p Uma nova abordagem de autenticação de login pode melhorar a segurança das técnicas biométricas atuais que dependem de vídeos ou imagens dos rostos dos usuários. Conhecido como Captcha em tempo real, a técnica usa um "desafio" único que é fácil para humanos - mas difícil para invasores que podem estar usando software de aprendizado de máquina e geração de imagens para falsificar usuários legítimos. p O Captcha em tempo real exige que os usuários olhem para a câmera embutida de seus telefones celulares enquanto respondem a uma pergunta selecionada aleatoriamente que aparece dentro de um Captcha nas telas dos dispositivos. A resposta deve ser dada dentro de um período limitado de tempo que é muito curto para a inteligência artificial ou programas de aprendizado de máquina responderem. O Captcha complementaria as técnicas de autenticação baseada em imagem e áudio que podem ser falsificadas por invasores que podem encontrar e modificar imagens, vídeo e áudio de usuários - ou roubá-los de dispositivos móveis.

p A técnica será descrita em 19 de fevereiro no Simpósio de Segurança de Sistemas Distribuídos e de Rede (NDSS) 2018 em San Diego, Califórnia. Com o apoio do Office of Naval Research (ONR) e da Defense Advanced Research Projects Agency (DARPA), a pesquisa foi conduzida por especialistas em segurança cibernética do Instituto de Tecnologia da Geórgia.

p "Os invasores agora sabem o que esperar da autenticação que pede para eles sorrirem ou piscarem, para que possam produzir um modelo piscando ou um rosto sorridente em tempo real com relativa facilidade, "disse Erkam Uzun, um assistente de pesquisa de pós-graduação na Escola de Ciência da Computação da Georgia Tech e o primeiro autor do artigo. "Estamos tornando o desafio mais difícil, enviando aos usuários solicitações imprevisíveis e limitando o tempo de resposta para excluir a interação da máquina."

p Como parte dos esforços para eliminar as senhas tradicionais para logins, dispositivos móveis e serviços online estão mudando para técnicas biométricas que utilizam um rosto humano, retina ou outro atributo biológico para verificar quem está tentando fazer o login. O iPhone X foi projetado para desbloquear com o rosto do usuário, por exemplo, enquanto outros sistemas utilizam pequenos segmentos de vídeo de um usuário acenando com a cabeça, piscando ou sorrindo.

p No jogo de gato e rato da segurança cibernética, esses dados biométricos podem ser falsificados ou roubados, que forçará as empresas a encontrar melhores abordagens, disse Wenke Lee, professor da Escola de Ciência da Computação da Georgia Tech e codiretor do Instituto Georgia Tech para Segurança da Informação e Privacidade.

p "Se o invasor souber que a autenticação é baseada no reconhecimento de um rosto, eles podem usar um algoritmo para sintetizar uma imagem falsa para representar o usuário real, "Disse Lee." Mas, ao apresentar um desafio selecionado aleatoriamente incorporado em uma imagem Captcha, podemos evitar que o invasor saiba o que esperar. A segurança do nosso sistema vem de um desafio fácil para um ser humano, mas difícil para uma máquina. "

p Em testes feitos com 30 sujeitos, os humanos foram capazes de responder aos desafios em um segundo ou menos. As melhores máquinas exigiam entre seis e dez segundos para decodificar a pergunta do Captcha e responder com um vídeo e áudio falsos. "Isso nos permite determinar rapidamente se a resposta é de uma máquina ou de um humano, "Uzun disse.

p A nova abordagem exigiria que as solicitações de login passassem em quatro testes:reconhecimento bem-sucedido de uma pergunta-desafio de dentro de um Captcha, resposta dentro de uma janela de tempo estreita que somente humanos podem atender, e correspondências bem-sucedidas com a imagem e voz pré-gravadas do usuário legítimo.

p "Usar apenas o reconhecimento facial para autenticação provavelmente não é forte o suficiente, "disse Lee." Queremos combinar isso com Captcha, uma tecnologia comprovada. Se você combinar os dois, isso tornará a tecnologia de reconhecimento de rosto muito mais forte. "

p A tecnologia Captcha - originalmente um acrônimo para "Teste de Turing público totalmente automatizado para diferenciar computadores e humanos" - é amplamente usada para impedir que bots acessem formulários em sites. Ele funciona aproveitando a capacidade superior de um ser humano de reconhecer padrões em imagens. A abordagem do Captcha em tempo real iria além do que é exigido em sites, solicitando uma resposta que produzirá vídeo e áudio ao vivo que serão comparados com o perfil de segurança armazenado do usuário.

p Os desafios do Captcha podem envolver o reconhecimento de letras embaralhadas ou a solução de problemas matemáticos simples. A ideia seria permitir que os humanos respondessem antes que as máquinas pudessem sequer reconhecer a pergunta.

p "Fazer uma imagem estática sorrir ou piscar leva uma máquina apenas alguns segundos, mas quebrar nossas alterações de Captcha leva dez segundos ou mais, "disse Uzun.

p Na tentativa de melhorar a autenticação, os pesquisadores estudaram software de spoofing de imagens e decidiram tentar uma nova abordagem, na esperança de abrir uma nova frente na batalha contra os atacantes. A abordagem move a tarefa do invasor de gerar vídeo convincente para quebrar um Captcha.

p "Analisamos o problema sabendo o que os invasores provavelmente fariam, "disse Simon Pak Ho Chung, um cientista pesquisador na Escola de Ciência da Computação da Georgia Tech. "Melhorar a qualidade da imagem é uma resposta possível, mas queríamos criar um jogo totalmente novo. "

p A abordagem Captcha em tempo real não deve alterar significativamente os requisitos de largura de banda, uma vez que a imagem Captcha enviada para dispositivos móveis é pequena e os esquemas de autenticação já transmitem vídeo e áudio, Disse Chung.

p Entre os desafios futuros está superar a dificuldade de reconhecer a fala em um ambiente barulhento e proteger a conexão entre a câmera do dispositivo e o servidor de autenticação.

p "Para qualquer mecanismo de segurança que desenvolvemos, precisamos nos preocupar com a segurança do mecanismo primeiro, "Disse Lee." Depois de desenvolver a tecnologia de segurança, torna-se um alvo para os invasores, e isso certamente se aplica à tecnologia biométrica. "