2024欧洲身份周点亮认知安全

2024年欧洲身份周议程是迄今为止最好的，汇集了来自世界各地的最聪明的人才和领先的创新者，一起探索最新的身份技术、创新和战略的会议活动。该身份周包括动态圆桌会议、露天研讨会以及来自旅游、政府和分布式身份领导人的重要演讲和小组讨论！

**特色主题包括：**IAM、安全文档创新、生物识别、跨境钱包、身份AI应用、欧洲身份框架、无缝旅行、边境身份、CIAM、云和隐私以及网络欺诈。四个会议剧院，250家全球参展商和一些圆桌会议为一些市场和供应商情报收集提供了坚实的背景。第二天的会议一些关于大型身份管理项目中一些新出现的挑战和案例研究概述如下。

Deepfake****注入攻击-认知安全

第二天上午，来自iProov的Andrew Budd发表了一篇关于深度假攻击剖析的有趣演讲。在过去的6个月里，关于深度假可能性的例子有很多讨论——即名人声称自己的行为方式很奇怪。虽然发人深省，但最终他们更多的是令人震惊和敬畏的例子。这次谈话更加真实和实际。

基本上，生物识别数据被用于一系列生态系统的注册和认证。随着这项技术的成熟，坏人也在发展，使用注入攻击-从模拟器可以提供假图片，设备操作，到后端验证篡改。

**最终，坏人也在不断发展他们的技术基础——换脸工具的市场唾手可得。iProov发布了一份白皮书，详细介绍了攻击模式，并对攻击类型进行了分类。**讨论了两种缓解措施，重点是图像分析和设备分析。虽然后者可能是静态的，更容易规避，但在图像分析过程中添加更多随机数据(iprove提供)可以在生物识别测试的捕获，处理和验证阶段的所有部分防止注入攻击。

另一个是从通过软件进行生物识别检查，到更多的SaaS方法的迁移——这允许不断发展和自适应的方式来识别注入攻击和响应。

深度伪造和其他人工智能生成的合成媒体的兴起对远程身份验证构成了重大威胁。虽然存在各种远程身份验证方法，例如视频通话验证，但面部生物识别已被证明是最安全、最可用和最具包容性的方法。其他方式，例如语音，已被证明特别容易受到生成式人工智能的影响。

今年，一家XX公司的财务员工被深度伪造的电话会议欺骗，向骗子汇了2500万美元。攻击者伪造了每一位董事会成员的脸，他们伪造了首席执行官，伪造了整个互动过程。财务总监不可能知道他不是在与真正的董事会打交道，董事会给了他真正的指示，让他将 2500 万美元汇给一些窃贼。

研究公司Gartner预测，“到2026年，使用人工智能生成的深度伪造面部生物识别技术的攻击将意味着，30%的企业将不再认为这种身份验证解决方案是孤立可靠的。”

2024年6月，国内机构--数说安全发布《2024安全大模型技术与市场研究报告》，对认知安全进行了描述。具体请跳转到对方公众号。

_2024《安全大模型技术与市场研究报告》【单击跳转】
_

近年，由于生成式人工智能的流行，深度伪造为了造成认知安全的最主要手法，**深度伪造是使用人工智能深度学习软件制作的视频或图像，展示人们所说或所做的事情。深度伪造越来越多地被用于网络犯罪，可能是为了经济利益、社会混乱、投票欺诈或其他邪恶目的。**深度伪造被用于冒充他人进行欺诈和访问服务，或者获取使用真实身份无法访问的服务。它们可用于合成身份欺诈、账户欺诈和账户接管欺诈等。深度伪造有很多种类型——换脸、重演或生成对抗网络 (GAN)——并且可以部署在多种威胁类型中，例如演示或数字注入攻击。

iProov在2024年威胁情报报告《生成式人工智能对远程身份验证的影响》中发现，免费和低成本的换脸工具、虚拟摄像头和移动模拟器正在加速越来越多专注于深度伪造的威胁行为者的努力。2023年使用“换脸”技术试图绕过远程身份验证的Deepfake攻击增加了704%。

人类和数字生物识别系统都存在潜在的脆弱性，未来认知安全将随着AI的发展而发展，“用魔法打败魔法”。

eBay上的PSD2 SCA

eBay支持Ulrich Herberg关于支付服务指令中强客户认证方面的实际实施的有趣演讲。虽然eBay以市场而闻名，但他们也以支付处理等形式提供金融服务。为此，它们在财务上获得许可，并受到必要的PSD2立法的约束。

这次谈话是关于他们在这段旅程中的经历——如何到达那里，要避免什么，要做什么。

他们的工作重点是了解可能因需要SCA而受到影响的现有用户流——那些最终以支付转账或超过一定价值的购买结束的用户流。对于许多组织来说，身份基础设施的碎片化可能会使初始阶段变得麻烦。Ulrich还强调，它们将是例外——并不是所有的用户和流都需要应用SCA——即低风险和低价值。

实现利用现代和灵活的MFA方法，包括密钥——FIDO支持的加密挑战响应方法，利用同步能力——提供私钥传输用例。我们还讨论了基于eIDAS的其他一些有趣的身份验证用例——在eIDAS中，相互TLS是为第三方提供商(IE银行机构，而不是最终用户身份)实现的。

主要的好处(不包括合规性)是减少了账户流失率。如果一个身份不能登录到他们的帐号，他们可能会决定创建另一个身份。改进MFA的重置和发行流程，可以为最终用户提供更加自给自足的模型，从而增加对其帐号的依恋。

//FIDO 联盟执行董事兼首席执行官 Andrew Shikiar 2024年5月29日题为“ FIDO、密钥和无密码状态”的会议上谈到两个话题。

1、如何防御快速发展的深度伪造技术，尤其是实时远程验证

2、密钥的广泛采用指日可待，而组织必须做好准备，在密钥成为主流时管理和保护密钥

该联盟针对人脸识别技术的新认证标准。第一个（也是迄今为止唯一一个）获得该认证的组织是 iProov。FIDO 联盟已准备好提供人脸识别技术的独立测试。//

突破性技术解决了 MFA 重置期间用户锁定的主要问题

Nametag宣布已获得一项与账户恢复相关的专利，该专利与Nametag的身份验证平台一起解决了多因素身份验证的关键挑战。使用Nametag的组织可以为用户提供快速、安全的体验，让他们使用政府颁发的身份证和自拍照注册新的MFA设备。该技术弥补了关键的用户体验缺陷和关键的漏洞点，威胁行为者经常利用这些漏洞来接管账户，从而导致数据泄露和勒索软件事件。

Nametag首席执行官Aaron Painter表示："这项技术标志着多因素身份验证的一个重要里程碑。部署 MFA 的组织很快发现，帐号恢复过程是体验和安全方面的一大盲点。我们的技术可实现无缝MFA 重新绑定，从而降低客户的成本和风险，同时节省人们的时间和精力。我们祝贺我们的团队获得这项专利，并将这项技术带入行业，帮助改善安全性和用户体验。"

Okta称，近三分之二的用户使用MFA进行身份验证。但随着公司越来越多地采用强制MFA策略，他们面临着大量用户在更换设备时被锁定的问题。公司需要验证这些请求是来自试图恢复其帐号访问权限的合法用户，还是来自试图接管这些帐号的恶意行为者。

为此，组织通常要求用户联系公司的帮助台，以重置MFA和其他身份验证方法（例如密码）。但这会给用户带来漫长而令人沮丧的过程，并使帮助台代理面临使用先进社交工程技术和AI生成的深度伪造的冒名顶替者的风险。

Nametag凭借唯一一款基于身份验证技术的帐号恢复解决方案解决了这些问题，该解决方案可主动防止数字注入攻击和深度伪造演示攻击。Nametag的自助服务和代理辅助解决方案将MFA和密码重置转移到自助服务，同时使帮助台代理能够快速验证他们正在交谈的任何人。

宜家CIAM

第二天演讲之一是家具和家居设计公司宜家的详细客户身份案例研究。CIAM产品负责人Herman van Vuren详细介绍了交付一个成功的CIAM项目所需的业务成果和技术能力。

这是一场详细的演讲，强调了B2E和B2C身份之间的关键区别，以及在CIAM讨论中包括高级业务利益相关者的必要性——无论是从开始还是之后。