Hvordan kan Facebook bekræfte mit ansigt, hvis det ikke skulle have et?

2. Kerckhoffs princip

Dette princip blev udtænkt af en kryptograf for kryptografifelt, men gælder for enhver sikringsproces:

"It should not require secrecy, and it should not be a problem if it falls into enemy hands" 

Se: Kerckhoffs princip

Jeg er ikke i stand til at revidere eller bevise en proces, der holdes hemmelig. Derfor er der ingen god grund til at holde en sikringsproces hemmelig. De eneste 2 grunde til, at jeg forestiller mig at holde en hemmelig beskyttelsesproces, som jeg ville have opfattet, er:

• min proces er svag, og hvis min fjende læser den, vil han være i stand til at bryde den, >
• Jeg stoler ikke på min processtyrke og foretrækker at undgå risikoen for sag 1.

I begge tilfælde skal jeg erkende, at min proces er risikabel, ikke revideret, ikke prooven. Min hemmelighed er bare en løgn, en løgn for mig og en løgn for mine brugere.

Personlig analyse

Facebook skriver:

"We use this photo to help us to check that this account belongs to you" 

Sandheden er, at hvis de ikke har bevis, er dette billede taget af dig som en fysisk person, kan de ikke bevise, at dette billede er et autentisk billede af dig. De har en forhold mellem:

• et foto: P ,
• et afsendende telefonnummer eller en afsendende computers IP-adresse: N ,
• et kontonavn: A .

Ikke nogen relation til den fysiske person (den fysiske person kan f.eks. tage et godt billede af sin nabo eller hans datter).

R1 : Facebook kan ikke bevise, at et billede er et autentisk billede af en fysisk person.

Hvad kunne de kontrollere? De kunne kontrollere, at foto P ikke findes i nogen:

• database med fotos signaleret som brugt i identitetstyveri og rapporteret til Facebook, ville denne søgning tage minutter,
• database med fotos, der blev brugt til at “identificere” andre Facebook-konti, denne søgning ville tage timer.

Alt i alt kunne de hurtigt opdage ethvert forsøg på identitetstyveri “fra dig”, hvis og kun hvis de tidligere registrerede fotos var autentiske, hvilket de desværre ikke kan bevæge sig (ingen kan demonstrere, at de har nogen robust proces at prøve fotoets ægthed se R1 ).

Personlig konklusion

Jeg kan ” ikke stole på denne proces for ovenstående argumenter og manglen på klar kommunikation fra Facebook. Hvis der er nogen fejl i mine argumenter, kan nogen se det og signalere det offentligt. Denne konklusion er ikke baseret på noget godt eller dårligt ry Facebook måtte have i sikkerhedsfeltet.

Kommentarer

• Jeg don ‘ ikke se, hvordan dette besvarer spørgsmålet på nogen måde. Det virker mere som en personlig ulykke om Facebook ‘ s fotobekræftelsesproces.
• @TomK. det originale spørgsmål: ” Hvordan kan …”, og jeg demonstrerede ” De kan ikke. “. Hvis du ser nogen fejl i mit svar, så skriv det, jeg ‘ Jeg prøver enten at forbedre det eller undertrykke det.
• Måske skulle du læse spørgsmålet igen .

Facebook behøver ikke at gemme de slettede fotos. Alt hvad de skal gøre er at bruge de fotos, du har uploadet, til at udtrække de biometriske detaljer for at kunne genkende dit ansigt. Disse data er, hvad de bruger til at bekræfte nye fotos.

Dette er alt beskrevet i deres privatlivs- og sikkerhedsindstillinger. Du kan slå funktionen fra for at indsamle biometriske data i ansigtet.

Kommentarer

• Processen ser ud til at være manuel: Jeg sendte et foto til det form, og det sagde, at de vil vende tilbage til mig, når den er gennemgået. Mere end 1 time nu, stadig ikke noget svar. Hvis det, du siger, er sandt, hvorfor skal de derefter verificere manuelt, hvis biodata kan udvindes igen og sammenlignes automatisk?
• Jeg har ingen idé om, hvad de ville sammenligne dem med. Men for at besvare de spørgsmål, du stillede, 1) kunne de bruge de nye fotos til at sammenligne med lagrede biometriske data, 2) de behøver ikke at holde fast i dine fotos for at gøre denne sammenligning, 3) de behøver ikke at holde fast i slettet indhold, hvis de gemmer de biometriske data. Hvis dit spørgsmål virkelig var, hvad skal de sammenligne login CAPTCHA-billedet med, så bliver du nødt til at ændre dit spørgsmål.

For at afgøre, om kontoen er autentisk, ser Facebook på om billedet er unikt. -Wired

De skal du bare se om billedet er i systemet for at beslutte, om du vil undersøge dig nærmere. Hvis du uploader et foto, der bruges af en anden bruger, prøver du muligvis at oprette en falsk konto. Facebook forsøger også at bestemme placeringen, hvor billedet blev taget, og hvilken anden information AI kunne samle. Alt hvad der kan gøres uden forudgående fotos eller andre data fra dig.

Hvad enten de har dine fotos, siger Facebook, at de vil slette dem inden for 90 dage, hvis du sletter dem.

Facebook sagde, at billederne blev hashet og derefter slettet fra sine servere.

Hvis du beslutter at uploade dit foto til testen, bliver det hashet, men det faktiske foto slettes.

Processen er automatiseret, herunder identifikation af mistænkelig aktivitet og kontrol af billedet.

Du syntes at tro, at processen ikke blev automatiseret i en kommentar, men Facebook siger, at den er.

Kommentarer

• Hvor troværdig vises påstanden om, at processen er automatiseret, hvis den stadig foregår timer efter start? Spørgsmålet er ikke, hvad Facebook siger. Spørgsmålet er, hvad det gør .
• @Greendrake Hanlon ‘ s barbermaskine : deres system styrtede ned eller er overbelastet. Hvis jeg skulle designe et sådant system, ville jeg ‘ bruge en fuzzy hash, som har potentialet til at have falske positive. Hvis det matchede, ville det kræve menneskelig gennemgang.
• @ Greendrake Ingen af os er der på det tidspunkt, det sker, men jeg tvivler på, at de ville overbevise alle på Facebook om at lyve om det. Det er svært at få titusinder af mennesker til at lyve på samme måde.
• @Greendrake I ‘ Jeg er sikker på, at en stor del af den tid, det tager, er baseret på antallet af anmodninger, de behandler. Der er over en milliard mennesker på Facebook.
• Overbeviser titusinder om at lyve: 1) kun en lille procentdel af dem ville faktisk kende sandheden om, hvordan processen fungerer (resten ville ikke ‘ behøver ikke at vide); 2) en NDA ville være ret overbevisende for dem, der kender.

Beklager, jeg har ingen tinfolie hat til dig i dag.

System 1 gemmer dine fotos og efterlader et afkrydsningsfelt “Konto er klar til ansigtsbekræftelse”.

System 2 markerer afkrydsningsfeltet og sætter din konto på en intern liste over konti, der skal verificeres.

Du sletter dine fotos og system 1 fjerner afkrydsningsfeltet “Konto er klar til ansigtsbekræftelse”.

System 2 markerer ikke afkrydsningsfeltet “Konto er klar til ansigtsbekræftelse “igen inden dit næste login, fordi sagen om, at en konto kun har få fotos, der kan verificeres og slettes kort efter, er en sjælden sag, og nu hænger processen.

Med andre ord :

Beregningen af biometriske funktioner udføres kun, når det er nødvendigt – læs: først da, når verificeringsprocessen udløses.Der er ikke flere fotos at udtrække dataene fra, og nu kan verificeringsprocessen ikke “gå videre.

Kommentarer

• Siger du, at det ville have bedt om at uploade ansigtsfoto, selvom jeg ikke slettede de billeder, jeg oprindeligt uploadede?
• Yup, fordi din opførsel af konto er ret bot-lignende
• Okay, det lyder som en god teori. Noget overbevisende om, at det er, hvordan tingene faktisk er?
• Desværre ikke, du ‘ d må sandsynligvis indsende en fejlrapport / tweet dette til @Facebook og få en bekræftelse.;) Jeg ved ikke ‘ ikke, hvad infrastrukturen eller verifikationsstrømmen på Facebook ser ud ligesom. Og kernen er, ingen her gør det, medmindre nogen her er en dev på Facebook. I sidste ende kan vi kun tage vores bedste teori, og min teori tager fejlkode / flow som basis, og det er sandsynligvis den mest almindelige grund til underlig opførsel i systemer.
• Den verific ationsprocessen er nu afsluttet og resulteret i, at min konto deaktiveres. Alligevel tillader det mig at downloade alle mine data (don ‘ t ved endnu ikke, hvad ‘ er derinde – burde ikke være noget). Men hvad dette betyder er, at teorien er forkert: processen gik fremad og tilsyneladende manuelt, da den resulterede i deaktivering af kontoen.