Gesichtserkennung soll Passwörter überflüssig machen – und demnächst vielleicht sogar helfen, verdächtige Personen zu identifizieren. Aktuelle Biometrie-Apps lassen sich einer Studie zufolge aber austricksen.
Eine biometrische Zugangskontrolle per Gesicht ist bequem und intuitiv „angenehm“ – aber gilt ganz allgemein nicht als besonders sicher. Und das liegt nicht an Schwächen bei der Gesichtserkennung durch entsprechende Software, sondern an der Schwierigkeit für Zugangskontrollsysteme, erst einmal festzustellen, ob das überhaupt ein Gesicht ist, was sie da erkennen. Oder eine Attrappe. In ihrem auf der Usenix-Sicherheitskonferenz vorgestellten Paper lassen die Autoren Yi Xu, True Price, Jan-Michael Frahm und Fabian Monrose von der University of North Carolina in Chapel Hill erst einmal das Katz-und-Maus-Spiel Revue passieren, das sich Hersteller solcher Systeme und „Hacker“ geliefert haben.
Die ersten Modelle ließen sich mit einem einfachen vor die Kamera gehaltenen Foto austricksen. Die Gegenidee: Blinzelt das Auge? War auch wieder super-einfach auszutricksen: einfach zwei Fotos schnell hintereinander, eins mit geöffneten, eins mit geschlossenen Augen. Nächste Gegenidee: Bewegt sich der Kopf, ist Mimik sichtbar? War ziemlich leicht mit Videoaufnahmen auszutricksen. Nächste Gegenidee, schon sehr sophisticated: Passen die erkannten 3D-Merkmale des dargebotenen Gesichtes eigentlich auch noch, wenn die Kamera den Blickwinkel leicht verändert?
Das lässt sich nicht mehr mit 2D, sondern nur noch mit 3D-Attrappen aushebeln, die sich zudem realistisch und perspektivisch korrekt im Raum bewegen lassen müssen. Aber den Informatikern der UNC gelang nicht nur das – sie konnten auch zeigen, dass allseits verfügbare Fotos aus Social Media und Netz genügend „Stoff“ für die Anfertigung solcher virtuellen Köpfe liefern. Auf ein freundliches Lächeln in die Kamera sollte sich nun eigentlich niemand mehr verlassen, der höhere Sicherheitsanforderungen hat. Vielleicht kann ja die Infrarottechnik für ein Weilchen die Kuh wieder vom Eis bringen.
Gesichtserkennungs-Software mit 3D-Modell überlistet – SPIEGEL ONLINE