Como o Facebook pode verificar meu rosto se não deveria ter um?

Princípio do 2º Kerckhoff

Este princípio foi concebido por um criptógrafo para o campo de criptografia, mas se aplica a qualquer processo de proteção:

"It should not require secrecy, and it should not be a problem if it falls into enemy hands" 

Veja: Princípio de Kerckhoff

Não sou capaz de auditar ou provar um processo que é mantido em segredo. Portanto, não há nenhuma boa razão para manter um processo de proteção em segredo. As duas únicas razões que imagino para manter em segredo um processo de proteção que eu teria concebido seriam:

• meu processo é fraco e se meu inimigo o ler, ele será capaz de quebrá-lo,
• Não confio na força do meu processo e prefiro evitar o risco do caso um.

Em ambos os casos, devo reconhecer que meu processo é arriscado, não auditado, não comprovado. Meu segredo é apenas uma mentira, uma mentira para mim e uma mentira para meus usuários.

Análise pessoal

O Facebook escreve:

"We use this photo to help us to check that this account belongs to you" 

A verdade é que se eles não tiverem uma evidência de que esta foto foi tirada de você como pessoa física, eles não poderão provar que esta foto é autêntica de você. Eles têm uma relação definida entre:

• uma foto: P ,
• um número de telefone remetente ou um endereço IP de computador remetente: N ,
• um nome de conta: A .

Nenhuma relação com a pessoa física (a pessoa física pode, por exemplo, tirar uma bela foto de seu vizinho ou de sua filha).

R1 : O Facebook não pode” provar que uma imagem é autêntica de uma pessoa física.

O que eles poderiam verificar? Eles poderiam verificar se a foto P não está em nenhum:

• banco de dados de fotos sinalizado como usado em roubo de identidade e relatado ao Facebook, essa pesquisa levaria minutos,
• banco de dados de fotos usado para “identificar” outras contas do Facebook, essa pesquisa levaria horas. > Em suma, eles poderiam detectar rapidamente qualquer tentativa de roubo de identidade “de você”, se e somente se as fotos anteriores registradas fossem autênticas, o que infelizmente eles não podem “provar (ninguém pode demonstrar que eles têm qualquer processo robusto para provar autenticidade da foto, consulte R1 ).
  

  Conclusão pessoal

  Eu posso ” Não confie neste processo pelos argumentos acima e pela falta de comunicação clara do Facebook. Se houver algum erro em meus argumentos, alguém poderá ver e sinalizar publicamente. Esta conclusão não se baseia em nenhuma reputação boa ou ruim que o Facebook possa ter no campo da segurança.

  Comentários

  • Eu não ‘ não vejo como isso responde à pergunta de alguma forma. Parece mais um discurso pessoal sobre o processo de verificação de fotos do ‘ do Facebook.
  • @TomK. a pergunta original: ” Como pode …”, e eu demonstrei ” Eles não podem. “. Se você vir algum erro em minha resposta, escreva-o, ‘ tentarei melhorá-lo ou suprimi-lo.
  • Talvez você deva ler a pergunta novamente .

O Facebook não precisa armazenar as fotos excluídas. Tudo o que eles precisam fazer é usar as fotos que você carregou para extrair os detalhes biométricos para serem capazes de reconhecer seu rosto. Esses dados são usados para verificar novas fotos.

Tudo isso é descrito em suas configurações de privacidade e segurança. Você pode desativar o recurso para coletar dados biométricos faciais.

Comentários

• Bem, o processo parece ser manual: enviei uma foto para isso formulário e disse que eles entrarão em contato comigo assim que for revisado. Mais de 1 hora agora, ainda sem resposta. Se o que você está dizendo é verdade, por que eles fariam a verificação manualmente se os dados biográficos podem ser extraídos novamente e comparados automaticamente?
• Não tenho ideia, então, com o que eles estariam comparando. Mas para responder às perguntas que você fez, 1) eles podem usar as novas fotos para comparar com os dados biométricos armazenados, 2) eles não precisam segurar suas fotos para fazer essa comparação, 3) eles não precisam segurar conteúdo excluído se eles armazenam os dados biométricos. Se sua pergunta realmente era, com o que eles comparariam a foto CAPTCHA de login, você precisará alterar sua pergunta.

Para determinar se a conta é autêntica, o Facebook analisa se a foto é única. -Wired

Eles basta ver se a foto está no sistema para decidir se você deve investigar mais. Se você carregar uma foto usada por outro usuário, pode estar tentando criar uma conta falsa. O Facebook também tenta determinar o local onde a foto foi tirada e qualquer outra informação que a AI possa reunir. Tudo isso pode ser feito sem nenhuma foto anterior ou outros dados de você.

Quanto a saber se eles têm suas fotos, o Facebook diz que irá excluí-las em 90 dias se você excluí-las.

O Facebook disse que as fotos são hash e, em seguida, excluídas de seus servidores.

Se você decidir enviar sua foto para o teste, será feito um hash, mas a foto real será excluída.

O processo é automatizado, incluindo a identificação de atividades suspeitas e verificação da foto.

Você parecia pensar que o processo não foi automatizado em um comentário, mas o Facebook diz que é.

Comentários

• Qual é a credibilidade da afirmação de que o processo é automatizado se ainda está funcionando horas depois de iniciado? A questão não é o que o Facebook diz. A questão é o que ele faz .
• @Greendrake Hanlon ‘ navalha : o sistema travou ou está sobrecarregado. Se eu fosse projetar tal sistema, ‘ usaria um hash difuso que tem o potencial de ter falsos positivos. Se fosse compatível, seria necessária uma revisão humana.
• @Greendrake Nenhum de nós está lá no momento em que acontece, mas duvido que eles convenceriam todos no Facebook a mentir sobre isso. É difícil fazer dezenas de milhares de pessoas mentirem da mesma maneira.
• @Greendrake I ‘ tenho certeza de que grande parte do tempo que leva é baseado no número de solicitações que processam. Há mais de um bilhão de pessoas no Facebook.
• Convencendo dezenas de milhares a mentir: 1) apenas uma pequena porcentagem delas saberia a verdade sobre como o processo funciona (o resto não ‘ t precisa saber); 2) um NDA seria bastante convincente para quem conhece.

Desculpe, não tenho papel alumínio chapéu para você hoje.

O Sistema 1 salva suas fotos e deixa uma caixa de seleção “A conta está pronta para verificação facial”.

O Sistema 2 verifica essa caixa e coloca sua conta em um lista interna de contas que devem ser verificadas.

Você exclui suas fotos e o sistema 1 desmarca a caixa “Conta está pronta para verificação facial”.

O sistema 2 não marca a caixa “Conta está pronto para verificação facial “novamente antes de seu próximo login, porque o caso de uma conta ter apenas algumas fotos verificáveis e excluí-las logo depois é um caso raro e agora o processo trava.

Em outras palavras :

O cálculo das características biométricas só é feito, quando necessário – leia: só então quando o processo de verificação é acionado.Não há mais fotos das quais extrair os dados e agora o processo de verificação não pode “prosseguir.

Comentários

• Você está dizendo isso teria solicitado o upload da foto do rosto mesmo se eu não tivesse excluído as fotos que enviei inicialmente?
• Sim, porque o comportamento de criação de sua conta é muito como um bot
• Ok, parece uma boa teoria. Algo convincente de que as coisas são assim?
• Infelizmente não, você ‘ provavelmente teria que enviar um relatório de bug / tweetar para @Facebook e obter uma confirmação.;) Eu não ‘ não sei qual é a infraestrutura ou o fluxo de verificação do Facebook como. E o ponto crucial é que ninguém aqui faz, a menos que alguém aqui seja um desenvolvedor do Facebook. No final, só podemos usar nossa melhor teoria, e minha teoria usa código / fluxo defeituoso como base, e essa é provavelmente a mais comum razão para comportamento estranho em sistemas.
• O verific O processo de ação foi concluído e resultou na desativação da minha conta. Ainda assim, permite que eu baixe todos os meus dados (não ‘ ainda não sei o que ‘ s lá – não deve haver nada). Mas o que isso significa é que a teoria está errada: o processo prosseguiu, aparentemente manualmente, pois resultou na desativação da conta.