Biometrikus hitelesítés szintjei
A Which? elemzése szerint a mobilkészülékek arcfelismeréses feloldás biztonsági szintje erősen heterogén, és számos implementáció nem teljesíti a biometrikus erős hitelesítés követelményeit. A vizsgált eszközök jelentős részében a face unlock funkció valójában kétdimenziós képfeldolgozáson alapuló azonosítás, amely nem tartalmaz megfelelő liveness detection mechanizmust, így nem képes megbízhatóan ellenőrizni, hogy a bemenet egy élő személyhez tartozik-e.
A tesztek azt mutatták, hogy az ilyen rendszerek jelentős hányada prezentációs támadásokkal megkerülhető, például egy jó minőségű, nyomtatott arcképpel. Ez arra utal, hogy a feldolgozás során hiányzik a mélységi információk, infravörös mintázatok vagy strukturált fény alapú validáció, amely a 3D biometrikus rendszerek esetében alapvető. Ennek következtében a rendszer false acceptance rate értéke gyakorlatban lényegesen magasabb lehet, mint amit egy biztonsági célú autentikációs megoldásnál elfogadhatónak tekintenek.
Az olyan gyártók, mint a Motorola, OnePlus, Oppo vagy Nothing több modellje esetében is ugyanaz a technikai minta jelenik meg: a face unlock funkció nem minősül erős hitelesítési mechanizmusnak, mégis aktívan elérhető a felhasználók számára megfelelő kockázati kommunikáció nélkül.
A probléma nem kizárólag technológiai, hanem implementációs és felhasználói szintű is. Több gyártó a funkciót nem biztonsági, hanem felhasználói kényelmi mechanizmusként pozicionálja, amit az is jelez, hogy az ilyen azonosítás gyakran nem használható magas kockázatú műveletekhez. Ugyanakkor a felhasználók ezt nem mindig érzékelik, és implicit módon biztonsági kontrollként kezelik.
Egy sikeres eszközfeloldás hozzáférést adhat lokálisan tárolt adatokhoz, valamint lehetőséget teremt további hitelesítési folyamatok megkerülésére, például jelszó-reset mechanizmusokon vagy session-alapú hozzáféréseken keresztül. Ez különösen releváns olyan környezetben, ahol a mobil eszköz más rendszerekhez elsődleges hozzáférési pontként szolgál.
A face unlock megoldások jelentős része nem tekinthető magas biztonsági szintű biometrikus autentikációnak, hanem inkább alacsonyabb megbízhatóságú, kényelmi funkció. Biztonsági szempontból csak azok a rendszerek tekinthetők megfelelőnek, amelyek hardveresen támogatott, több szenzoros, így infravörös és mélységérzékelés ellenőrzést és robusztus liveness detekciót alkalmaznak.
