Computergenererede fingeraftryk kan imitere de rigtige ved biometrisk adgangskontrol.
Adgangskontrol via fingeraftryk kan snydes med fake fingeraftryk genereret via AI (kunstig intelligens). Det skriver avisen The Guardian.
Det er lykkedes et hold forskere fra New York University at lave et bagkatalog over gængse fingeraftryk som de kalder DeepMasterPrints. Kataloget er skabt via maskinlæring.
Bagkataloget fungerer som et bundt hovednøgler (master keys) for biometrisk adgangskontrol, hvor der benyttes fingeraftryk for adgang.
I én adgangskontrol hvor fejlraten var angivet til 1 ud af 1.000 der gav deres kunstigt genererede fingeraftryk en fejlrate på blot 1 ud af 5.
Forskerne påpeger, at det ikke handler om at skyde fingeraftrykslæsere ned som usikre, men om at udstille de svagheder der kan være, med henblik på at få udviklet mere sikre systemer i fremtiden.
Hvordan?
Fingeraftryk er unikke for en person. Der er aldrig fundet to personer med præcis samme fingeraftryk.
Hvordan kan forskerne så snyde adgangskontroller vha. disse computergenererede ‘master’-aftryk?
Det handler om at fingeraftrykslæsere ikke er perfekte. Der er ofte sparet her og der for at holde kostprisen nede og for at sikre en forholdsvis hurtig ekspeditionstid.
Af ergonomiske hensyn scanner de fleste fingeraftrykslæsere kun et udsnit af fingeraftrykket. Herefter regner de sig frem til hvilken del af fingeren der berører scanneren. Det scannede udsnit holdes herefter op imod referencerne med det komplette fingeraftryk, for adgang.
Dette sammenholdt med at nogle træk ved fingeraftryk er mere almindelige end andre. Det betyder at deres fake fingeraftryk indeholder flere af disse almindelige træk, hvilken forøger chancen for et match.
Herefter benyttede de AI til at generere så mange varianter af disse fingeraftryk-udsnit som muligt.
Teknikken kan også generere hele fingeraftryk som aldrig har eksisteret, men som ligner ægte fingeraftryk der kan snyde det menneskelige øje. Tidligere har det kun været muligt at generere falske fingeraftryk der kunne snyde scannere, men ikke snyde en visuel inspektion under lup.
Med bagkataloget på plads kunne forskerne udføre et ‘ordbogsangreb’ på fingeraftryks-scannere, og dermed påvise at det er muligt at lave computergenererede fingeraftryk der kan åbne biometrisk adgangskontrol.
Et ordbogsangreb svarer til at hackere forsøger at komme ind i et system ved at forsøge med mange forskellige brugernavne og kodeord, evt. ud fra oplysninger der er lækket/hacket tidligere, og fortsætte med at forsøge til der er bid.
