Je gezicht is een unieke eigenschap. Dat maakt gezichtsherkenning in theorie zeer bruikbaar voor securitydoeleinden. Maar vergis je niet: met een paar van internet geplukte foto’s en 3D-technologie is deze vorm van biometrische beveiliging al uit te schakelen.
Mensen herkennen elkaar vooral aan de hand van onze gezichten. Een nauwkeurig mechanisme, op voorwaarde dat onze ogen en hersenen goed werken. Maar helemaal waterdicht is het niet. Want hoe hou je een eeneiige tweeling uit elkaar? En als iemand zich vermomt, bijvoorbeeld door ineens een lange baard te laten staan en kleurlenzen in te doen, herken je die persoon misschien niet meer.
Het is niet verwonderlijk dat ook technologie voor gezichtsherkenning, in de basis veel minder geavanceerd dan het menselijke systeem voor identificatie, zo zijn zwakke plekken heeft. Amerikaanse experts op het gebied van security en ‘computer vision’, software die objecten kan herkennen in digitale foto’s of video’s, demonstreerden onlangs een nieuwe manier om gezichtsherkenning te omzeilen.
Van foto naar 3D-model
Tijdens securityconferentie Usenix presenteerden de wetenschappers een systeem waarmee ze gezichten op foto’s aan de hand van herkenningspunten kunnen omzetten naar gedetailleerde 3D-modellen. Deze modellen toonden ze met virtualrealitytechnologie op een smartphonescherm om de gezichtsherkenning te misleiden. Omdat bijvoorbeeld de diepte kloppend wordt weergegeven, denkt de beveiliging het juiste gezicht te ‘zien’.
De onderzoekers voerden een aanval uit op vijf populaire gezichtsherkenningsystemen: KeyLemon, Mobius, TrueKey, BioID en 1D. Vier van de vijf toepassingen waren er niet tegen opgewassen. Geen hoopgevende score voor mensen die hun devices of data beveiligen met gezichtsherkenning. In theorie hoeft een cybercrimineel immers alleen maar op Facebook te kijken om foto’s van je gezicht te vinden.
Iedereen staat op internet
Dat is ook precies hoe de wetenschappers te werk gingen. Bij eerdere experimenten leverden de ‘slachtoffers’ foto’s aan of maakten onderzoekers ze zelf. In dit geval kropen ze in de huid van een cyberstalker. Ze struinden social media als LinkedIn, Facebook en Google+ af en gebruikten zoekmachines om foto’s van 20 vrijwilligers te vinden. Van iedere persoon kregen ze 3 tot wel 27 foto’s in handen.
Een flink aantal deelnemers aan het onderzoek is computerwetenschapper. Sommigen van hen doen veel moeite om hun identiteit online af te schermen. Toch hadden ook zij meerdere foto’s op internet staan. Het is dus een misverstand om te denken dat dit jou nooit zou overkomen. Toegegeven, het lukte de onderzoekers niet altijd om de vier systemen met deze modellen te ontgrendelen. 55% tot 85% van de pogingen slaagde.
Slechte kwaliteit
Het kraken werd bemoeilijkt door de gebrekkige kwaliteit van de foto’s. Veel foto’s waren van lage resolutie en maar zelden stonden de hele gezichten erop. Het omzetten van de foto’s naar geanimeerde 3D-modellen is sowieso vrij complex. Zo moesten de digitale gezichten ook recht in de camera kijken en realistische tekenen van leven vertonen, zoals knipperen met de ogen en lachen. Vaak bleek het nodig om de belichting te finetunen.
Ter controle fotografeerden de onderzoekers de hoofden van de vrijwilligers ook binnen en van dichtbij. De hierop gebaseerde 3D-modellen bleken wel in 100% van de gevallen effectief. Alle systemen, ook het vijfde en dus ogenschijnlijk meest veilige, konden met deze modellen structureel om de tuin worden geleid. Dus met de juiste foto’s komen handige hackers al een heel eind.
Trusted Face
Dat gezichtsherkenning over het algemeen minder betrouwbaar is dan andere vormen van biometrische beveiliging, zoals iris- en vingerafdrukscanners, wisten we al een tijdje. Niet voor niets plaatst Google een waarschuwing bij de gezichtsherkenning van Android, Trusted Face. “Dit is minder veilig dan een pincode, patroon of wachtwoord. Iemand die op je lijkt, kan mogelijk je toestel ontgrendelen.”
Er zijn ook andere manieren om met gezichtsherkenning beveiligde apparaten en toepassingen te kraken, bijvoorbeeld met afbeeldingen en video’s in 2D of met levensechte maskers. Maar het gaat te ver om gezichtsherkenning daarom af te schrijven. Ook die zogeheten ‘spoofs’ zijn namelijk niet perfect. Zo kun je een gezicht ook scannen op infraroodsignalen, iets wat een VR-systeem bijvoorbeeld niet kan nabootsen.
Een nieuw gezicht instellen
Als je gezichtsherkenning nu al gebruikt, is enige voorzichtigheid wel op zijn plaats. Eigenlijk geldt dat voor alle biometrische beveiligingsmethoden. Bovendien: wanneer je vingerafdruk of gezichtsscan worden gestolen, kun je daar je hele leven lang last van hebben. Deze fysieke kenmerken zijn immers niet te veranderen. Even een nieuw wachtwoord instellen is dan geen optie.
Gezichtsherkenning is een leuke gimmick en als aanvullend controlemechanisme ook heus wel effectief. Maar wees je bewust van de risico’s, want die zijn er wel degelijk. Beveilig jij je devices al massaal met je gezicht? Vergeet dan niet dat een slimme cybercrimineel zich wel raad weet met je selfies.
Corey Nachreiner, CTO bij WatchGuard Technologies
