Giới thiệu

Khi các mối đe dọa deepfake ngày càng gia tăng, rõ ràng là các giải pháp phát hiện sự sống khác nhau về chất lượng. Việc đạt được chứng nhận theo các tiêu chuẩn toàn cầu, chẳng hạn như ISO/IEC 30107-3 , là rất quan trọng. Điều này giúp phân biệt các giải pháp sinh trắc học thực sự với các tuyên bố tiếp thị. Hiểu được sự khác biệt này là chìa khóa để đạt được bảo mật sinh trắc học thực sự.

Tiêu chuẩn ISO/IEC 30107-3 bao gồm những gì (và tại sao nó lại quan trọng)

Tiêu chuẩn ISO/IEC 30107-3 cung cấp chuẩn mực quốc tế về Phát hiện Tấn công Trình bày (PAD ). Tiêu chuẩn này cung cấp hướng dẫn rõ ràng để kiểm tra các hệ thống sinh trắc học sử dụng nhận dạng khuôn mặt. Điều này bao gồm việc kiểm tra các nỗ lực giả mạo, chẳng hạn như mặt nạ, phát lại video và hình ảnh in. Tiêu chuẩn tập trung vào hai chỉ số lỗi quan trọng:

● APCER (Tỷ lệ lỗi phân loại trình bày tấn công): Đo lường tần suất một cuộc tấn công giả mạo được chấp nhận nhầm là thật.

● BPCER (Tỷ lệ lỗi phân loại trình bày trung thực): Đo lường tần suất người dùng hợp pháp bị từ chối không chính xác.

Để đảm bảo tính khách quan, các phòng thí nghiệm độc lập như iBeta , được NIST/NVLAP công nhận, thực hiện bài kiểm tra độ sống nghiêm ngặt này để cung cấp dịch vụ xác minh sinh trắc học của bên thứ ba đáng tin cậy. Các bài kiểm tra được phân tầng thành:

● Cấp độ 1: Kiểm tra các cuộc tấn công giả mạo cơ bản bằng các hiện vật đơn giản, giá cả phải chăng.

● Cấp độ 2: Kiểm tra các cuộc tấn công giả mạo tinh vi và có độ chân thực cao.

● Cấp độ 3: Cấp độ nghiêm ngặt nhất, thử nghiệm với các phương pháp tấn công hiện đại nhất.

Để một hệ thống vượt qua Cấp độ 2, hệ thống đó phải duy trì BPCER/FNMR (Tỷ lệ không khớp sai) dưới 15%.

Lợi ích chính của chứng nhận

● Niềm tin hữu hình: Một hệ thống được chứng nhận sẽ xác thực tính hiệu quả của các phương pháp xác thực sinh trắc học , mang lại khả năng chống giả mạo đã được chứng minh, rất quan trọng trong các lĩnh vực như tài chính, chăm sóc sức khỏe và chính phủ.

● Lợi thế về quy định: Chứng nhận giúp bạn đáp ứng các yêu cầu tuân thủ nghiêm ngặt như GDPR, eIDAS và KYC, giảm bớt gánh nặng về quy định.

● Trải nghiệm người dùng và hiệu quả hơn: Hệ thống phát hiện sự sống thụ động được chứng nhận giúp xác thực sinh trắc học dễ dàng hơn. Chúng giảm thiểu việc đánh giá thủ công, giúp tăng tốc quá trình tiếp nhận và tăng tỷ lệ chuyển đổi.

Những điều cần tìm kiếm ở một nhà cung cấp

Khi đánh giá nhà cung cấp dịch vụ phát hiện sự sống, hãy sử dụng danh sách kiểm tra sau:

1. Cấp độ chứng nhận: Nhà cung cấp phải được chứng nhận ISO 30107-3 Cấp độ 2 trở lên.

2. Chứng chỉ phòng thí nghiệm: Đảm bảo thử nghiệm được thực hiện bởi phòng thí nghiệm độc lập, được công nhận như iBeta.

3. Minh bạch về tỷ lệ lỗi: Nhà cung cấp phải minh bạch về tỷ lệ APCER và BPCER của họ.

4. Trải nghiệm người dùng liền mạch: Ưu tiên các nhà cung cấp cung cấp các phương pháp thụ động để đảm bảo tỷ lệ người dùng chấp nhận cao. Một SDK sinh trắc học dễ tích hợp cũng rất cần thiết.

5. Xác thực liên tục: Chọn các giải pháp được cập nhật liên tục để chống lại các kỹ thuật giả mạo mới và đang phát triển.

Việc lựa chọn giải pháp phát hiện sự sống dựa trên chứng nhận thay vì các tuyên bố tiếp thị không chỉ thận trọng mà còn rất cần thiết. Hãy yêu cầu bằng chứng, nhấn mạnh tính minh bạch và điều chỉnh các quyết định bảo mật của bạn theo các tiêu chuẩn đã được công nhận.

Đẩy mạnh quản lý: Tại sao xác thực độc lập không còn là tùy chọn nữa

Để ứng phó với các mối đe dọa ngày càng gia tăng, các cơ quan quản lý trên toàn thế giới đang thắt chặt các yêu cầu về xác minh danh tính kỹ thuật số. Các khuôn khổ như GDPR của Châu Âu và các chỉ thị Chống rửa tiền (AML) toàn cầu đòi hỏi các quy trình Hiểu biết Khách hàng (KYC) chặt chẽ.

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) là đơn vị tiên phong trong việc thiết lập các tiêu chuẩn kỹ thuật. Các hướng dẫn của NIST, chẳng hạn như Ấn phẩm Đặc biệt 800-63-3 , thiết lập các phương pháp tối ưu cho việc xác thực và kiểm tra danh tính. Thông điệp rất rõ ràng: các tuyên bố bảo mật tự đánh giá không còn đủ nữa. Thị trường hiện nay đòi hỏi bằng chứng.

Trong tình huống này, việc sử dụng nhận dạng khuôn mặt trực tuyến cơ bản hoặc kiểm tra thủ công mà không kiểm tra độ sống động phù hợp là rất rủi ro. Thị trường hiện nay đòi hỏi nhận dạng khuôn mặt theo thời gian thực, có thể xác minh được tính bảo mật. Để xây dựng và duy trì niềm tin, chúng ta cần khả năng phát hiện độ sống động mạnh mẽ . Công nghệ này sẽ kiểm tra xem có người thật nào hiện diện trong mỗi tương tác hay không.

Tại OZ , chúng tôi cung cấp bằng chứng thay vì lời cam kết. Công nghệ của chúng tôi đã đạt được cả chứng nhận iBeta PAD Cấp độ 1 và Cấp độ 2 , chứng minh khả năng quản lý nhiều hình thức tấn công trình bày khác nhau.

Giải pháp của chúng tôi cung cấp bảo mật mạnh mẽ và được chứng nhận bởi các cơ quan quản lý hàng đầu. Điều này đảm bảo bạn có thể mang đến trải nghiệm người dùng mượt mà trong khi vẫn duy trì mức độ bảo vệ cao.