Un nuevo enfoque de autenticación de inicio de sesión podría mejorar la seguridad de las técnicas biométricas actuales que dependen del video o las imágenes de los rostros de los usuarios. Conocida como Captcha en tiempo real, la técnica utiliza un "desafío" único que es fácil para los humanos, pero difícil paraatacantes que pueden estar utilizando software de aprendizaje automático y generación de imágenes para falsificar usuarios legítimos.
El Captcha en tiempo real requiere que los usuarios miren la cámara incorporada de su teléfono móvil mientras responden una pregunta seleccionada al azar que aparece dentro de un Captcha en las pantallas de los dispositivos. La respuesta debe darse dentro de un período de tiempo limitado que esdemasiado corto para que la inteligencia artificial o los programas de aprendizaje automático respondan. Captcha complementaría las técnicas de autenticación basadas en imágenes y audio que pueden ser falsificadas por los atacantes que pueden encontrar y modificar imágenes, videos y audio de los usuarios, o robarlosdesde dispositivos móviles.
La técnica se describirá el 19 de febrero en el Simposio de seguridad de redes y sistemas distribuidos NDSS 2018 en San Diego, California. Con el apoyo de la Oficina de Investigación Naval ONR y la Agencia de Proyectos de Investigación Avanzada de Defensa DARPA, la investigaciónfue realizado por especialistas en seguridad cibernética en el Instituto de Tecnología de Georgia.
"Los atacantes ahora saben qué esperar con una autenticación que les pide sonreír o parpadear, para que puedan producir un modelo parpadeante o una cara sonriente en tiempo real con relativa facilidad", dijo Erkam Uzun, un asistente de investigación graduado en la Escuela de Tecnología de Georgia TechComputer Science y el primer autor del artículo: "Estamos haciendo el desafío más difícil al enviar a los usuarios solicitudes impredecibles y al limitar el tiempo de respuesta para descartar la interacción de la máquina".
Como parte de los esfuerzos para eliminar las contraseñas tradicionales para inicios de sesión, los dispositivos móviles y los servicios en línea se están moviendo hacia técnicas biométricas que utilizan un rostro humano, retina u otro atributo biológico para verificar quién está intentando iniciar sesión. El iPhone X está diseñado para desbloquearcon la cara del usuario, por ejemplo, mientras que otros sistemas utilizan segmentos cortos de video de un usuario que asiente, parpadea o sonríe.
En el juego del gato y el ratón de la seguridad cibernética, esos datos biométricos pueden ser falsificados o robados, lo que obligará a las empresas a encontrar mejores enfoques, dijo Wenke Lee, profesor de la Facultad de Ciencias de la Computación de Georgia Tech y codirector delGeorgia Tech Institute for Information Security and Privacy.
"Si el atacante sabe que la autenticación se basa en reconocer una cara, puede usar un algoritmo para sintetizar una imagen falsa para suplantar al usuario real", dijo Lee. "Pero al presentar un desafío seleccionado al azar incrustado en una imagen Captcha", podemos evitar que el atacante sepa qué esperar. La seguridad de nuestro sistema proviene de un desafío que es fácil para un humano, pero difícil para una máquina ".
En las pruebas realizadas con 30 sujetos, los humanos pudieron responder a los desafíos en un segundo o menos. Las mejores máquinas requirieron entre seis y diez segundos para decodificar la pregunta del Captcha y responder con un video y audio falsos ".Esto nos permite determinar rápidamente si la respuesta es de una máquina o un humano ", dijo Uzun.
El nuevo enfoque requeriría solicitudes de inicio de sesión para pasar cuatro pruebas: reconocimiento exitoso de una pregunta de desafío desde un Captcha, respuesta dentro de una ventana de tiempo estrecha que solo los humanos pueden cumplir, y coincide con éxito con la imagen pregrabada del usuario legítimo yvoz.
"Usar el reconocimiento facial solo para la autenticación probablemente no sea lo suficientemente fuerte", dijo Lee. "Queremos combinar eso con Captcha, una tecnología probada. Si combina los dos, eso hará que la tecnología de reconocimiento facial sea mucho más fuerte".
La tecnología Captcha, originalmente un acrónimo de "Prueba de Turing pública completamente automatizada para distinguir computadoras y humanos", se usa ampliamente para evitar que los bots accedan a los formularios en los sitios web. Funciona aprovechando la capacidad superior de un humano para reconocer patronesen imágenes El enfoque de Captcha en tiempo real iría más allá de lo que se requiere en los sitios web al generar una respuesta que producirá video y audio en vivo que luego se compararía con el perfil de seguridad almacenado de un usuario.
Los desafíos de Captcha pueden implicar reconocer letras revueltas o resolver problemas matemáticos simples. La idea sería permitir que los humanos respondan antes de que las máquinas puedan siquiera reconocer la pregunta.
"Hacer que una imagen fija sonría o parpadee le toma a una máquina solo unos segundos, pero romper nuestros cambios de Captcha toma diez segundos o más", dijo Uzun.
Al tratar de mejorar la autenticación, los investigadores estudiaron el software de falsificación de imágenes y decidieron probar un nuevo enfoque, con la esperanza de abrir un nuevo frente en la batalla contra los atacantes. El enfoque mueve la tarea del atacante de generar un video convincente a romper un Captcha.
"Analizamos el problema sabiendo lo que probablemente harían los atacantes", dijo Simon Pak Ho Chung, investigador científico de la Facultad de Ciencias de la Computación de Georgia Tech. "Mejorar la calidad de la imagen es una respuesta posible, pero queríamos crear un todonuevo juego."
El enfoque de Captcha en tiempo real no debería cambiar significativamente los requisitos de ancho de banda ya que la imagen de Captcha enviada a los dispositivos móviles es pequeña y los esquemas de autenticación ya transmitían video y audio, dijo Chung.
Entre los desafíos en el futuro está superar la dificultad de reconocer el habla en un entorno ruidoso y asegurar la conexión entre la cámara del dispositivo y el servidor de autenticación.
"Para cualquier mecanismo de seguridad que desarrollemos, primero debemos preocuparnos por la seguridad del mecanismo", dijo Lee. "Una vez que desarrolle la tecnología de seguridad, se convierte en un objetivo para los atacantes, y eso ciertamente se aplica a la tecnología biométrica."
Fuente de la historia :
Materiales proporcionados por Instituto de Tecnología de Georgia . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :