Kategorien: Sicherheit

Die häufigsten Gesichtserkennungs-Spoofing-Methoden und wie man sie verhindern kann

Hand

Die Gesichtserkennungstechnologie macht viele Lebensbereiche komfortabler. Die Menschen können ihre Identität jetzt auch ohne Passwort oder Fingerabdruck überprüfen. Diese Technologien ermöglichen es Massen von Menschen, Gebäude ohne Schlüssel zu betreten oder leicht durch die Flughafensicherheit zu kommen. Aber wie bei jeder anderen Technologie zum Schutz der Privatsphäre zielen die Betrüger auf die Gesichtserkennung durch Spoofing ab.

Die Folgen eines erfolgreichen Gesichtserkennungs-Spoofing-Angriffs sind oft recht schwerwiegend. Hacker können sich unbefugten Zugang zu sicheren Gebäuden, Wohnungen oder Einrichtungen verschaffen. DieTäter können einfach ein- und ausgehen, ohne auch nur ein Schloss zu knacken. Die Folgen reichen von Diebstahl vertraulicher Daten bis zur Sabotage kritischer Systeme und Infrastruktur.

Erfahren Sie mehr über die häufigsten Gesichtserkennungs-Spoofing-Methoden und finden Sie heraus, was Sie tun können, um sie zu erkennen und zu verhindern.

Die zwei häufigsten Spoofing-Methoden der Gesichtserkennung

Wenn Gesichts-Spoofing stattfindet, geschieht dies gewöhnlich unter dem Deckmantel eines sogenannten Präsentationsangriffs. Das „Biometrics Institute“ beschreibt es als Gesichtserkennungs-Spoofing, das durch illegal erlangte biometrische Daten erfolgt. Entweder direkt oder verdeckt von einer Person online oder durch gehackte Systeme. Angriffe auf Präsentationen können auf zwei Arten erfolgen: Statische 2D- oder statische 3D-Angriffe.

Statische 2D-Präsentationsangriffe verwenden zweidimensionale flache Objekte wie Fotos, Papier oder Masken. Gesichtserkennungssysteme mit minimalen Sicherheitsvorkehrungen sind überraschend anfällig für gut produzierte 2D-Medien. Raffiniertere 2D-Angriffe verwenden Smartphone- oder Tablet-Bildschirme, um Bilder nacheinander aufblitzen zu lassen und so Live-Bewegungen nachzuahmen.

Statische 3D-Angriffe gehen noch einen Schritt weiter und verwenden gedruckte 3D-Masken, Skulpturen oder Gesichtsreproduktionen. Dies hilft, leistungsfähigere Erkennungssysteme zu umgehen, die auf vielen Gesichtsdatenpunkten oder sogar Bewegungen beruhen. Einige statische 3D-Angriffe stützen sich sogar auf Roboter, die einzigartige Gesichtsausdrücke erzeugen.

Statische 2D-Angriffe sind aufgrund der für 3D-Angriffe erforderlichen Technologie derzeit die gängigere Methode des Gesichtserkennungs-Spoofings.

Doch mit der Weiterentwicklung von Technologien wie 3D-Druck und Robotik müssen Organisationen Schutzmaßnahmen gegen beide Taktiken entwickeln.

Schutz vor Spoofing-Angriffen auf die Gesichtserkennung

Die meisten Anti-Spoofing-Methoden fallen unter den Begriff „Lebendigkeitserkennung“. Das Ziel der Lebendigkeitserkennung ist es, festzustellen, ob ein Gesicht „lebendig“ und echt oder eine falsche Reproduktion ist. Dies ist auf verschiedene Arten möglich.

Die Lidschlag-Erkennung ist eine der einfachsten – und doch effektivsten – Methoden zur Erkennung von Lebhaftigkeit. Die Reproduktion der einzigartigen Blinzelmuster eines authentifizierten Benutzers ist selbst mit fortgeschrittenen 3D-Präsentationsangriffen nahezu unmöglich. Bei der Lidschlag-Erkennung werden Muster beobachtet, die die Lidschlagintervalle und die durchschnittliche Zeit, in der die Augen des Benutzers geschlossen bleiben, miteinander verbinden. Wenn ein betrügerischer Benutzer nicht dieselben Merkmale aufweist, wird ihm der Zugriff verweigert.

Die interaktive Live-Gesichtserkennung geht noch einen Schritt weiter und bietet noch mehr Sicherheit. Anstatt sich auf unwillkürliche Bewegungen wie einen Wimpernschlag zu verlassen, veranlasst die interaktive Erkennung die Benutzer, bestimmte Gesichtsaktionen durchzuführen. Auch als Challenge-Response-Verfahren bezeichnet, müssen die Benutzer Dinge wie Nicken, Lächeln oder Kopfbewegungen ausführen. Kriminelle, die diese Aktionen nicht genau wie der authentifizierte Benutzer ausführen, werden kurzerhand zurückgewiesen.

3D-Kameras sind ein zuverlässiges und effektives Mittel, um Angriffe auf 2D-Präsentationen zu verhindern. 3D-Kameras erkennen Bilder mit präziser Pixeltiefe und erkennen so falsche 2D-Objekte mit Leichtigkeit. Dadurch werden selbst die raffiniertesten Smartphone-Gesichtsnachbildungen sowie Fotos und flache Masken wirkungslos.

Schließlich ist der aktive Blitz eine fortschrittliche und vielversprechende Technologie, die sowohl 2D- als auch 3D-Angriffe verhindert. Eine Kamera blitzt mit Licht auf das Gesicht und verwendet die Reflexion, um festzustellen, ob es sich um ein echtes Gesicht oder eine Reproduktion handelt. Smartphone-Bildschirme und Fotos reflektieren das Licht anders als echte Gesichter, was den aktiven Blitz zu einer wirksamen Technik macht. Ein Nachteil ist, dass die Umgebungsbeleuchtung einen Einfluss auf die Erkennungsgenauigkeit haben kann.

Mit Technologie die schlechten Absichten überlisten

Welche Technologie am besten geeignet ist, hängt vom jeweiligen Anwendungsfall ab. Benutzer von Banking-Apps wünschen sich in der Regel einen schnellen Zugriff, was z.B. eine Challenge-Response unpraktisch macht. Daher könnte ein aktiver Blitz geeigneter sein. Wenn sich die Gesichtserkennungskamera außerhalb eines Gebäudes oder einer Wohnung befindet, ist eine 3D-Kamera mit Blinzelerkennung eine gute Lösung.

Parallel zu den sich entwickelnden Technologien versuchen die Kriminellen jedoch auch immer neuere, fortschrittlichere Methoden der Gesichtserkennung, um Spoofing zu betreiben. Daher müssen Unternehmen verstehen, wie Angriffe auf 2D- und 3D-Präsentationen funktionieren, und die richtige Technologie für ihren Anwendungsfall wählen, um diejenigen mit bösen Absichten fernzuhalten.

Marc Faresse

Marc Faresse

Marc ist ein Experte für AI und Videoanalyse innerhalb des Group Innovation Management Teams bei dormakaba. Mit seiner langjährigen Erfahrung, die er innerhalb und außerhalb des Unternehmens gesammelt hat, unterstützt er dormakaba bei der Einführung von AI-basierten Technologien wie der Gesichtserkennung.