Lo sblocco del telefono con la faccia non mi pare una buona idea…

dare il dito e’ un gesto attivo.
essere inquadrato e’ un gesto passivo.

vi ricordate la vicenda di sblocco del telefono da parte della polizia ? non sara’ piu’ un problema.
(ma nemmeno per il tuo compagno/compagna, mentre dormi…)

ma a parte questi risvolti positivi/negativi, in genere, usare la biometria per autenticare, come ho sempre scritto, non è una grande idea.

Scrive Alberto Cammozzo: Ci sono approcci di spoofing (falsificazione dell’identità) molto raffinati che consentono l’impersonamento di chiunque stampando degli occhiali ad-hoc.

Scrive Gabriele Elia:  Apple ha aggiunto un sensore infrarossi ma si farà il defeat anche di quello Apple come degli altri

Hackers Trick Facial-Recognition Logins With Photos From Facebook (What Else?)

Earlier this month at the Usenix security conference, security and computer vision specialists from the University of North Carolina presented a system that uses digital 3-D facial models based on publicly available photos and displayed with mobile virtual reality technology to defeat facial recognition systems. A VR-style face, rendered in three dimensions, gives the motion and depth cues that a security system is generally checking for. The researchers used a VR system shown on a smartphone’s screen for its accessibility and portability.

Their attack, which successfully spoofed four of the five systems they tried, is a reminder of the downside to authenticating your identity with biometrics. By and large your bodily features remain constant, so if your biometric data is compromised or publicly available, it’s at risk of being recorded and exploited. Faces plastered across the web on social media are especially vulnerable—look no further than the wealth of facial biometric data literally called Facebook.

 

If you like this post, please consider sharing it.

4 thoughts on “Lo sblocco del telefono con la faccia non mi pare una buona idea…”

  1. Pensiamo anche a quante volte abbiamo lo smartphone sul tavolo e clicchiamo per vedere un po’ cosa accade. Saremmo costretti a alzarlo e inquadrarci o inserire un pin. Non mi sembra un passo avanti.

  2. Stefano, a mio avviso ha successo per una sola questione di comodità… Io sblocco il telefono 50 volte al giorno e averlo istantaneamente sbloccato posando semplicemente il dito è molto comodo. Il pin è stressante, il disegnino da fare è pure stressante.
    Il face-id forse è eccessivo. Ma in quanto a sicurezza mi pare sia maggiore dell’impronta. Puoi personalizzare con una smorfia segreta che solo tu sai ed anche se uno fa un modello in 3d del tuo viso ma non sa la smorfia segreta non si apre.

  3. Secondo me il sistema in se non è diverso da qualunque altro sistema biometrico: che sia coinvolta la faccia il dito, l’orecchio o la lingua. L’implementazione, invece, può fare la differenza. Il link dell’hacking del face3d è roba vecchia che mi stupirei se funzionasse con la prima implementazione dell’iPhone-X, e comunque richiede non poco sforzo.

    MOLTO MOLTO più facile riuscire a beccare il pin o lo scarabocchio cercando di riprendere l’utente mentre sblocca (o guardandolo attentamente qualche volta).

    La realtà dei fatti è che se tu inserisci il tuo PIN 100 volte al giorno sarà BANALE per qualcuno interessato riuscire a scoprirlo: se ti guardo/riprendo piuttosto a lungo prima o poi ti vedo. Per la maggior parte del target il PIN probabilmente lo puoi indovinare con pochi tentativi conoscendo la loro data di nascita o altra data rilevante. Unisci qualche sguardo a qualche ipotesi di PIN e al massimo dopo un’ora in tua compagnia e 4-5 sblocchi con PIN so il tuo PIN (a meno che tu non sia uno di quelli che quando arriva una notifica o una telefonata vanno in bagno a sbloccare il telefono, nel qual caso mi servirebbe una microcamera piazzata nel posto dove penso che sbloccherai spesso il telefono). Nel tempo che ti organizzi per costruire i modelli 3D ti faccio la pila di PIN 😉

    Se funziona come l’impronta in ogni caso ricordati che il PIN all’accensione serve comunque, l’impronta ti serve solo per gli sblocchi successivi più “soft”. Ci sono già meccanismi che rendono più soft/hard i requisiti di autenticazione in base alla presenza di un device bluetooth nelle vicinanze o alle coordinate GPS in cui ti trovi (sono in casa allora mi accontento del faceid, se sono in un posto che frequento abitualmente mi fai il faceid se non sono passati più di 30 minuti dall’ultimo lock, se sono se sono in un posto in cui non sono mai stato allora mi chiedi sempre il pin a meno che il blocco non fosse di meno di 10 minuti prima).

    Ridurre le richieste di PIN è un INCREMENTO della sicurezza, non una riduzione, almeno fino a quando non riusciremo ad imparare a mente meccanismi di crittografia asimmetrica e poter dare un pin diverso ogni volta in base ad un hash proposto dal telefono.

    Non facciamo l’errore fatto in passato di perseguire false ideologie di sicurezza per cui chiediamo alla gente di cambiare password ogni 30 giorni e così questa si riduce ad usare la stessa password (con nome del mese e numero dell’anno al suo interno) su tutti i siti o scriverla in chiaro sul postit a fianco del PC, se non peggio. Ci vuole molto pragmatismo.

    Io conosco tantissima gente che non ha alcun tipo di blocco sul telefonino perchè non ritiene plausibile doverlo sbloccare tutte le volte con un PIN o con una sequenza tra 9 punti o un disegno o altre tecniche ma che avendo il touchid almeno usa quello. E’ craccabile più di un PIN? Dipende da quali sicurezze adotti nella scelta del PIN e nell’uso dello stesso, per la maggior parte della gente NO. E’ craccabile più di un telefono senza alcuna protezione? NO.

    Non vedo motivi per cui un faceid dovrebbe essere intrinsecamente più debole di un touchid.

    Concordo quando dici (altrove) che l’autenticazione biometrica ha il grosso problema di non essere “modificabile” quindi, persa l’impronta persa per sempre la sua validità di autenticazione (non puoi cambiarti le dita o la faccia come cambi un pin o una password), però già usata come “soft-auth” la vedo più facile.

    Dovremmo anche smettere di riconoscere gli amici solo per il loro aspetto e cominciare ad accordare password di riconoscimento perchè prima o poi qualcuno riuscirà a costruire robot che assomiglieranno del tutto a nostra mamma e noi ci troveremo a confidare segreti a sconosciuti. Come faremo a capire che un nostro conoscente è stato sostituito da un fake? Se non metti un qualche tipo di interazione di fatto lo fai basandoti su una autenticazione biometrica.

    Se uno è in grado di rubarti lo smartphone e sbloccarlo grazie ad un modello 3d della tua faccia credo sia in grado anche di rubarti il portafogli , imparare la tua firma e camuffarsi abbastanza bene da riuscire ad andare in banca a fare prelievi dal tuo conto corrente.

  4. Secondo me, questi miglioramenti servono solo per la comodità del’utente. Se lui vuole mantenere segrete le informazioni sul suo telefono deve usare codici pin o comunque cose più sicure.

Leave a Comment

Your email address will not be published. Required fields are marked *