Un nuevo enfoque de autenticación de inicio de sesión podría mejorar la seguridad de las técnicas biométricas actuales que se basan en videos o imágenes de los rostros de los usuarios. Conocido como Captcha en tiempo real, la técnica utiliza un "desafío" único que es fácil para los humanos, pero difícil para los atacantes que pueden estar utilizando software de aprendizaje automático y generación de imágenes para engañar a los usuarios legítimos.

El Captcha en tiempo real requiere que los usuarios miren en la cámara incorporada de su teléfono móvil mientras responden una pregunta seleccionada al azar que aparece dentro de un Captcha en las pantallas de los dispositivos. La respuesta debe darse dentro de un período de tiempo limitado que sea demasiado corto para que la inteligencia artificial o los programas de aprendizaje automático respondan. El Captcha complementaría las técnicas de autenticación basadas en imágenes y audio que los atacantes pueden falsificar y que pueden encontrar y modificar imágenes. vídeo y audio de los usuarios, o robarlos de dispositivos móviles.

La técnica se describirá el 19 de febrero en el Simposio de seguridad de redes y sistemas distribuidos (NDSS) 2018 en San Diego, Calif. Con el apoyo de la Oficina de Investigación Naval (ONR) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), la investigación fue realizada por especialistas en seguridad cibernética del Instituto de Tecnología de Georgia.

"Los atacantes ahora saben qué esperar con la autenticación que les pide que sonrían o parpadeen, para que puedan producir un modelo parpadeante o una cara sonriente en tiempo real con relativa facilidad, "dijo Erkam Uzun, asistente de investigación graduado en la Escuela de Ciencias de la Computación de Georgia Tech y primer autor del artículo. "Estamos haciendo el desafío más difícil al enviar a los usuarios solicitudes impredecibles y limitar el tiempo de respuesta para descartar la interacción de la máquina".

Como parte de los esfuerzos para eliminar las contraseñas tradicionales para los inicios de sesión, los dispositivos móviles y los servicios en línea se están moviendo hacia técnicas biométricas que utilizan un rostro humano, retina u otro atributo biológico para verificar quién está intentando iniciar sesión. El iPhone X está diseñado para desbloquearse con la cara del usuario, por ejemplo, mientras que otros sistemas utilizan segmentos de video cortos de un usuario asintiendo, parpadeando o sonriendo.

En el juego del gato y el ratón de la seguridad cibernética, esos datos biométricos pueden ser falsificados o robados, que obligará a las empresas a encontrar mejores enfoques, dijo Wenke Lee, profesor de la Facultad de Ciencias de la Computación de Georgia Tech y codirector del Instituto de Seguridad y Privacidad de la Información de Georgia Tech.

"Si el atacante sabe que la autenticación se basa en el reconocimiento de un rostro, pueden usar un algoritmo para sintetizar una imagen falsa para hacerse pasar por el usuario real, ", Dijo Lee." Pero al presentar un desafío seleccionado al azar incrustado en una imagen Captcha, podemos evitar que el atacante sepa qué esperar. La seguridad de nuestro sistema proviene de un desafío que es fácil para un humano, pero difícil para una máquina ".

En las pruebas realizadas con 30 sujetos, los humanos pudieron responder a los desafíos en un segundo o menos. Las mejores máquinas requerían entre seis y diez segundos para decodificar la pregunta del Captcha y responder con un video y audio falsos. "Esto nos permite determinar rápidamente si la respuesta proviene de una máquina o de un humano, "Dijo Uzun.

El nuevo enfoque requeriría que las solicitudes de inicio de sesión pasen cuatro pruebas:reconocimiento exitoso de una pregunta de desafío desde un Captcha, respuesta dentro de una ventana de tiempo estrecha que solo los humanos pueden cumplir, y coincidencias exitosas con la imagen y la voz pregrabadas del usuario legítimo.

"Usar el reconocimiento facial solo para la autenticación probablemente no sea lo suficientemente fuerte, ", dijo Lee." Queremos combinar eso con Captcha, una tecnología probada. Si combina los dos, eso hará que la tecnología de reconocimiento facial sea mucho más fuerte ".

La tecnología Captcha, originalmente un acrónimo de "prueba de Turing pública completamente automatizada para diferenciar a las computadoras y los humanos", se usa ampliamente para evitar que los bots accedan a formularios en sitios web. Funciona aprovechando la capacidad superior de un ser humano para reconocer patrones en imágenes. El enfoque de Captcha en tiempo real iría más allá de lo que se requiere en los sitios web al generar una respuesta que producirá video y audio en vivo que luego se compararán con el perfil de seguridad almacenado de un usuario.

Los desafíos de Captcha pueden implicar el reconocimiento de letras revueltas o la resolución de problemas matemáticos simples. La idea sería permitir que los humanos respondan antes de que las máquinas puedan siquiera reconocer la pregunta.

"Hacer sonreír o parpadear una imagen fija solo lleva unos segundos, pero romper nuestros cambios de Captcha lleva diez segundos o más, "dijo Uzun.

Al intentar mejorar la autenticación, los investigadores estudiaron el software de falsificación de imágenes y decidieron probar un nuevo enfoque, esperando abrir un nuevo frente en la batalla contra los atacantes. El enfoque mueve la tarea del atacante de generar un video convincente a romper un Captcha.

"Analizamos el problema sabiendo lo que probablemente harían los atacantes, "dijo Simon Pak Ho Chung, un científico investigador en la Escuela de Ciencias de la Computación de Georgia Tech. "Mejorar la calidad de la imagen es una posible respuesta, pero queríamos crear un juego completamente nuevo ".

El enfoque de Captcha en tiempo real no debería cambiar significativamente los requisitos de ancho de banda, ya que la imagen Captcha enviada a los dispositivos móviles es pequeña y los esquemas de autenticación ya estaban transmitiendo video y audio. Dijo Chung.

Entre los desafíos en el futuro está superar la dificultad de reconocer el habla en un entorno ruidoso y asegurar la conexión entre la cámara del dispositivo y el servidor de autenticación.

"Para cualquier mecanismo de seguridad que desarrollemos, primero debemos preocuparnos por la seguridad del mecanismo, ", Dijo Lee." Una vez que desarrolle la tecnología de seguridad, se convierte en un objetivo para los atacantes, y eso ciertamente se aplica a la tecnología biométrica ".