位於倫敦的數字身份公司純的在英國申請了專利,以一種新穎的方式來反駁漏洞,該漏洞可以在使用生物識別技術和其他數據的身份驗證期間允許網絡瀏覽器進行注射攻擊。新的SICAP(安全映像捕獲)產品不僅混淆了發送的代碼,這種方法是其他提供商使用的方法,而且還為所發送的代碼增加了一個加密簽名密鑰,以提高安全性。
Yoti的CTO“您可以將其描述為試圖在海洋中找到一把鑰匙 - 非常困難 - 但鑰匙可以使您獲得不斷變化的迷宮。”Paco Garcia告訴生物識別更新在面試中。 “因此,一旦找到鑰匙,整個遊戲就會發生變化。我們還可以配置迷宮的變化速度:每隔幾天,每隔幾個小時,每隔幾分鐘就有一次。”
當證明自己的ID時,客戶對直接的被動LIVISE檢測測試的直接方法表示偏愛:“人們希望獲得更接近自拍照的體驗 - 非常快,” Garcia說。這不是要採取更多的步驟(以及更多的摩擦)來獲得更安全的主動livesic格式。 Yoti認為,他們的解決方案可以使更簡單的被動過程比目前更安全得多,這對廣泛的在線提供商而言是感興趣的。
黑客使用注射攻擊將其代碼發送或接收數據時將其代碼插入IT系統中,從而使不良演員可以攔截數據或發送錯誤的數據。 Android或iOS上的本機應用程序可以合併可以檢測注射攻擊的工具,而Web瀏覽器在身份驗證中很容易受到此類攻擊的影響。
混淆,在更改數據模塊的情況下,或者通過加密或其他操縱整個有效載荷是嘗試超越黑客黑客的一種方法。混淆的水平是可配置的,因此那些需要更高水平保證的公司可以選擇更高的混淆水平。
加西亞說:“或者,您可能會有一個年齡驗證的網站,他們想很快進行這些支票,如果通常有一百萬的人經歷一百萬的人,他們就不會被打擾。”
黑客找到了反向工程混淆數據的方法。因此,Yoti用加密簽名添加整個額外層的方法意味著黑客將不得不反向工程互相工程,並推斷加密簽名密鑰。鑰匙可以繼續改變。因此,當黑客設法將混淆的工程逆轉時,鑰匙已經繼續前進 - 不斷變化的隱藏迷宮。
集成通過與JavaScript庫的SDK進行集成,Web應用程序將引用該集成,以確保圖像的安全捕獲是生物識別技術,ID文檔還是任何類型的文檔。
用戶不會注意到引擎蓋下發生的任何更改,儘管加西亞承認這是一個繁重的過程,因為它涉及密碼學且可能在數據方面可能很重,具體取決於是否需要低分辨率的圖像或需要1080p的Web Cam攝影,例如是否需要進行OCR。
加西亞說:“商業興趣已經存在了一段時間。” “在網絡瀏覽器中使用被動livesice時,這是一個尚未解決的問題。在解決此問題之前,我們不會看到瀏覽器上的高度保證被動反欺騙系統,因此這確實是一個啟示器。”
已經在本地應用程序中具有被動livesice的企業表現出了興趣。 Yoti說,其中包括在線遊戲和社交媒體平台,而不僅僅是很高的安全金融部門公司。
文章主題
生物識別檢測|生物識別技術|密碼學|數字身份|面對生物識別技術|身份驗證|注射攻擊|被動的面部惡性|專利|研發|SDK|純的
