مطالب

امنیت سیستم‌های احراز هویت منطبق بر تشخیص چهره یکی از چالش‌های مهم در میان کارشناسان فعال در این حوزه به شمار می‌رود. در این مقاله قصد داریم درباره انواع حملات سامانه های تشخیص چهره بحث کنیم و به بررسی یکی آنها بپردازیم.

انواع روش های احراز هویت

امروزه نیاز به روشهای احراز هویت قابل اعتماد در حوزه‌های مختلف حس می‌شود. پراستفاده‌ترین متدهای احراز هویت، براساس «آنچه که فرد دارد» مانند کارت‌های شناسایی یا «آنچه که فرد می‌داند» مانند رمزهای عبور هستند.

این روش‌ها امنیت کافی ایجاد می‌کنند اما متاسفانه برای هر کدام شیوه‌های مختلفی برای فریب دادن وجود دارد. به عنوان مثال، کارت‌های شناسایی می‌توانند دزدیده شوند، کپی شوند یا گم شوند. هم‌چنین در مورد رمزهای عبور نیز امکان فراموش شدن، حدس زده شدن یا هک شدن وجود دارد.

با توجه به تعداد بالای حساب‌های کاربری که هر شخص در شبکه‌های اجتماعی، فروشگاه‌های آنلاین و ... دارد (به طور میانگین 25 حساب کاربری برای هر فرد) به خاطر سپردن تعداد زیادی رمز عبور پیچیده سخت است. از این رو کاربران معمولا تمام موارد امنیتی را در مورد رمزهای عبورشان رعایت نمی‌کنند.

به عنوان مثال، از رمزهای عبور ساده استفاده می‌کنند، از یک رمز عبور برای چندین حساب کاربری استفاده می‌کنند یا رمزهای عبورشان را به صورت منظم تغییر نمی‌دهند. علاوه بر این، بالا رفتن توان محاسباتی کامپیوترها شکستن رمزهای عبور پیچیده را نیز ساده و ساده‌تر کرده است.

تشخیص چهره و احراز هویت بیومتریک

موارد فوق باعث شده‌اند که روش جدیدی برای احراز هویت معرفی شود که بر اساس اطلاعات بیومتریک افراد (ویژگی‌های ظاهری یا رفتاری مانند چهره، صدا، اثر انگشت، قرنیه چشم، مدل راه رفتن و ...) می‌باشد.

با توجه به این که این ویژگی‌ها برای هر شخص منحصر به فرد است، می‌توانند سطح بالایی از امنیت را برای ما ایجاد کنند. اما سیستم‌هایی که بر اساس اطلاعات بیومتریک هستند ما را با چالش‌های جدیدی مواجه کردند. Face spoofing attack ها از جمله این موارد هستند.
از آن جا که استقرار سیستم های احراز هویت از طریق تشخیص چهره سال به سال رو به افزایش است، مردم با نحوه استفاده از آن‌ها در زندگی روزمره بیشتر آشنا می‌شوند که باعث می‌شود نقاط ضعف امنیتی سیستم‌های تشخیص چهره نیز در بین عموم مردم بهتر شناخته شود.

انواع حملات به سیستم های تشخیص چهره

در حال حاضر، پیدا کردن وب‌سایت‌ها یا فیلم‌های آموزشی با راهنمایی دقیق در مورد نحوه حمله به سیستم های تشخیص چهره برای دستیابی به دسترسی‌های غیرمجاز کار سختی نیست.

به صورت کلی حمله به یک سیستم تشخیص چهره را می‌توان به دو دسته مستقیم و غیرمستقیم تقسیم کرد.

حملات مستقیم خارج از سامانه تشخیص چهره انجام می‌شوند و نیاز است تا چهره‌ای جعلی را مقابل دوربین قرار داد. حملات غیرمستقیم در داخل سیستم‌های بیومتریک اتفاق می‌افتند. به عنوان مثال، اگر با نفوذ به یک سیستم تشخیص چهره، ویژگی‌های استخراج شده از صورت را با مقداری معتبر جایگزین کنیم، یک حمله غیرمستقیم انجام داده‌ایم.

حملات مستقیم به دلیل سادگی بیشتر، عدم نیاز به دانستن جزئیات سیستم بیومتریک و عدم نیاز به مهارت‌های نفوذ و برنامه‌نویسی گستردگی بیشتری دارند. از این رو در ادامه این مطلب به تعریف و نحوه مقابله با این حملات می‌پردازیم.

برای حملات غیرمستقیم می‌توان امنیت را با استفاده از اقدامات متفاوتی افزایش داد که شامل مواردی همچون نصب firewall، آنتی ویروس، تشخیص نفوذ و رمزگذاری است.

حملات مستقیم به سامانه تشخیص چهره

حملات Face Presentation یا Face Spoofing که نوعی از حملات مستقیم است، دارای مراحل زیر است.

1. انتخاب داده‌های بیومتریک مناسب
2. ایجاد PAI (ابزار حمله Presentation)
3. قرار دادن PAI مقابل دوربین تشخیص چهره

برای مرحله اول و یافتن داده‌های بیومتریک می‌شود از روش‌های زیر وارد شد:

• تصاویر دو بعدی
• تصاویر سه بعدی
• فریم‌های ویدیو
• چهره واقعی

باید توجه داشت که سیستم‌های تشخیص چهره در حال حاضر به داده‌هایی متکی هستند که ماهیت شخصی دارند ولی به صورت عمومی قابل دسترس‌اند.

تصاویر دو بعدی صورت که به سادگی از طریق شبکه‌های اجتماعی قابل دسترسی هستند را می‌توان چاپ کرد و از آن‌ها برای حملات ‌Face Presentaion استفاده کرد. البته تصاویر دو بعدی فقط ظاهر چهره را حفظ می‌کنند و زنده بودن فرد را نشان نمی‌دهند.

برای حل این مساله مهاجم ممکن است سعی کند با حرکت دادن آن حرکت‌های طبیعی صورت را شبیه‌سازی کند یا با بریدن ناحیه چشم و نگه‌داشتن تصویر روبروی صورت خود پلک زدن‌های طبیعی چشم را شبیه‌سازی کند. برای حفظ ظاهر و زنده بودن تصویر گاهی از روش‌‌های دیگری مانند ضبط ویدیو و نمایش آن در برابر دوربین‌های پردازش چهره استفاده شود.

بسته به دید دوربین از مرزهای PAI، دو نوع حمله تعریف می‌شود، حملات نزدیک (close-up) و حملات منظره (scenic).

در حملات منظره، فاصله بین PAI و دوربین زیاد است، بنابراین مرزهای PAI کاملا قابل مشاهده هستند. اگر فقط ناحیه صورت مورد توجه قرار گیرد، این حملات قابل تشخیص نیستند اما با تجزیه و تحلیل کل فریم، تشخیص این حملات به راحتی حاصل می‌شود.

برخلاف حملات منظره، در حملات نزدیک مرزهای PAI قابل مشاهده نیست و محتوای پس‌زمینه نمونه صورت اصلی که در حمله استفاده می‌شود، در کنار صورت وجود دارد.

.    .    .    .    .

همان‌طور که در این مطلب دیدیم، با توجه به افزایش استفاده از سیستم‌های بیومتریکَ، حملات Face Spoofing یا Face Presentation که انواع آن‌ها نام برده شد، می‌توانند از مهمترین چالش های سیستم های تشخیص چهره باشند. در مطالب بعدی از روش‌های مقابله با این حملات خواهیم گفت.