Video: Et par briller er nok til at narre ansigtsgenkendelsen i Android 4.0

29. februar 2012 kl. 14:3612
Version2 viser i denne video, hvor let det er at snyde låsemekanismen med ansigtsgenkendelse i Android 4.0.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Udstyret med en kollegas briller kan Version2's journalist uden problemer åbne kollegaens Galaxy Nexus-telefon, selvom den burde være låst med ansigtsgenkendelse.

Se videoen her:

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
1. marts 2012 kl. 00:32

... har intet med sikkerhed at gøre. Kan vi ikke aflive den diskussione én gang for altid?

Biometriske kendetegn er pr. definition offentligt tilgængelige, og derfor kan de aldrig bruges til at bevise, at du er den, du påstår at være. Biometri kan i visse situationer være en bekvem måde at identificere brugeren på overfor et system, men ikke til at autentificere, at brugeren faktisk er den, hyn påstår at være, da den biometriske information netop er offentligt tilgængelig. Biometri har derfor intet som helst med sikkerhed at gøre.

Sensationen i denne historie er faktisk mest, at verdenspressen endnu en gang er hoppet på limpinden og har troet på producentens forsikringer om, at biometri kan bruges som en "sikker" metode til adgangskontrol. Sikkerhedskoryfæer, bl.a. Bruce Schneier, aflivede dén myte i forrige årtusinde - !

V2-journalister: Kom op på beatet!

7
2. marts 2012 kl. 11:11

Fingeraftryk bruges i høj grad til at bevise, hvem der er hvem. Det samme gælder blodårer-kredsløb i hånden og fingeren.

http://www.fujitsu.com/us/services/biometrics/palm-vein/

Jeg er ikke meget for at henvise til Wikipeadia, men de har en fin figur der viser genkendelses-forløbet.

Biometri er mere end du giver udtryk for i dit indlæg.

Det skal hertil siges at denne kommentar udelukkende er i henhold til generel biometri, og ikke ansigtsgenkendelse.

Hvis man gerne vil have højere sikkerhed og langsomere genkendelse indenfor ansigtsgenkendelse, kan man evt. bruge Active Appearance Models introduceret af Tim Cootes.

8
2. marts 2012 kl. 11:54

@Martin Bornhøft: I stedet for at skrive en længere epistel om, hvorfor det ikke duer, så vil jeg henvise til disse to artikler:http://www.schneier.com/crypto-gram-9808.html#biometricshttp://technet.microsoft.com/library/cc512578.aspx

Som Bruce Schneieer skriver: "Biometrics are unique identifiers, but they are not secrets. (Repeat that sentence until it sinks in.)"

Det hele ligger i forståelsen af og en skarp skelnen mellem 'identifikation', 'autentifikation' og 'autorisation'. Biometri kan bruges til identifikation, men ikke til autentifikation. Så simpelt er det - også selv om masser af leverandører af diverse systemer påstår, at nu har de lavet et system, som kan levere "highly reliable biometric authentication" (for nu at citere fra den side, du selv har refereret til).

9
2. marts 2012 kl. 12:41

Blodårerne inde i en person er ikke offentligt tilgængelige, og er derfor hemmelige. Det er nemmere at få fat i et ID-kort end det er at "stjæle" info om blodårer i kroppen.

Men det er rigtigt at et autentifikations-system som regel bruger biometriske data til at identifisere en person.

12
2. marts 2012 kl. 14:08

@Martin Bornhøft: Hvis et biometrisk system A kan aflæse et givet biometrisk kendetegn, så kan et, evt. identisk, biometrisk system B også gøre det, evt. uden at ejeren er vidende om det. Derefter er det "blot" at præsentere informationen opsamlet af system B for system A på en tilstrækkeligt naturtro måde, altså kun et teknisk problem (nogle vil måske ligefrem kalde det en ingeniørmæssig udfordring). Diverse undersøgelser viser, at langt hovedparten af de tilgængelige biometriske systemer kan snydes både hurtigt og billigt, se fx http://cryptome.org/gummy.htm.

Det er da rigtigt, at der er eller kan være biometriske kendetegn, som er skjult dybt inde i kroppen og ikke kan aflæses udefra - og dermed kan siges at være hemmelige - men så er de jo altså også uanvendelige i et biometrisk adgangskontrolsystem; for at et sådant kan fungere, så skal kendetegnene jo netop være aflæselige.

Hvis man i rimelig grad kan sikre, at der ikke er nogen, som forsøger at snyde et biometrisk system, så kan det være en udmærket identofikationsmetode. Men sikkerheden ligger i overvågningen af, at der ikke bliver forsøgt at snyde systemet. "The biometric identification system at the gates of the CIA headquarters works because there's a guard with a large gun making sure no one is trying to fool the system.", som Bruce Schneier skriver her: http://www.schneier.com/blog/archives/2009/01/biometrics.html

Hvis fortrolige informationer på en mobiltelefon skal beskyttes v.h.a. biometrisk identifikation, så skal der altså til stadighed stå en bevæbnet vagt ved siden af telefonen - næppe et realistisk scenarie...

10
2. marts 2012 kl. 13:05

Og skulle man have misset pointen i det, Bruce Schneier (og mange andre) siger, så er den, at biometri kan erstatte brugernavnet, men ikke adgangskoden, sådan meget forsimplet.

5
29. februar 2012 kl. 21:52

Hvis man forstiller sig en telefon (eller tablet) med flere brugere (ligesom en PC) kan ansigtgenkendelse bruges til hurtigere at detektere brugeren. Frem for at man skal indtaste initialer. Som Michael nævner, bruger børnene ofte deres forældres smartphones og tablets. Her kan man lave en registrering af brugeren før barnet kan skrive eller indtaste koden.

4
29. februar 2012 kl. 21:13

Udviklerne af funktionaliteten har formodentligt været bekendt med begrænsningerne. Så kan man diskutere om det var klogt at medtage den funktionalitet, da den kan give en falsk tryghed. Men hvis det er som alternativ til slide-til-højre for at låse op, så er det da lige et trin bedre. Og så er da da spændende at se hvor gammelt dit barn skal være, før det finder ud af, at låse telefonen op med et billede fra væggen :-)

2
29. februar 2012 kl. 16:51

Google persongenkendelse i Picasa har også altid været glad for billeder med billeder af personer i baggrunden.. Det er ikke nemt at skille levende fra 'døde' i 2D

3
29. februar 2012 kl. 19:33

Det er uden tvivl ikke trivielt at lave den slags funktionaliteter, men hvis man ikke kan gøre det bedre end det der bliver demonstreret så skal man helt undlade. Lige pt. er det direkte ubrugeligt og risikere at give brugeren en falsk tryghed.

Det er ikke nemt at foretage en sådan scanning i 2D, men det burde er være en hel række måder at overkomme på. Fx. vil et printet billede ikke have nogen bevægelser inden for ansigtets rammer, mens en levende person konstant vil have små mikrobevægelser som man kunne "holde øje med". Man kunne også lave funktionen så telefonen skulle bevæges fra højre mod venstre og derved give kameraet mulighed for at registrere dybde og sådan kan jeg finde på flere metoder der kunne benyttes.

1
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 02/29/2012 - 16:03

Hvis din telefon med ansigtsgenkendelse forsvinder, er man ikke længere beskyttet med kode. (Forudsat at den kan låses op med ansigtsgenkendelse).

En hver, kan både tage et billede af dit ansigt, og negle din telefon, og du vil så ikke engang være beskyttet med kode.

Paradis for lommetyve, der nu kan negle din telefon og bruge den med det samme.

Har du adgang med din telefon, til et sted på nettet, Bank, NemID eller lignende, så kan man negle din telefon, bruge den til at foretage handlinger i "dit navn", og oven i købet, liste telefonen tilbage i lommen på dig. Mulighederne er uendelige ;)

Så husk ! Brug kode og hold den skjult for andre.