Для тех,
кто не делает
поспешных выводов

Голос, уши, вены и походка. Можно ли украсть биометрию, как пароль от аккаунта

Понедельник, 21 Октября 2019, 07:55
«Умные двери», автомобили, заводящиеся, узнав хозяина в лицо, финансовые операции вообще без каких-либо документов — это уже не завтрашний день, а почти сегодняшний
Фото: Getty Images

Фото: Getty Images

Еще недавно мы только в голливудских фильмах видели двери, которые открываются по отпечатку пальца, рисунку радужной оболочки глаза, голосу или лицу человека. Ну и, конечно, герои этих фильмов тратили неимоверные усилия, чтобы такие преграды преодолеть.

А потом практическая биометрия стала быстро входить в нашу повседневную жизнь. Сперва ноутбуки, а затем и смартфоны научились узнавать хозяина по отпечатку пальца, потом появилась идентификация по лицу - вместе с шутками, что iPhone, дескать, в понедельник утром не узнает своего владельца.

Далее биометрическую идентификацию массово начали внедрять банки и финансовые компании - так, сегодня Приватбанк экспериментирует с оплатой по лицу, без платежных карт и гаджетов.

Следующим этапом станет широкое распространение биометрических систем, контролирующих физический доступ. Подошел к двери квартиры, приложил палец к замку - дверь открылась. Сел в машину, она через камеру распознала твое лицо, завелась и поехала.

Знать в лицо

Таких технологий уже много, и отпечаток пальцев - одна из самых простых. Уже давно в ходу идентификация по лицу, реже встречаются системы, распознающие человека по голосу или радужной оболочке глаза, еще реже - по ушной раковине, по рисунку вен, сердцебиению и даже походке. Вообще, биометрическая идентификация хороша тем, что отпадает необходимость запоминать или регулярно менять сложные пароли, это делает доступ пользователей к защищенным ресурсам и приложениям гораздо удобнее.

Бизнес уже вовсю использует такие технологии. Некоторые авиакомпании запустили системы распознавания лиц в используемых ими аэропортах: они на основе обучаемых нейронных сетей позволяют идентифицировать пассажира и персонализировать услуги. Задача - сделать так, чтобы пассажир мог пройти от входа в аэропорт до посадки в самолет, ни разу не достав посадочный талон.

Формирование базы данных лиц происходит исключительно с личного согласия каждого пассажира. На стойке регистрации сотрудник авиакомпании с помощью небольшой камеры делает фото. После этого пассажир может проходить в бизнес-зал и на посадку без предъявления посадочного талона.

Многие банки в мире также уже применяют биометрическую идентификацию клиентов по лицу. Система предназначена для защиты от мошеннических действий и неправомерного доступа к счету. Образец лица каждого клиента записывается при первом визите в банк и в дальнейшем используется для его идентификации наряду с предъявлением паспорта.

Система позволяет встроить биометрию в процесс обслуживания клиента, не отнимая у него лишнее время. Для снижения риска мошенничества дополнительно используется Liveness - комбинация технологий, позволяющих определить, что перед камерой живой человек, а не фотография или манекен.

В мобильном приложении банка клиенты могут с помощью селфи самостоятельно подтверждать нетипичные операции (например, переводы на чужие карты или нетипичные по суммам переводы, оплату покупок или услуг в сети, закрытие вклада раньше срока и т. д.), что повышает безопасность использования дистанционного банковского обслуживания.

Что здесь важно понять? Авиакомпания, банк и "умная дверь" используют, по сути, одни и те же решения для биометрической аутентификации. Единая система позволяет внедрять технологию биометрической аутентификации в различные сценарии использования: начиная с входа в помещение и заканчивая единым доступом в различные приложения.

Вадим Запарованый
Технический директор компании Accord Group

При проектировании систем безопасности на основе биометрии профессионалы в области защиты должны использовать все доступные им методы. Можно использовать такие проверенные временем методы, как многосторонняя защита, строгий контроль доступа, распределение и постоянная смена обязанностей, а также применение принципа минимальной привилегированности с целью определения, кто к какой части системы имеет доступ. Нужно помнить, что биометрические системы хранят наиболее личную информацию о своих пользователях, что требует чрезвычайного внимания к ее защищенности.

Однако, несмотря на ряд недостатков, использование биометрических систем открывает множество новых возможностей для специалистов по информационной безопасности, особенно в области контроля доступа.

Обход подобных систем с помощью искусственных подделок является дорогостоящим и часто невозможным, так как, например, широкий ряд существующих сканеров отпечатков пальцев дополнительно учитывают при распознавании такие параметры, как температура, строение кровеносных сосудов, проводимость кожи и т.  д., а в случае со сканерами радужной оболочки глаза учитываются непроизвольные движения глаза.

Вопросы безопасности

Триумфальное шествие биометрических систем идентификации сегодня сдерживают не технологии и не их стоимость (она уже вполне приемлема для широкого применения), а соображения совсем другого рода. Буквально каждую неделю мы слышим про очередную крупную утечку персональных данных. Чувствительные для людей данные теряют все - и коммерческие компании, и самые защищенные (казалось бы) государственные службы.

Специалисты по информационной безопасности признают: на 100% защититься от потери данных невозможно.

Однако если в сеть "утекут" пароль и логин от вашего почтового ящика или даже корпоративной системы, исправить это несложно: достаточно поменять этот самый пароль. Куда хуже, если "утекли" биометрические данные. Вы не поменяете ни отпечаток пальца, ни радужную оболочку, ни голос, ни черты лица. И больше никогда не будете уверены, что находитесь в безопасности. Ведь даже после того, как утечка данных будет ликвидирована, все равно вы не будете знать, у кого в загашнике, где-нибудь на жестком диске, осталась ваша биометрия.

Но уже решена и эта проблема. В отличие от систем первых поколений, сегодня в базах данных хранятся уже не сами биометрические данные клиентов, а их цифровые слепки (т.  н. "хэши"). По такому хэшу можно проверить подлинность биометрической информации, но нельзя восстановить исходные данные - скажем, об отпечатках пальцев или радужной оболочке глаза. Соответственно, если такие слепки "утекут" в сеть, свою личность человек не потеряет, поскольку воспроизвести его биометрические данные будет невозможно.

Валерий Береговой
Генеральный директор компании Accord Group

Методы биометрической защиты информации стремительно набирают популярность в самых различных отраслях - от паспортно-визовых документов нового поколения до образования, здравоохранения, финансовых и платежных систем, программ лояльности и сопровождения авиапассажиров. Причины такой популярности биометрических технологий в сфере информационной безопасности объясняются их высокой эффективностью и комфортностью применения систем контроля доступа на их основе.

Но наряду с этими удобствами есть некоторые болезненные вопросы. Прежде всего это проблема замены характеристик. Если у человека украли кредитную карту, проблема банка - блокирование старой карты и регистрация новой. Когда пользователь компьютера забывает свой пароль, системный администратор отменяет старый и выдает новый. В представленных двух процессах, когда информация компрометируется (через потерю или кражу), уполномоченное лицо должно признать недействительной старую информацию и выдать новую (и отличную от старой) информацию пользователю. К сожалению, с биометрическими системами все не так просто. Замена биометрической характеристики человека в большинстве случаев невозможна. Использование биометрических систем ставит новые задачи перед их разработчиками, так как в случае кражи информации из биометрической системы последствия могут быть катастрофическими.

Больше новостей о технологиях и научных разработках читайте в рубрике Техно