Brug af ansigtsgenkendelse for at låse telefonen op er ikke nødvendigvis særlig sikkert

Illustration: artoleshko/Bigstock
»Det er ikke af sikkerhedsårsager, man benytter sig af dette.«

'Overvågning: Billigere end fængsel, mere populært end nakkeskud', kunne man læse på ophængte plakater i Berlin, efter at det tyske politi igangsatte et pilotprojekt med ansigtsgenkendelse på stationen Südkreuz i Tysklands hovedstad.

Demonstranterne i Berlin var muligvis noget krasse i retorikken, men også i mange andre lande er ansigtsgenkendelsesteknologi blevet mødt med udbredt skepsis.

Teknologien har fået mange til at stille sig selv grundlæggende spørgsmål: Hvor langt bør man flytte afvejningen mellem frihed og sikkerhed i retning af sidstnævnte? Gør konstante nye sikkerhedstiltag os faktisk sikrere, eller er det først og fremmest den oplevede sikkerhed, som øges?

Og hvad sker der, hvis de biometriske data – som ansigtsgenkendelse bygger på – havner i de forkerte hænder?

Mod denne noget ideologiske skepsis har praktiske hensyn ofte vist sig at veje tungere. Hvor meget enklere er det ikke at gå lige gennem paskontrollen uden at spilde tid i en kø? Og er det ikke meget smart at kunne låse telefonen op uden at skulle taste en kode ind?

Helt nye problemstillinger

I takt med, at teknologien breder sig mere og mere, bliver helt nye problemstillinger aktuelle. Det er her, opstartsvirksomheden Mobai kommer ind.

»Der er en række problemstillinger, som er spændende, men vanskelige. Når man bruger ansigtsgenkendelse til at låse en mobiltelefon op, ved man for eksempel ikke, om det er personen selv, som holder telefonen op, eller om der er en anden, som holder den op mod vedkommendes ansigt,« siger Brage Strand, daglig leder i Mobai.

Mobai er en spinoff fra NTNU Gjøvik og fik for nylig plads på Startuplab i Forskningsparken i Oslo – Norges største inkubator for teknologiselskaber.

Derudover fik de midler fra Forskningsrådet til at opbygge et team og produkter med udgangspunkt i forskningen.

»I andre tilfælde kan man holde et billede af en person op eller – lidt mere avanceret – lave silikonemasker, som ligner personen, for således at narre ansigtsgenkendelsesteknologien. ‘Deep fakes’ og 3D-teknologi gør, at man kan generere virkelig livagtige ansigter,« fortæller Brage Strand.

To personer – ét pas

I andre tilfælde kan man lave ansigter, som består 50 procent af én person og 50 procent af en anden, en såkaldt face morph.

»Får man sådan en ind i et pas, har man et billede, som giver positivt svar til mere end én person. Altså kan to personer bruge samme pas og passere gennem en paskontrol uden problemer,« siger Brage Strand, som påpeger, at den norske (og danske) praksis med at tage billedet på paskontoret er ret usædvanlig.

Mange andre steder uploader man sit pasfoto på nettet, og senere kontrolleres det så af de ansatte på paskontoret.

»Mennesker tager ofte fejl og bliver narret af face morphs,« siger Brage Strand.

At afsløre sådanne forsøg, kaldet face morph-detektion, er bare en af de mange problemstillinger knyttet til ansigtsgenkendelse, som Mobai arbejder med.

»Konkret vil vi udvikle løsninger, som gør brug af biometri, sikrere, og tilbyde dette til virksomheder,« forklarer Mobai-chefen.

Fysisk møde i banken unødvendig besværligt

Brage Strand mener, at den praksis, hvor banker kræver, at kunder fysisk møder op i nærmeste filial for at verificere deres identitet, i henhold til hvidvaskningslovgivningen, kunne være løst meget enklere:

»Med vores teknologi kunne man have gennemført en sikker verificering ved hjælp af pas og en smartphone.«

Det norske politis efterforskningsenhed, Kripos, kunne i sommer fortælle, at de var i gang med at uddanne et ekspertteam, som skulle vurdere tvivlstilfælde ved at sammenligne ansigter manuelt, såkaldt morfologisk analyse.

Mens Kripos' ekspertteam får oplæring i anatomi, billedanalyse og billedsammenligning samt kognitiv psykologi, tilbyder Mobai software, som skal opdage angreb mod ansigtsgenkendelsesløsninger, og værktøj til at opdage face morph-svindel.

»Vi vil tilbyde denne til udstedere af ID-dokumenter, som baserer sig på brugergenererede billeder, eller aktører, som kontrollerer ID-dokumenter ved f.eks. grænseovergange,« siger Brage Strand.

Ansigtsgenkendelse på smartphone ikke nødvendigvis særlig sikkert

Mange bekymrer sig om lagring af biometriske data og risikoen for, at de ender i de forkerte hænder. Hvordan har I adresseret bekymringer relateret til privacy?

»Vi bruger noget, som kaldes biometric template protection. Best practice er, at man ikke lagrer et faktisk billede, men en skabelon (template), altså en repræsentation af et billede. Så lægger man en kryptering ovenpå og specifikke mekanismer, som kan sammenlignes med hash-mekanismer, for at beskytte skabelonen. Hvis data skulle komme på afveje, vil det dermed ikke være så ligetil at overføre skabelonen til en anden algoritme,« fortæller Brage Strand og fortsætter:

»Så er der selvfølgelig forskel på, om man samler den type data i et centralt lager, eller lagrer det på enkeltenheder, som for eksempel lokalt på en mobiltelefon.«

Brage Strand har et par bemærkninger til den nye tendens med, at smartphones kan låses op ved hjælp af ansigtsgenkendelse.

»Det er brugervenligt og helt okay, men det er ikke af sikkerhedsmæssige årsager, man bruger det her. På en del telefoner er det måske også sikrere med password eller pinkode,« siger Brage Strand og henviser til de mange måder, hvorpå man kan narre den nuværende form for ansigtsgenkendelse.

FBI kommer med kraftig opfordring til industrien

Ideelt set bør man ikke kun bruge password eller ansigtsgenkendelse, men begge dele, mener Mobai-chefen.

Særligt i såkaldte højrisikoapplikationer anbefales det at bruge flere autentificeringsfaktorer.

Best pratice her er, at man kræver tre forskellige faktorer:

    1. noget, du ved (gerne et password),
    1. noget, du er (biometriske data, såsom fingeraftryk eller ansigt) og
    1. noget, du har (f.eks. din telefon).

Det er en afvejning mellem sikkerhed og brugervenlighed, påpeger Strand.

Han peger samtidig på det ironiske i, at mange er bekymrede for lagring af biometriske data i forbindelse med ansigtsgenkendelse, men samtidig giver tilsvarende data fra sig på Facebook med jævne mellemrum.

Mens førstnævnte ofte krypteres, oplever Facebook igen og igen læk af data. Andre data ligger åbent tilgængelige på Facebook.

»FBI udsendte en såkaldt industry notice i efteråret og opfordrede industrien til umiddelbart at få flere biometriske faktorer på plads for at øge sikkerhedsniveauet ved identificering og autentificering. Men det kommer til at tage tid. Et af de mest populære passwords er stadig ‘password’,« afslutter Brage Strand.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Rastrup

Det er brugervenligt og helt okay, men det er ikke af sikkerhedsmæssige årsager, man bruger det her. På en del telefoner er det måske også sikrere med password eller pinkode,

Jeg er lidt træt af folk, der kun udtaler sig ud fra deres egen sikkerhedsmodel.
For 99,99% af folk er ansigts- eller fingeraftrykgenkendelse en kraftig forøgelse af deres sikkerhed.
De 2 er årsagen til at vi ikke længere frygter tyveri/røveri af mobiltelefoner. Her vil en pinkode være svagere for den kan aflures.
Hvis din sikkerhedsmodel er at du skal beskytte dig mod stater eller målrettede angreb så er sagen en anden, men det er kun de få.

  • 9
  • 2
Maciej Szeliga

Jeg er lidt træt af folk, der kun udtaler sig ud fra deres egen sikkerhedsmodel.
For 99,99% af folk er ansigts- eller fingeraftrykgenkendelse en kraftig forøgelse af deres sikkerhed.
De 2 er årsagen til at vi ikke længere frygter tyveri/røveri af mobiltelefoner. Her vil en pinkode være svagere for den kan aflures.


Jeg er til gengæld træt af folk som mener at biometri løser alle sikkerhedsmæssige problemer - det løser "next to nothing" og giver masser af nye problemer - det mest oplagte problem er: hvad gør vi når de biometriske data først er kompromiterede???

Dine biometriske data kan også "aflures" så sikkerheden er den samme - du tror bare at du er sikrere: fingeraftryk spreder på alt hvad du rører men fordelen her er at du har 10 fingre at vælge imellem og ansigtet kan vi også aflure - skjult er det jo ikke medmindre du går med burka...

Det største problem er i virkeligheden at man på mange smartphones har begrænset længde på adgangskoden (aka. PIN), hvis man forventer at jeg kan huske 12+ tegns kode til min mail, hvorfor kan jeg så ikke også bruge 12+ tegn på min smartphone ???

  • 4
  • 4
Aa ge

De biometriske sikkerheds modeller lider alle samme svaghed og det er at de kan aflures uden dit vidende i princippet når du bevæger dig på offentlig vej.
En 4 cifret kode kan aflures samme sted eller ved et pasende program som bliver installeret på din device enten med eller uden dit vidende.
M.h.t. d 4 cifrede kode er du selv herre over hvor godt du håndterer og beskytter din sikkerhed omkring samme mens de, biometriske "koder" flasher du bare ved at gå en tur med hunden eller hvad du nu lige har i nærheden.
I sin tid da fingeraftryks læseren kom frem tog det nogle få timer før en kendt tysk hacker gruppe havde lavet en metode til at løfte et fingeraftryk fra en genstand som ofret havde rørt ved til, at de kunne bruge samme i læseren.
Ok de er self. blevet bedre end denne 1 generations læser og det er de andre følere/kameraer etc. måske også, men der er sikkert også nye metoder til at omgå disse, inklusiv iris læseren, hvis man kaster lidt resourcer ind i at hacke den.
"De 2 er årsagen til at vi ikke længere frygter tyveri/røveri af mobiltelefoner. Her vil en pinkode være svagere for den kan aflures"
Hvis du bliver passet op på gaden af røvere er det samme problem som hvis det var pinkoden der skulle anvendes for at åbne for herlighederne.
Hvis mobilen låser ordentligt efter tre forsøg med det konventionelle password er det samme scenario som med den biometriske adgang.
"Ud over at det er sværere at ændre din biometri"
Hvis din biometriske adgang er blevet kompromiteret kan selv eks. en ansigts løftning som regel ikke hjælpe dig hvis den da ikke omfatter interkraniale/ekstra-kranielle ændringer, som man normalt kun vil foretage i forbindelse med alvorlige ulykker, som eks. ændrer afstanden mellem de elementer i ansigtet som bruges i genkendelses algoritmen.
Og så kan det være et problem at ændre et "bio password".
Så frem og tilbage er lige langt, det er et spørgsmål i mine øjene om du vil hænges,skydes eller garrotteres.
Og når den første anvendelige kvante computer "vågner op" kan man glemme alt om at anvende de nuværende metoder med brugernavn, password, ekstra to-faktor-autificering etc. til adgangs kontrol til "devicerne", hvad man vil bruge i stedet kan jeg ikke regne ud kan du evt. ??
Bem.
Det er ikke altid jeg får besked ved nye kommntarer så indtil videre checker jeg do. manuelt med skiftende held.

  • 0
  • 0
Anne-Marie Krogsbøll

Har ikke selv en smartphone/iot, derfor dette spørgsmål: Hvad er brugerbetingelserne for at anvende ansigtsgenkendelse som password? Svarer det til brugerbetingelser for andre (for datagribbene) smarte brugerbetingelser, dvs. at ens biometriske data i det skjulte leveres videre til skumle kræfter af enhver art?

  • 1
  • 1
Kristian Rastrup

M.h.t. d 4 cifrede kode er du selv herre over hvor godt du håndterer og beskytter din sikkerhed omkring samme mens de, biometriske "koder" flasher du bare ved at gå en tur med hunden eller hvad du nu lige har i nærheden.


Jeg tænker du ikke har mødt mange brugere, ellers ville du foretrække biometri frem for almindelige menneskers håndtering af passwords.

eller ved et pasende program som bliver installeret på din device enten med eller uden dit vidende.


Hvis en angriber har adgang til at installere programmer på din enhed er din sikkerhedsmodel en helt anden end den vi snakker om her.

I sin tid da fingeraftryks læseren kom frem tog det nogle få timer før en kendt tysk hacker gruppe havde lavet en metode til at løfte et fingeraftryk fra en genstand som ofret havde rørt ved til, at de kunne bruge samme i læseren.


Med samme logik kan man sige at folk ikke bør have dørlåse på deres hoveddør, fordi en erfaren låsesmed kan lave en kopi i løbet af en time.
Men alligevel er jeg overbevist om at min dørlås løser mit problem med hvem, der har adgang til mit hjem på en tilstrækkelig og brugervenlig måde.

Min pointe er hvis du frygter et målrettet angreb så er din sikkerhedsmodel en helt anden end den generelle befolkning og du skal derfor tage nogle helt andre sikkerhedsmæssige foranstaltninger, men for resten af verden løser fingeraftryk/ansigtsgenkendelse et reelt sikkerhedsmæssigt problem på en brugervenlig måde og bedre end andre metoder.

  • 3
  • 0
Kristian Rastrup

Det største problem er i virkeligheden at man på mange smartphones har begrænset længde på adgangskoden (aka. PIN), hvis man forventer at jeg kan huske 12+ tegns kode til min mail, hvorfor kan jeg så ikke også bruge 12+ tegn på min smartphone ???

Den grundlæggende forskel mellem pinkoder og passwords er at styrken i pinkoder ligger i at din telefon og dit dankort låser efter få fejlslagne forsøg. Derfor kan man nøjes med færre tegn.
Og så bør du overveje en password manager så du ikke behøver huske dine passwords :)

  • 2
  • 0
Kristian Rastrup

Det gør adgangskoder så også, typisk 3 eller 5 forsøg, jeg ved ikke hvilke systemer du bruger... tilsyneladende ikke særligt sikre.


Min password manager siger jeg har logins til ~200 systemer (alt fra nemid over banker og SOME til diverse webshops og interessesites), af hvilke jeg kun gætter på højst 10% blokerer efter et bestemt antal forsøg.

  • 0
  • 0
Martin Dahl

Hvad er brugerbetingelserne for at anvende ansigtsgenkendelse som password? Svarer det til brugerbetingelser for andre (for datagribbene) smarte brugerbetingelser, dvs. at ens biometriske data i det skjulte leveres videre til skumle kræfter af enhver art?

GDPR slår fast at leverandøren skal have et udtrykkeligt samtykke for at behandle persondata, herunder formål for behandling.

Samtykke er ikke godkendelse af en lang EULA.

Hvis en virksomhed sælger dine biometriske data uden du har afkrydset en tydelig checkbox herom, så overtræder de og den købende part GDPR, såfremt den købende part behandler data udenfor det samtykkede formål.

  • 3
  • 0
Morten Vinding

... hvad gør vi når de biometriske data først er kompromiterede???


Hvor er jeg træt af at høre den vending!
Det er en gammeldags vinkel. Biometriske data bliver jo netop ikke kompromiterede, de er ikke hemmelige, ideen er bare at de er svær(ere?) at kopier end fx. et password.

fingeraftryk spreder på alt hvad du rører men fordelen her er at du har 10 fingre at vælge imellem


Så du rører konsekevnt kun ved ting med én finger, indtil den er blevet "kompromiteret", så skifter du til den næste?

hvis man forventer at jeg kan huske 12+ tegns kode til min mail, hvorfor kan jeg så ikke også bruge 12+ tegn på min smartphone ???


Fordi der ikke er nogen der gider indtaste en 12+ kode 100 gange om dagen for at låse deres telefon op?
Men jo der er selvfølgelig ingen fornuftig grund til at begrænse det i softwaren.

  • 2
  • 0
Morten Vinding

Svarer det til brugerbetingelser for andre (for datagribbene) smarte brugerbetingelser, dvs. at ens biometriske data i det skjulte leveres videre til skumle kræfter af enhver art?

I hvert fald Apple har lovet at bio-data ligger beskyttet på én chip på telefonen, og det aldrig forlader denne.

Også derfor at fingeraftrykslæseren ikke virker hvis du skifter "home" knap på en iPhone:
ellers ville man jo kunne skifte den ud med en der havde dit fingeraftryk lageret.

  • 1
  • 0
Anne-Marie Krogsbøll

Tak for svar, Martin Dahl og Morten Vinding. Vi må så håbe, at også andre producenter end Apple er ærlige her, og en ting er, om disse data sælges - hvis det kan fungere, uden at data forlader telefonen, så er der jo slet ingen grund til, at producenten selv skal have adgang til dem.

  • 0
  • 0
Aa ge

"M.h.t. d 4 cifrede kode er du selv herre over hvor godt du håndterer og beskytter din sikkerhed omkring samme mens de, biometriske "koder" flasher du bare ved at gå en tur med hunden eller hvad du nu lige har i nærheden.

Jeg tænker du ikke har mødt mange brugere, ellers ville du foretrække biometri frem for almindelige menneskers håndtering af passwords."

At en organisation ikke bruger tid på at uddanne sine brugere gør ikke sikkerheden ved biometri højere og at man så anvender samme er bare en dårlig undskyldning for ikke at indføre den nødvendige diciplin omkring håndteringen af konventionelle passwords.
En fyreseddel for gentagne brud på datadiciplin klarer som regel problemet.

"eller ved et pasende program som bliver installeret på din device enten med eller uden dit vidende.

Hvis en angriber har adgang til at installere programmer på din enhed er din sikkerhedsmodel en helt anden end den vi snakker om her."

Jeg har svært ved at se at den model du hentyder til har noget som helst at gøre med sikkerhed.

"I sin tid da fingeraftryks læseren kom frem tog det nogle få timer før en kendt tysk hacker gruppe havde lavet en metode til at løfte et fingeraftryk fra en genstand som ofret havde rørt ved til, at de kunne bruge samme i læseren.

"Med samme logik kan man sige at folk ikke bør have dørlåse på deres hoveddør, fordi en erfaren låsesmed kan lave en kopi i løbet af en time.
Men alligevel er jeg overbevist om at min dørlås løser mit problem med hvem, der har adgang til mit hjem på en tilstrækkelig og brugervenlig måde.

Min pointe er hvis du frygter et målrettet angreb så er din sikkerhedsmodel en helt anden end den generelle befolkning og du skal derfor tage nogle helt andre sikkerhedsmæssige foranstaltninger, men for resten af verden løser fingeraftryk/ansigtsgenkendelse et reelt sikkerhedsmæssigt problem på en brugervenlig måde og bedre end andre metoder"

Hvad er det for en låsesmed der kan lave en kopi af mine låse på en time ham gad jeg godt kende :)))
Hvis det er nøglerne du mener skal vedkommende der kopierer dem havde fysisk adgang til dem i nogle timer, og så er man selv, igen herre over hvor godt man beskytter nøglerne og yderligere kan man bruge låse der ikke kan dirkes op, men skal bores op, da fidusen ved den mekaniske lås er at der efterlades umiskendelige spor efter et indbrud (som forsikrings selskaberne anerkender), hvilket ikke er tilfældet hvis man bruger "elektroniske" do.

Så du vil garantere at "den generelle"l befolkning ikke skal frygte at blive udsat for et målrettet angreb !!!,, seriøst ??
Hvorfor skal den generelle befolkning bildes ind at biometriske systemer giver nogen som helst form for sikkerhed og hvorfor skal de ikke have en ordentlig do. ?
Løsningen må ligge i at uddanne og oplyse folk ordentligt så de ved hvad de har at gøre med.
Men selvfølgelig hvis 170,000,000 mia. fluer syntes at lort er godt så er lort godt.
Jeg har forstået dit budskab men syntes du ikke at det er farligt at man ikke tager sikkerhed så alvornligt at man accepterer halve løsninger som biometri ??
Du anser det for "godt nok" fordi du accepterer at brugerne ikke tager sikkerhed så seriøst som de burde gøre når nu de kan have en nemid og sikkert i en ikke så fjern fremtid den digitale krone på mobilen ??
Tilgiv mig lige igen for det langsomme svar, jeg får stadig ikke besked ved nye kommentarer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere