Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties

Onderzoekers van het deels door de EU gesubsidieerde Tabula Rasa-consortium hebben onderzoek gedaan naar nieuwe methoden om spoofing bij biometrische systemen tegen te gaan. De uitkomsten van het onderzoek zouden moeten zorgen voor banengroei in de it-sector in de EU.

Spoofing, het vervalsen van kenmerken, is ook bij biometrische systemen een methode om de software om de tuin te leiden. Zo kan bijvoorbeeld een foto of een spraakopname worden gebruikt. Het Tabula Rasa-consortium heeft mede in opdracht van de EU onderzoek gedaan naar het veiliger maken van biometrische beveiliging. Een belangrijk onderdeel daarbij was de zogeheten Spoofing Challenge, waarbij onderzoekers uit de hele wereld de kans kregen om aanvalsplannen te ontwikkelen. Een van de meest effectieve methodes was om gebruik te maken van make-up om een 2d-gezichtsherkenningssysteem te misleiden. Ook maskers, foto's en vervalste vingerafdrukken werden ingezet.

Op basis van de Spoofing Challenge zijn nieuwe methoden gevonden om spoofing tegen te gaan. Zo werd bij het 2d-gezichtsherkenningssysteem detectie voor het knipperen van de ogen toegevoegd, evenals bewegingsdetectie voor het hoofd. Met deze extra controles zouden aanvallen via bijvoorbeeld een foto tegengegaan kunnen worden.

De EU heeft 4,4 miljoen euro innovatiesubsidie in het project gestoken, terwijl het Tabula Rasa-consortium 1,5 miljoen euro investeerde. Het consortium bestaat uit twaalf onderzoeks- en brancheinstellingen uit vijf EU-lidstaten, Zwitserland en China. Met het onderzoek denkt de EU nieuwe banen te kunnen creëren in de Europese it-sector, bijvoorbeeld door de onderzoeksresultaten in nieuwe gezichtsherkenningssoftware te implementeren.

Moderatie-faq Wijzig weergave

Reacties (8)

Het grote verschil tussen biometrische authenticatie is dat het uiteindelijke altijd wel te spoofen is (gijzel anders de persoon).

Wat niet zomaar te spoofen is, is kennis van de persoon zelf. Het lijkt mij een goed idee dat je dus een combinatie van beiden maakt. En dat je in geval van nood de code omdraait ofzo, en extern alles normaal verloopt maar het systeem wel intern de melding doorspeelt. (voor bijv. bij chantage of gijzeling)

Als ze het systeem zo goed kunnen maken dat het systeem angst kan herkennen of stress, en in zo'n situatie er een extra controle moet plaatsvinden of geflagged moet worden zodat het systeem ervan kan leren om misbruik te voorkomen.

Daarnaast is de skinscanner van Apple een goed apparaat om zelfgekozen delen van je lichaam te laten scannen, zoals onderkant / boven / linker / rechterzijde van je vinger maar nooit de vingerafdruk zelf, zodat alleen jij en het systeem er wat mee kunnen, maar geen enkele instatie er wat aan hebben aangezien die allemaal vingerafdruk databases gebruiken.

Nog beter:
Een hand in een beveiligd vierkant vakje steken en je hand op een bepaalde manier houden. Zonder die tegen de wanden houden, maar niemand anders kan zien hoe jij je handen houdt. Er kunnen dan geen afdrukken van genomen worden. (hoger niveau overheden authenticatie).

Voor telefoons een cijfercode van 6 cijfers, waarbij de cijfer na elke toets random van plek veranderd. Zodat je de hele tijd een andere plek indrukt, en voor middel van kleur een andere vinger moet gebruiken en de locatie van het cijfer ook nog eens verteld welke zijde je van je vinger moet laten scannen nadat je de code hebt ingetypt.(alleen jij weet welke kleur bij welke vinger hoort enz, (en bij een fout het nog moeilijker gemaakt wordt, om gokken te voorkomen).

Dus zelfs als iemand het dus heeft afgekeken met een camera bovenop je hand het hem toch niet lukt om met een valse afdruk te ontgrendelen omdat het elke keer anders is.

Dan maak je het in ieder geval veeel moeilijker dan het nu is.

[Reactie gewijzigd door XthinkZ op 22 oktober 2013 19:12]

Tja het hele idee van "biometrics" is toch voornamelijk voer voor niet-techneuten die teveel James Bond hebben gekeken, en voor het gemak even vergeten dat het een film is. Zelfs hier op about.com iemand die het tot mijn stomme verbazing gewoon erkent!:
One way that shows a lot of promise in trying to combat identity theft is implementing biometric identification. You can see this on television crime shows like CSI, NCIS, etc. Biometrics include fingerprints, facial recognition, voice patterns, retinal scans, DNA, the list goes on.
Zoals dit bedrijf uiteenzet, "Biometric – Anything You can Store – I Can Steal ", en geeft een aantal goede voorbeelden van het onvermogen van Biometrics om een goed beveiligingssysteem te zijn.

Daarnaast heeft de EFF ook nog eens een goede reden waarom het helemaal niet zo prettig is om een centrale database te hebben met biometrische gegevens. "Who is watching you?" lijst een aantal problemen
Voor mij de belangrijkste:
The cost of failure is high. If you lose a credit card, you can cancel it and get a new one. If you lose a biometric, you've lost it for life. Any biometric system must be built to the highest levels of data security, including transmission that prevents interception, storage that prevents theft, and system-wide architecture to prevent both intrusion and compromise by corrupt or deceitful agents within the organization.

(Dit gecombineerd met het verhaal van hierboven dat zegt "Anything you can store I can steal" maakt natuurlijk vrij duidelijk waarom het een absoluut stupide idee om biometrics überhaupt te overwegen.)

Edit: En oh ja, voor die mensen die zeggen, "maar dan is dat product van die club (Innovya) uit dat artikel och een uitkomst, nou die vergeten dat het grootste probleem is dat zolang er "law en order ten koste van alles" lui als Opstelten en Teeven in een regering zitten (bestaan?) dergelijke systemen er niet zullen komen, omdat hun al evenmin met enig idee van burgerrechten behepte mensen bij politie en justitie maar al te graag met hun grijpgrage handjes in dergelijke databases willen zitten. En dat wij als IT-ers weten dat het "niet opslaan", zodra data in transit is, natuurlijk een fictie is, het is dan al op honderden systemen opgeslagen geweest.

[Reactie gewijzigd door ronaldvr op 23 oktober 2013 10:09]

Ik heb nou niet het idee dat het slecht gaat met de IT-sector, zeker niet de ontwikkelaars (ben er zelf 1). Het is alleen wel goed om onderzoek te doen naar beveiliging en de verbetering ervan.
Nou deze twee voorbeelden zijn wel erg makkelijk te omzeilen, door bijvoorbeeld een tablet er voor te hangen met een filmpje van de persoon. Maar dat is dan ook waarom biometrie enkel als secundaire authenticatie dient te worden gebruikt.
De detecttie voor het knipperen van ogen is toch helemaal niet nieuw? Volgens mij heeft mijn galaxy s3 dat ook al bij de face unlock feature
Overigens, hoe onvervalsbaar ze de methoden ook maken, blijf ik er erg sceptisch tegenover staan.

Ik zou het bvb niet voor meer durven gebruiken dan voor het unlocken van een elektronisch toestel waar geen vertrouwelijke informatie op staat.

Het is immers zo dat er slechts 1 fout in 1 database moet staan die gebruik maakt van biometriche methodes en ze hebben de data die overeenkomt met uw gezicht.
Hoe erg dit ook is in een gelijkaardig geval met wachtwoord, kan je bvb geen gezicht hebben voor elke dienst waarvan je gebruik maakt, je kan ook niet zomaar even een nieuw gezicht instellen.

Daarbuiten zie ik ook dat game-engines steeds dichter en dichter bij de realiteit komen, waardoor ik denk dat het in de toekomst geen probleem moet zijn om mits enkele foto's (bvb 2) een beweging te simuleren met een 3d engine.

Echter voor het unlocken van toestellen of als "gebruikersnaam" op diensten waarvan het geen kwad kan dat ze mijn identiteit zouden kunnen achterhalen (bvb via vergelijkingsalgoritmes op facebook) lijkt het me geweldig. Het belang voor beveiliging tegen spoofing is hierbij wel minder belangrijk, denk ik dan.
Ik snap niet helemaal waarom biometrische authenticatie steeds als wachtwoord moet worden gebruikt, het lijkt me veel handiger om het als gebruikersnaam te gebruiken.
Bijvoorbeeld om snel te kunnen switchen tussen accounts op een telefoon, de camera van de telefoon ziet mijn gezicht en geeft direct een popup o.i.d waarin ik kan kiezen of ik wil switchen naar mijn account of dat ik niets wil doen. Of als ik wil inloggen op facebook, gezicht voor de camera houden en hij weet direct je gebruikersnaam.
Lijkt me veel handiger (en veiliger bovendien).
een beetje knutselen aan het velletje papier en je kunt knipperen ook faken :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True