自拍越来越多地扮演着一个令人惊讶的新角色:在线验证身份。一些银行甚至政府已经开始强制要求在视频通话时进行实时自拍,以便在访问服务前证明自己的身份。然而,正如一份新报告所强调的那样,把自拍照交给科技公司绝非明智的网络安全之举。
多位安全专家和市场分析师在接受TheRegister采访时讨论了这一做法,强调了它的不安全性,并就改进方法提出了建议。
Gartner公司的副总裁分析师AkifKhan说,自拍身份验证的趋势已经酝酿多年,他负责为企业提供实施该技术的建议。他告诉本刊,人们对自拍身份验证的兴趣一直很高,而且在稳步增长,最近随着大流行病推动更多服务上网,这种兴趣"有所上升"。
上周,越南规定任何超过400美元的数字交易都必须通过手机银行应用程序进行人脸扫描,这引起了人们的担忧。越南媒体对自拍能提高安全性表示怀疑。没过几天,一些应用程序已经无法通过人脸扫描,因为它们只接受简单的静态照片,而不是实时自拍视频。
自拍身份证的兴起与反洗钱(AML)和"了解你的客户"(KYC)法规的要求一致,这些法规要求进行身份检查,尽管全球各司法管辖区的具体规定各不相同,而且经常更新。这与各地区的数据隐私法规相冲突。
Acronis公司首席信息安全官凯文-里德(KevinReed)认为,企业如何不当处理自拍数据也是一个问题。他告诉本刊,企业在使用自拍验证图像后往往不能妥善管理和处置,如果网络犯罪分子发现了数据宝库的价值,就有可能将其盗走。
Resecurity此前的一份报告强调,新加坡的一家支付服务提供商让用户提交一张手持身份证的照片,旁边还有一个手写的标志,大概是为了证明身份证的有效性。里德认为这种技术只比静态自拍"略胜一筹",因为它仍然很容易编辑。与此同时,Khan对这种技术也没有信心,称这只是一种"权宜之计",他们还在研究适当的解决方案。
更好的解决方案是将第三方供应商提供的"动态"检测技术集成到应用程序和网站中。
动态检测供应商采用一系列技术来验证用户是否真实存在。这些技术包括自拍时的动作,如表达情绪或转头。Khan指出,这些检查由机器学习辅助,还能检测到来自深度伪造的注入攻击。在验证过程中,它们会分析深度、边缘、光反射,甚至血流迹象。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】