我计划在我的iOS和android应用中使用AWS Rekognition服务来忘记密码。流程就像,每当用户启动忘记密码时,我都会检查实际用户是否正在为特定手机号码启动忘记密码。为此,我将要求用户拍摄自己的现场照片,并对照参考图像进行检查。但我现在面临一种情况,
例如:如果用户A获得了用户B的移动设备并从B的设备启动了忘记密码,如果我们只有OTP身份验证,则A可以 因为A可以访问B的消息,所以可以使用忘记密码轻松地更改B的密码。
因此,我想通过确保使用正在启动忘记密码操作的人员的实时图片,在启动忘记密码流程之前增加额外的安全性。
在这种情况下,如果用户A在用户的移动设备中拥有用户B的图片并采取 用户B的手机上的照片并启动忘记密码的密码?
如何限制这种情况?我只想知道这是否是建议的进行方式。
请咨询。
答案 0 :(得分:1)
Amazon Rekognition可以识别静止图像或视频中的面部。
静止图像的问题在于他们可以提交其他人的照片,因为没有证据表明该图像是“他们”。为了更加安全,应用程序可以自己拍摄照片,以便知道照片显示的是“现在”(而不是保存的图像)中的某物,但是可以想象他们可以拍摄照片以绕过此检查。
另一种方法是使用Amazon Rekognition Video在应用程序中录制视频,这将需要更多的带宽和处理时间,但更难伪造。
iPhone X使用3-D粒子扫描来提高安全性。
底线:人脸识别并不是高度安全,但是由于其他因素,您的用例可能会接受。