En ny metod för inloggningsautentisering kan förbättra säkerheten för nuvarande biometriska tekniker som är beroende av video eller bilder av användarnas ansikten. Känd som Real-Time Captcha, tekniken använder en unik "utmaning" som är lätt för människor - men svårt för angripare som kanske använder maskininlärning och bildgenereringsprogram för att förfalska legitima användare.

Realtids Captcha kräver att användare tittar in i sin mobiltelefons inbyggda kamera medan de svarar på en slumpmässigt vald fråga som visas i en Captcha på skärmarna på enheterna. Svaret måste ges inom en begränsad tid som är för kort för att artificiell intelligens eller maskininlärningsprogram ska svara. Captcha skulle komplettera bild- och ljudbaserade autentiseringstekniker som kan förfalskas av angripare som kan hitta och ändra bilder, video och ljud från användare - eller stjäla dem från mobila enheter.

Tekniken kommer att beskrivas den 19 februari på Network and Distributed Systems Security (NDSS) Symposium 2018 i San Diego, Calif. Stöds av Office of Naval Research (ONR) och Defense Advanced Research Projects Agency (DARPA), forskningen genomfördes av cybersäkerhetsspecialister vid Georgia Institute of Technology.

"Angriparna vet nu vad de kan förvänta sig med autentisering som ber dem att le eller blinka, så de kan producera en blinkande modell eller leende ansikte i realtid relativt enkelt, "sade Erkam Uzun, en forskarassistent vid Georgia Tech's School of Computer Science och tidningens första författare. "Vi gör utmaningen svårare genom att skicka användare oförutsägbara förfrågningar och begränsa svarstiden för att utesluta maskininteraktion."

Som en del av ansträngningarna att eliminera traditionella lösenord för inloggningar, mobila enheter och onlinetjänster övergår till biometriska tekniker som använder ett mänskligt ansikte, näthinna eller annat biologiskt attribut för att verifiera vem som försöker logga in. iPhone X är utformad för att låsa upp med användarens ansikte, till exempel, medan andra system använder korta videosegment av en användare som nickar, blinkar eller ler.

I katt-och-mus-spelet cybersäkerhet, dessa biometri kan vara förfalskade eller stulna, som tvingar företag att hitta bättre tillvägagångssätt, sa Wenke Lee, en professor i Georgia Tech's School of Computer Science och meddirektör för Georgia Tech Institute for Information Security and Privacy.

"Om angriparen vet att autentisering är baserad på att känna igen ett ansikte, de kan använda en algoritm för att syntetisera en falsk bild för att efterlikna den verkliga användaren, "Sa Lee." Men genom att presentera en slumpmässigt utvald utmaning inbäddad i en Captcha-bild, vi kan förhindra att angriparen vet vad han kan förvänta sig. Säkerheten i vårt system kommer från en utmaning som är lätt för en människa, men svårt för en maskin. "

Vid testning gjord med 30 försökspersoner, människorna kunde svara på utmaningarna på en sekund eller mindre. De bästa maskinerna krävdes mellan sex och tio sekunder för att avkoda frågan från Captcha och svara med en falsk video och ljud. "Detta gör att vi snabbt kan avgöra om svaret kommer från en maskin eller en människa, "Sa Uzun.

Det nya tillvägagångssättet skulle kräva inloggningsförfrågningar för att klara fyra tester:framgångsrikt erkännande av en utmaningsfråga från en Captcha, svar inom ett snävt tidsfönster som bara människor kan möta, och framgångsrika matchningar till både den legitima användarens förinspelade bild och röst.

"Att använda ansiktsigenkänning ensam för autentisering är förmodligen inte tillräckligt starkt, "sa Lee." Vi vill kombinera det med Captcha, en beprövad teknik. Om du kombinerar de två, det kommer att göra ansiktsigenkänningstekniken mycket starkare. "

Captcha -tekniken - ursprungligen en förkortning för "Helt automatiserat offentligt Turing -test för att berätta för datorer och människor" - används ofta för att förhindra att robotar får tillgång till formulär på webbplatser. Det fungerar genom att dra fördel av en människas överlägsna förmåga att känna igen mönster i bilder. Realtids Captcha-tillvägagångssättet skulle gå utöver vad som krävs på webbplatser genom att uppmana ett svar som ger livevideo och ljud som sedan matchas mot en användares lagrade säkerhetsprofil.

Captcha -utmaningar kan innebära att man känner igen krypterade bokstäver eller löser enkla matematiska problem. Tanken skulle vara att låta människor reagera innan maskiner ens kan känna igen frågan.

"Att få en stillbild att le eller blinka tar en maskin bara några sekunder, men att bryta våra Captcha -ändringar tar tio sekunder eller mer, sa Uzun.

I ett försök att förbättra autentisering, forskarna studerade bildspoofing -programvara och bestämde sig för att testa ett nytt tillvägagångssätt, i hopp om att öppna en ny front i kampen mot angripare. Tillvägagångssättet flyttar angriparens uppgift från att skapa övertygande video till att bryta en Captcha.

"Vi tittade på problemet och visste vad angriparna sannolikt skulle göra, "sa Simon Pak Ho Chung, en forskare vid Georgia Tech's School of Computer Science. "Att förbättra bildkvaliteten är ett möjligt svar, men vi ville skapa ett helt nytt spel. "

Realtids Captcha-tillvägagångssättet bör inte ändra kraven på bandbredd avsevärt eftersom Captcha-bilden som skickas till mobila enheter är liten och autentiseringsscheman redan överförde video och ljud, Sa Chung.

Bland utmaningarna framöver är att övervinna svårigheten att känna igen tal i en bullrig miljö och säkra anslutningen mellan enhetens kamera och autentiseringsservern.

"För alla säkerhetsmekanismer som vi utvecklar, vi måste oroa oss för mekanismens säkerhet först, "Sa Lee." När du väl utvecklat säkerhetsteknik, det blir ett mål för angriparna, och det gäller verkligen biometrisk teknik. "