Jak může Facebook ověřit můj obličej, pokud by ho neměl mít?

Princip 2. Kerckhoffa

Tento princip byl vytvořen kryptografem pro pole kryptografie, ale vztahuje se na jakýkoli proces zabezpečení:

"It should not require secrecy, and it should not be a problem if it falls into enemy hands" 

Viz: princip společnosti Kerckhoff

Nejsem schopen provést audit nebo prokázat proces, který je udržován v tajnosti. Neexistuje tedy žádný dobrý důvod k utajení zabezpečovacího procesu. Jediné dva důvody, proč si představuji, že udržuji v tajnosti zabezpečovací proces, který bych si představil, by byly:

• můj proces je slabý a pokud ho můj nepřítel přečte, bude ho schopen prolomit,
• Nedůvěřuji své síle procesu a raději se vyhýbám riziku prvního případu.

V obou případech bych měl vědět, že můj proces je riskantní, neauditovaný, ne prokázáno. Moje tajemství je jen lež, lež mě a lež mých uživatelů.

Osobní analýza

Facebook píše:

"We use this photo to help us to check that this account belongs to you" 

Pravdou je, že pokud nemají důkaz, že tento obrázek je jeden z vás pořízený jako fyzická osoba, nemohou prokázat, že tento obrázek je autentický z vás. sada vztahů mezi:

• fotografií: P ,
• odesílající telefonní číslo nebo IP adresa odesílajícího počítače: N ,
• název účtu: A .

Žádný vztah s fyzickou osobou (fyzická osoba může například udělat pěkný obrázek svého souseda nebo své dcery).

R1 : Facebook nemůže prokázat, že obrázek je autentickým obrazem fyzické osoby.

Co mohli zkontrolovat? Mohli zkontrolovat, zda fotka P není v žádné:

• databáze fotografií signalizovaných jako použité při krádeži identity a nahlášené Facebooku, toto vyhledávání by trvalo minuty,
• databáze fotografií sloužící k „identifikaci“ dalších účtů na Facebooku, toto vyhledávání by trvalo hodiny.

Celkově dokážou rychle detekovat jakýkoli pokus o krádež identity „od vás“, a to pouze v případě, že předchozí registrované fotografie byly autentické, což bohužel nemohou prokázat (nikdo nemůže prokázat, že mají nějaký robustní postup autentičnost fotografie viz R1 ).

Osobní závěr

mohu “ Nedůvěřujte tomuto procesu pro výše uvedené argumenty a nedostatek jasné komunikace z Facebooku. Pokud dojde k chybě v mých argumentech, někdo ji bude moci vidět a veřejně ji signalizovat. Tento závěr není založen na dobré nebo špatné pověsti, kterou by Facebook mohl mít v oblasti zabezpečení.

Komentáře

• Nemám ‚ Nevidím, jak to na otázku odpovídá. Vypadá to spíš jako osobní chvástání ohledně procesu ověřování fotografií na Facebooku ‚.
• @TomK. původní otázka: “ Jak může …“ a já jsem demonstroval “ Nemohou. „. Pokud v mé odpovědi uvidíte nějakou chybu, napište ji, ‚ se ji buď pokusím vylepšit, nebo potlačit.
• Možná byste si měli přečíst otázku znovu .

Facebook nemusí ukládat smazané fotografie. Jediné, co musí udělat, je použít vámi nahrané fotografie k extrahování biometrických detailů, aby bylo možné rozpoznat váš obličej. Tato data používají k ověřování nových fotografií.

To vše je popsáno v jejich nastavení ochrany osobních údajů a zabezpečení. Tuto funkci můžete vypnout a shromažďovat biometrická data obličeje.

Komentáře

• Zdá se, že postup je manuální: k tomu jsem odeslal fotografii formulář a řekl, že se mi ozvou, jakmile bude zkontrolován. Nyní více než 1 hodinu, stále žádná odpověď. Pokud je to, co říkáte, pravdivé, proč by prováděli ověření ručně, pokud lze bio data znovu extrahovat a automaticky porovnávat?
• Nemám tušení, s čím by je tedy porovnávali. Ale aby odpověděli na vaše otázky, 1) mohli nové fotografie použít k porovnání s uloženými biometrickými daty, 2) nemuseli se držet vašich fotografií, aby mohli provést toto srovnání, 3) nemuseli se držet odstraněný obsah, pokud ukládají biometrické údaje. Pokud vaše otázka skutečně byla, k čemu budou porovnávat přihlašovací fotografii CAPTCHA, budete muset svou otázku změnit.

Chcete-li zjistit, zda je účet autentický, Facebook se podívá na zda je fotografie jedinečná. -Wired

Jsou jednoduše musíte zjistit, zda je fotografie v systému, abyste se mohli rozhodnout, zda vás bude dále vyšetřovat. Pokud nahrajete fotku použitou jiným uživatelem, můžete se pokusit vytvořit falešný účet. Facebook se také snaží určit místo, kde byla fotografie pořízena, a jakékoli další informace, které umělá inteligence mohla shromáždit. Vše, čeho lze dosáhnout bez předchozích fotografií nebo jiných údajů od vás.

Pokud jde o to, zda mají vaše fotografie, Facebook říká, že je smažou do 90 dnů, pokud je smažete.

Facebook uvedl, že fotografie jsou hašovány a poté odstraněny ze svých serverů.

Pokud se rozhodnete nahrát svou fotografii pro test, bude hašována, ale skutečná fotka bude odstraněna.

Proces je automatizovaný, včetně identifikace podezřelé aktivity a kontroly fotografie.

Zdálo se, že si myslíte, že proces nebyl v komentáři automatizován, ale Facebook to říká.

Komentáře

• Jak důvěryhodné se zdá tvrzení, že proces je automatizovaný, pokud stále trvá několik hodin po spuštění? Otázkou není, co říká Facebook. Otázkou je, co dělá .
• @Greendrake Hanlon ‚ s břitvou : jejich systém havaroval nebo je přetížen. Pokud bych měl takový systém navrhnout, použil bych ‚ fuzzy hash, který by mohl mít falešně pozitivní výsledky. Pokud by se to shodovalo, vyžadovalo by to lidskou kontrolu.
• @Greendrake Nikdo z nás tam v době, kdy se to stane, není, ale pochybuji, že by přesvědčil každého na Facebooku, aby o tom lhal. Je těžké přimět desítky tisíc lidí, aby lhali stejným způsobem.
• @Greendrake I ‚ jsem si jistý, že velká část času je založena na počtu žádostí, které zpracovávají. Na Facebooku je přes miliardu lidí.
• Re přesvědčit desítky tisíc, aby lhali: 1) pouze malé procento z nich by skutečně vědělo pravdu o tom, jak tento proces funguje (zbytek by ‚ není třeba vědět); 2) NDA by byl docela přesvědčivý pro ty, kteří to znají.

Omlouvám se, nemám žádný stanioil klobouk pro vás ještě dnes.

Systém 1 uloží vaše fotografie a ponechá zaškrtávací políčko „Účet je připraven k ověření obličeje“.

Systém 2 zaškrtne toto políčko a umístí váš účet na interní seznam účtů, které je třeba ověřit.

Smažete své fotografie a systém 1 zruší zaškrtnutí políčka „Účet je připraven k ověření obličeje“.

Systém 2 nezaškrtává políčko „Účet je připraven k ověření obličeje “znovu před dalším přihlášením, protože případ, kdy má účet jen několik ověřitelných fotografií a krátce poté je smaže, je ojedinělý případ a nyní proces zablokuje.

Jinými slovy :

Výpočet biometrických prvků se provádí pouze v případě potřeby – čtení: pouze tehdy, když je spuštěn proces ověření.Nejsou k dispozici žádné další fotografie, ze kterých by bylo možné data extrahovat, a nyní proces ověření nemůže pokračovat.

Komentáře

• Říkáte to požádal bych o nahrání fotografie obličeje, i když jsem neodstranil původně nahrané fotografie?
• Jo, protože chování při vytváření účtu je docela podobné botům
• Dobře, zní to jako pěkná teorie. Něco přesvědčivého, že to tak skutečně je?
• Bohužel ne, vy ‚ d pravděpodobně musí podat hlášení o chybě / tweetnout to na @Facebook a získat potvrzení.;) Nevím ‚ nevím, jak vypadá infrastruktura nebo ověřovací tok na Facebooku a jádro je, že nikdo tady ne, pokud někdo tady není vývojář na Facebooku. Nakonec můžeme vzít jen naši nejlepší teorii a moje teorie bere vadný kód / tok jako základ, a to je pravděpodobně nejběžnější důvod pro podivné chování v systémech.
• Vědomost proces registrace nyní skončil a vyústil v deaktivaci mého účtu. Stále mi to umožňuje stahovat všechna svá data (ještě ‚ ještě nevím, co tam ‚ je – nemělo by to být nic). To ale znamená, že teorie je špatná: proces šel kupředu a zjevně ručně, protože vyústil v deaktivaci účtu.

Nemyslím si, že výše uvedená odpověď je užitečná v tom smyslu, že by neměli data, z nichž by bylo možné vyjít, pokud by fotografie ve všech případech smazal, i když v některých případech ano.

Správným způsobem, jak zjistit, která data pocházejí z vašeho účtu, je přejít Nastavení> Informace o vašem Facebooku Odtud můžete vidět, jaké fotografie jste zveřejnili a na kterých fotkách jste byli označeni. Také umožňuje stáhnete si své informace, abyste přesně viděli, co tam jsou.

To vám řekne, co mají, pokud jde o uchování starých informací, Facebook uvedl, že trvalé smazání dat může trvat až 90 dní. To znamená, že by se také zbavili metrik získaných skenováním fotografií AI. https://www.nbcnews.com/card/facebook-does-delete-your-data-n864816

Facebook by mohl potenciálně mít vaši fotografii až 90 dní, ale tato zpráva je automatizovaná a bude se stále zobrazovat, i když už nebudou mít vaše fotografie. Považuje se to za formu CAPTCHA, protože pro robota by bylo obtížné replikovat fotografie, které nejsou veřejně dostupné, takže i když Facebook vaše fotografie nemá uložené, web může prohledat fotografie, které mají, aby zjistil, zda jste odeslání fotografie, která již na webu je, a proto by mohla být robotem využívajícím fotografie jiných lidí. Může vám ukázat, že nejspíš nejste bot, i když vás nedokáže rozpoznat jako vás. https://www.telegraph.co.uk/technology/2017/11/29/facebook-asking-users-upload-selfie-prove/

Komentáře

• … a pokud je biometrický data byla extrahována, když byly fotografie nahrány? Pak fotografie nepotřebují v úložišti.
• To je pravda až 90 dní, jak uvedl článek, ale Facebook používá fotografie jako CAPTCHA, i když ne ‚ nemají bimetrická data, takže vysvětlení nepokrývá všechny možnosti.
• Takže první řádek vaší odpovědi je nyní nesprávný? Protože fotografie stále mají po dobu 90 dnů, i když je smazal? ‚ Opravdu se mi nedaří sledovat vaši logiku.
• Řekl jsem, že ve VŠECH případech nebudou mít data. Někdy to na serveru chvíli sedělo, ale ne vždy. To znamená, že tvrzení ve vaší odpovědi nemusí být vždy pravdivé.
• Návrh čeho? Co si myslíte, že jsem řekl?