by 
Riconoscimeto biometrico dell’iride.Che cos’è il rilevamento della vivacità? Una guida completa
La domanda dei consumatori per la tecnologia di autenticazione biometrica e facciale sta crescendo, con il mercato del riconoscimento facciale che vale quasi 4 miliardi di dollari nel 2020 e dovrebbe crescere solo nel prossimo decennio.
Con la tecnologia di autenticazione biometrica che fa progressi così significativi verso l’ubiquità, è fondamentale che gli sviluppatori stiano al passo con i malintenzionati che potrebbero voler sfruttare le vulnerabilità nel processo di autenticazione. Uno dei modi in cui gli sviluppatori salvaguardano l’autenticazione biometrica è con una raccolta di tecniche di verifica note come rilevamento della vivacità. Ma come funziona il rilevamento della vivacità ed è efficace nella prevenzione delle frodi?
Un ripasso sull’autenticazione biometrica
Per chi non lo sapesse, la tecnologia di autenticazione e riconoscimento biometrico descrive qualsiasi dispositivo o software destinato a fornire l’accesso a dispositivi con restrizioni utilizzando una fonte biometrica (ad esempio, una scansione facciale, scansione della retina o impronta digitale) come autenticatore.
FaceID e Touch ID di Apple sono due esempi comuni di questa tecnologia al lavoro. Gli smartphone di oggi possono utilizzare un controllo facciale per consentire agli utenti di accedere ai propri dispositivi senza inserire ogni volta un passcode, rendendo l’esperienza molto più user-friendly.
L’autenticazione biometrica è popolare per la sua praticità ed efficacia, ma, come qualsiasi altra tecnologia di autenticazione, richiede protezione da hacker e truffatori. È qui che entra in gioco il rilevamento della vivacità.
Che cos’è il rilevamento della vivacità?
Nei film sulle rapine in banca, gli attori fanno la loro magia hollywoodiana usando fotografie, maschere e persino dita e bulbi oculari finti per aprire i sistemi biometrici sui caveau delle banche. Questi tipi specifici di attacchi anti-autenticazione sono noti come attacchi di presentazione o “spoofing” e, come la maggior parte delle cose, non sono così efficaci nella vita reale come vorrebbero far credere i film di successo.
Nel mondo reale, gli esperti di prevenzione delle frodi combattono lo spoofing utilizzando il rilevamento della vivacità. Conosciuto anche come “anti-spoofing” o “verifica della vitalità”, il rilevamento biometrico della vivacità descrive una gamma di tecniche utilizzate dagli autenticatori per garantire che la loro tecnologia stia leggendo una vera fonte biometrica, ad esempio un occhio reale, un’impronta digitale o un volto umano anziché di un’immagine falsa o ricreata di uno.
Criminali e frodatori sono sempre alla ricerca di nuovi modi per ingannare la tecnologia di autenticazione, e questo rende il rilevamento dell’attività una parte vitale per proteggere i dati e altre risorse dall’uso non autorizzato. Il rilevamento della vivacità si presenta in diverse forme e, come il resto del mondo tecnologico, deve avanzare costantemente per stare al passo con le nuove minacce.
Punti chiave
- Il rilevamento della vivacità viene utilizzato per sconfiggere gli attacchi di presentazione, un tipo di attacco in cui un truffatore utilizza una rappresentazione falsa di un input biometrico come un volto
- Sebbene LD aiuti a rendere più sicura l’autenticazione biometrica, ha i suoi punti deboli, come gli attacchi di spoofing dalla tecnologia deepfake
- I deepfake possono ingannare alcuni tipi di controlli di attività, il che significa che LD da solo non è una soluzione di autenticazione abbastanza sicura
Come funziona il rilevamento della vivacità?
Esistono alcuni modi popolari in cui gli autenticatori utilizzano la tecnologia LD per combattere gli attacchi di presentazione. Esistono tanti metodi LD quanti attacchi di spoofing progettati per contrastarli, ma questi sono solo alcuni degli esempi più comuni.
Rilevamento della vivacità attiva e passiva
Oggi sono disponibili tre forme principali di controllo dell’attività: passivo, attivo e ibrido. I controlli di attività passiva si verificano in background senza la necessità di input da parte dell’utente, come un sistema di riconoscimento facciale del telefono che esegue la scansione del volto dell’utente e movimenti naturali come il battito delle palpebre per verificare l’autenticità. Questi controlli sono spesso considerati una soluzione di controllo della vivacità più agevole.
Il rilevamento della vivacità attiva, d’altra parte, richiede una qualche forma di input dell’utente, come posizionare un’impronta digitale su uno scanner o seguire le indicazioni sullo schermo come inclinare la testa o guardare da un lato all’altro. Le soluzioni ibride combinano i due per una soluzione visibile ma meno invadente. A causa della loro funzionalità più UX-friendly, gli sviluppatori in genere optano per un metodo di rilevamento della vivacità passivo o ibrido quando possibile.
Sfida e risposta
Sfida e risposta è un esempio di un controllo di attività attivo. Un controllo di sfida e risposta chiederà all’utente di rispondere a richieste come sbattere le palpebre, muovere la testa, sorridere e così via. L’idea è di sconfiggere false rappresentazioni come fotografie 2D o riproduzione video facendo in modo che l’utente dimostri di essere una persona dal vivo.
Profondità e percezione del movimento
Quando si tratta di rilevamento della vivacità del riconoscimento facciale , gli autenticatori possono utilizzare un controllo della vivacità 3D per mappare il volto di un utente e combattere i tentativi di spoofing 2D. Il riconoscimento facciale 3D può utilizzare la percezione della profondità per raccogliere più informazioni sulle espressioni facciali e sui piccoli cambiamenti, rendendo più difficile la sconfitta dei truffatori.
Algoritmi e intelligenza artificiale
Molti dispositivi di autenticazione biometrica utilizzano l’analisi algoritmica per confermare se un campione fornito corrisponde a un campione preregistrato. L’autenticazione biometrica migliora con l’intelligenza artificiale e l’integrazione dell’apprendimento automatico riconoscendo automaticamente le modifiche al volto di un utente autorizzato, come la barba o gli occhiali.
Multimodalità
Richiedere più input biometrici, come qualsiasi combinazione di scansioni facciali, retiniche, vocali e delle impronte digitali, è uno dei modi più sicuri per utilizzare l’autenticazione biometrica. Un utente malintenzionato altamente specializzato può essere in grado di ingannare un autenticatore biometrico, ma è dubbio che sarà in grado di ingannarne due o più nello stesso attacco.
Rilevamento della vivacità e tecnologia deepfake
I “deepfake” sono video in cui un soggetto esistente viene sostituito digitalmente con la somiglianza di qualcun altro, spesso con l’intento di commettere frodi o diffondere disinformazione. Sebbene alcune persone realizzino video deepfake di attori famosi per scopi di intrattenimento, possono anche essere usati per ingannare un test di liveness.
La società di sicurezza Sensity ha pubblicato un rapporto quest’anno che spiega come hanno utilizzato video deepfake per ingannare i controlli di liveness in nove dei primi dieci test di identità dei fornitori. Se un utente malintenzionato è in grado di creare una foto d’identità falsa seguita da un attacco di presentazione deepfake, può creare account falsi su una vasta gamma di piattaforme, dalle criptovalute agli appuntamenti al banking online. Questi account fasulli possono quindi essere utilizzati per commettere altri attacchi fraudolenti con un minor rischio di conseguenze.
I deepfake rappresentano certamente una minaccia per il rilevamento della vivacità e la tecnologia di riconoscimento facciale, ma ciò non significa che non ci sia modo di sconfiggere un attacco di presentazione deepfake.
La posizione e l’intelligence del dispositivo rappresentano un metodo per rilevare i deepfake: in questo caso, i professionisti del rilevamento delle frodi possono confrontare la posizione in tempo reale con il comportamento della posizione passata di un utente per eventuali modifiche sospette. L’intelligenza del dispositivo può anche essere utilizzata per rilevare telefoni rooted o jailbroken insieme all’uso di emulatori, il che aumenterebbe il rischio che sia in uso un deepfake.
La ricerca suggerisce anche che i deepfake non possono ingannare il software di riconoscimento facciale con la percezione della profondità , come FaceID di Apple.
L’autenticazione biometrica offre alle aziende una combinazione di facilità d’uso e sicurezza che molti altri metodi non offrono. È abbastanza facile dimenticare una password, ma il viso, le mani, gli occhi e la voce fanno tutti parte di una persona, il che significa che i consumatori non dovranno preoccuparsi di dimenticarli e chiudersi fuori dalla loro app bancaria o da qualsiasi altro account critico.
Tuttavia, la fiducia è un prerequisito per l’ampia adozione dell’autenticazione biometrica. Parte del guadagno di tale fiducia sta nel mostrare agli imprenditori e ai consumatori che la tecnologia è resiliente contro gli attacchi di presentazione.
Il mondo della biometria è in continua crescita e alcuni esperti di sicurezza informatica stanno già ipotizzando la possibilità di un futuro “senza password” in cui la biometria sostituirà le password alfanumeriche.
Indipendentemente dal fatto che questa visione si avveri, l’autenticazione biometrica è qui per restare, motivo per cui è essenziale che gli sviluppatori implementino un SDK di rilevamento della vivacità in qualsiasi app mobile o Web utilizzando fonti biometriche come autenticatore, oltre a prendere le misure necessarie per proteggersi da deepfake e altri attacchi di presentazione.
Ecco Un piccolo , ma interessantissimo contributo da Annalisa Franco annalisa.franco@unibo.it e Dario Maio dario.maio@unibo.it
reperito on line tramite Google.
by