Büyük resim:Selfie’ler giderek daha şaşırtıcı bir yeni rol üstleniyor: kimliğinizi çevrimiçi olarak doğrulamak. Bazı bankalar ve hatta hükümetler, hizmetlere erişmeden önce kim olduğunuzu kanıtlamak için görüntülü görüşmeler sırasında canlı selfie çekimini zorunlu kılmaya başladı. Ancak, yeni bir raporda vurgulandığı gibi, teknoloji şirketlerine selfie’nizi vermek akıllıca bir siber güvenlik hamlesinden çok uzak.
The Register’a konuşan çok sayıda güvenlik uzmanı ve piyasa analisti bu uygulamayı ele alarak, bunun ne kadar güvensiz olduğunu vurguladı ve nasıl iyileştirilebileceği konusunda tavsiyelerde bulundu.
Gartner’da kuruluşlara teknolojiyi uygulama konusunda danışmanlık yapan bir VP analisti olan Akif Khan, selfie kimlik doğrulama trendinin yıllardır geliştiğini söylüyor. Yayına, selfie kimlik doğrulamaya olan ilginin çok yüksek olduğunu ve giderek arttığını, pandeminin daha fazla hizmeti çevrimiçi hale getirmesiyle son zamanlarda bir “artış” yaşandığını söyledi.
Geçtiğimiz hafta Vietnam, 400 doların üzerindeki tüm dijital işlemler için telefon bankacılığı uygulamalarından yüz taramalarını zorunlu hale getirdiğinde endişeler açıkça ortaya çıktı. Vietnam medyası, selfie’lerin güvenliği artıracağı konusunda şüphelerini dile getirdi. Birkaç gün içinde bazı uygulamalar canlı selfie videoları yerine basit hareketsiz fotoğrafları kabul ederek titreşim kontrolünde başarısız oldu.
Selfie kimliğinin yükselişi, kimlik kontrolleri gerektiren kara para aklamayı önleme (AML) ve müşterini tanı (KYC) düzenlemeleriyle uyumludur, ancak ayrıntılar yargı bölgeleri arasında küresel olarak değişir ve sıklıkla güncellenir. Bu, her bölgedeki veri gizliliği düzenlemeleriyle dengelendiğinde çelişkili gereklilikler yaratır.
Acronis’te CISO olan Kevin Reed’e göre şirketlerin selfie veriyi nasıl yanlış yönettiği de bir sorun. Yayına, şirketlerin selfie doğrulama görüntülerini kullandıktan sonra uygun şekilde yönetme ve elden çıkarma konusunda sıklıkla başarısız olduklarını ve siber suçlular veri hazinesinde değer bulursa hırsızlığa açık hale geldiklerini söyledi.
Daha önce bir Resecurity raporu, kullanıcıların canlılığı kanıtlamak için muhtemelen el yazısı bir işaretin yanında kimliklerini tutan bir fotoğraf göndermelerini isteyen bir Singapur ödeme sağlayıcısını vurguladı. Reed, bu tekniği hala kolayca düzenlenebildiği için hareketsiz özçekimlerden yalnızca “biraz daha iyi” olarak reddetti. Bu arada, Khan da bu teknik konusunda kendinden emin değildi ve uygun bir çözüm üzerinde çalışırken bunu bir “geçici” önlem olarak adlandırdı.
Üçüncü taraf satıcıların uygulamalara ve web sitelerine entegre ettiği “canlılık” algılama teknolojisi daha iyi bir çözümdür.
Canlılık kontrolü sağlayıcıları, kullanıcıların fiziksel olarak mevcut olduğunu doğrulamak için bir dizi teknik kullanır. Bunlara, duyguları ifade etme veya başı çevirme gibi selfie çekimi sırasındaki hareketler dahildir. Khan, bu kontrollerin makine öğrenimi tarafından desteklendiğini ve ayrıca deepfake’lerden gelen enjeksiyon saldırılarını tespit edebildiğini belirtti. Doğrulama sırasında derinliği, kenarları, ışık yansımasını ve hatta kan akışı belirtilerini analiz ederler.