用されるIDよりも便利になり(何も入力する必要がなくなり)、安全になります。ユーザー名またはメールアドレス。

58
Peteris

これに認証のタグを付けたので、その観点からお答えします。 (しかし Aria はコメントで指摘しているように、監視にも応用できます。)

Facebookで顔認識をクールな機能にするには、ほとんどの場合に機能する必要があります。認証に役立つためには、失敗率がゼロに近い必要があります。偽陽性はほとんどなく(たとえそれがあなたによく似ている人物であるか、誰かが写真または顔の3Dモデルを保持している場合でも)、ほとんど偽陰性はありません(多くの体重を減らしたり適用した場合でも)一部は構成します)。それは多くを求めています。

そして、すべての生体認証と同様に、あなたの体に鍵を埋め込むことに問題があります。悪意のある人物が指紋スキャナーを通り過ぎるために指を切り落とすのが悪かったと思った場合、彼らがあなたの顔を手に入れるために何をしなければならないか想像してみてください...

さらに、パスワードや物理的なキーが危険にさらされた場合に変更するのと同じくらい簡単に顔の形を変更することはできません(整形手術を除く)。

したがって、これには指紋リーダーのすべての問題があり、さらに悪いことです。それは悪い考えです。

19
Anders

すでにいくつかの良い答えが提供されています。おそらく重要な点は、それはあなたのリスクプロファイルに依存するということです。状況によっては、顔認識がその特定の状況に十分効果的な便利な制御になる場合がありますが、他の多くの状況では、適切なレベルの保護を提供する前に、顔認識を他の制御に含める必要があります。たとえば、自宅のコンピューターでは顔認識が正常であると判断したり、スクリーンセーバーのロックには十分かもしれないが、最初のログインや職場のオープンプランオフィスのコンピューターでは不十分であると判断する場合があります。

注意すべき他の重要な点は、異なる顔認識システムの精度と信頼性にはかなりのばらつきがあることです。たとえば、一部のローエンドモバイルデバイスでの実装の多くには、写真や「似ている」ように見える人物によってだまされる可能性のある幅広いマッチングパラメーターがあることがわかっています。

ほとんどすべてのセキュリティ管理と同様に、「Is X secure」のような質問は、一般的に間違った質問です。セキュリティは、ターゲットコンテキスト内で評価する必要があります。あなたが求めているのは、妥協のリスクと利便性の間の適切なバランスです。適切なコントロールを特定したら、選択したコントロールの実装がどれほど効果的であるかを評価する必要があります。特定の状況で顔認識が適切であると評価した場合は、実装された顔認識ソリューションが許容可能なパラメーター内で機能することを評価します。

4
Tim X

セキュリティの定義によって異なります。たとえば、誰も知らない場合、セキュリティ機能として確実に使用でき、カムはサインインしている男性の顔をaccにバインドされている顔と隠し比較し、不一致についてセキュリティの責任者に警告します。しかし、それはあいまいさによるセキュリティであり、攻撃者がそれを知っている場合、s.aをバイパスする単純または複雑な手段を使用します。写真を見せたり、顔のマスクを着用したりします。指紋と虹彩スキャナーについても同様です。認証目的のほとんどの生体認証は、監視者が近くに立って、国境管理、ストリート監視などの詐欺師を目、脳、および経験で検出した場合に監視された設定でのみ機能します(もしも マスクを着用 または回避する場合)カメラや違法行為は、警察または犯罪者のプロファイリングによって阻止されます。したがって、認証のために。非賢明な設定での目的は、5歳の子供を感動させることだけが良いです。

1
KOLANICH

いいえ。人の顔のビデオで応答するデバイスにカメラを置き換えるだけです。そして、あなたはどこにでもあなたの顔を残します。

または、VMでシステムを実行し、仮想ドライバーを顔のカメラから収集したデータに接続します。

これを唯一のセキュリティ対策として使用することは非常に安全ではないため、使用しないでください。多分それは二要素認証スキームでうまくいくでしょうが、決して一人ではありません。

0