Замена паролейна биометрическуюаутентификацию

Биометрия – чистейшее зло

Не менее настороженно Наталья Касперская относится к биометрии. Она порекомендовала не передавать никому свои биометрические данные и, цитата, “не вестись на удобство».

От конструктора VR-проектов до повышения цифровой грамотности: как в Москве тестируют инновации в образовании
Инновации и стартапы

В настоящее время в России существует государственная Единая биометрическая система (ЕБС), популярностью среди россиян не пользующаяся. По данным «Ведомостей», на середину февраля 2021 г. в ней было зарегистрировано всего около 164 тыс. граждан России из более чем 146 млн. Также биометрию любят собирать банки, предлагая взамен упрощенную авторизацию в личном кабинете.

Создание ЕБС началось в 2016 г., а первые тесты прошли в декабре 2017 г. Официальный запуск ЕБС состоялся 1 июля 2018 г. однако еще в марте 2018 г. CNews сообщил о том, что оператором ЕБС назначен «Ростелеком». За 3,5 года в этом плане ничего не изменилось – развитием системы по-прежнему занимается «Ростелеком».

Широкую популярность ЕБС приобрела у российских банков. В настоящее время она используется как минимум в Сбербанке, Альфа-банке, Промсвязьбанке и Почта-банке.

«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на удобство. Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе, от своих сотрудников», – заявила Наталья Касперская. Она добавила, что лично ей непонятно, зачем в принципе нужно повсеместное использование биометрии.

«Граждане сдают отпечатки пальцев и фото лиц, их лица снимают без их ведома и согласия на улицах, на транспорте, в офисах и торговых центрах, а потом такую информацию может кто-то слить, украсть, перехватить и использовать, например, в крупных сделках с недвижимостью, при управлении счетом в банке, при проходе на закрытые объекты и тому подобном», – предостерегла россиян об опасности президент InfoWatch.

Производители оборудования для биометрической защиты

Крупнейшие компании на рынке:

BioLink (Россия) выпускает системы с использованием комбинированных методов аутентификации, например BioLink U-Match 5.0 – сканер отпечатков пальцев со встроенным считывателем магнитных и/или чиповых карт.

ZKTeco (Китай) распространяет недорогие устройства, которые производят управление доступом и учет времени работы для заводов, финансовых и государственных учреждений. Используются отпечатки пальцев и геометрия лица.

Ekey biometric systems (Австрия) – европейский лидер, производит дактилоскопические сканеры, которые для большей точности применяют тепловой и радиочастотный анализ.

Могут ли несовершеннолетние лица давать свое согласие на обработку персональных данных?

Учитывая, что дача согласия на обработку персональных данных является правом субъекта персональных данных, согласно ч. 1 ст. 9 Федерального закона «О персональных данных», то следует исходить из того, с какого момента этим правом субъект может воспользоваться.

По общему правилу, согласно ст. 60 Конституции РФ, в полном объеме осуществлять свои права и обязанности лицо может с 18 лет. Аналогичное положение закреплено в п. 1 ст. 21 Гражданского кодекса РФ, где раскрывая понятие дееспособность, под которой понимается способность лица своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их, законодатель указывает на её возникновение в полном объеме по достижении восемнадцатилетнего возраста.

Однако, лица, не достигшие восемнадцатилетнего возраста, также имеют определенный объем прав и обязанностей, предусмотренный законом, в частности в статьях и Гражданского кодекса РФ (далее — ГК РФ). Согласно указанным статьям, лица, не достигшие восемнадцатилетнего возраста, могут заключать сделки и выступать субъектом сделки только в предусмотренных законом случаях.

Так, если дачу согласия на обработку персональных данных рассматривать в качестве односторонней сделки, т.е. как действия гражданина, которые направлены на установление, изменение или прекращение его гражданских прав и обязанностей, и для которых в силу закона достаточно одностороннего выражения воли, то можно сделать следующие выводы:

  • в силу того, что под объем правомочий несовершеннолетних лиц, указанный в статьях 26 и 28 ГК РФ, дача согласия на обработку персональных данных не подпадает, то применяется общее правило о совершении сделок несовершеннолетними не достигшими четырнадцати лет — согласие на обработку персональных данных от их имени могут дать только их родители, усыновители или опекуны
  • несовершеннолетние в возрасте от четырнадцати до восемнадцати лет могут давать согласие на обработку своих персональных данных, но только с письменного согласия своих законных представителей — родителей, усыновителей или попечителя

Данная позиция подтверждается и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (ранее Минкомсвязь, далее — Министерство), которое в своих Методических рекомендациях для общеобразовательных организаций по вопросам обработки персональных данных (далее — Рекомендации) указало, что для предоставления согласия на обработку персональных данных ребёнка в письменной форме, достаточно подписи одного из родителей в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации.

Однако, рассматривать дачу согласия на обработку персональных данных ребёнком от шести до четырнадцати лет в качестве сделки, разрешенной законом (сделка, направленная на безвозмездное получение выгоды) не совсем корректно, т.к. по смыслу пп. 2 п. 2 ст. 26 ГК РФ, под сделками, направленными на безвозмездное получение выгоды, в первую очередь понимаются сделки дарения, которые предполагают получение несовершеннолетним какой-то материальной ценности. Кроме того, такая сделка должна быть безвозмездной, т.е. получая какую-либо выгоду, несовершеннолетнее лицо не обременяется соответствующими обязанностями. Например, при совершении сделки дарения одаряемое лицо не приобретает обязанностей, оно имеет только права: принять или отказаться от объекта дарения.

Так, принимая пользовательское соглашение на интернет-сайте, которое предполагает обработку персональных данных, ребёнок от шести до четырнадцати лет не просто выражает свое право, но и принимает корреспондирующие обязанности. Следовательно, действительной такую сделку назвать нельзя.

Стоит отметить, что давая согласие на обработку персональных данных, субъект может и принимать на себя некоторые обязанности, например:

  • сообщать оператору персональных данных только актуальные и достоверные персональные данные
  • в случае изменения персональных данных своевременно представлять оператору сведения об этом

Особенности систем защиты данных

Все мы в своей деятельности постоянно сталкиваемся с проблемами получения, передачи, сохранности информации, в самых разных сферах. Не даром говорят: «Владею информацией — владею миром», это верно в наш век информационных технологий, как никогда ранее. Вопросы идентификации чрезвычайно актуальны. Биометрические системы  обеспечивают контроль доступа, дают высокую надежность, широко используются во всем мире.

Рассмотрим круг задач, которые с успехом решаются с помощью новых технологий — биометрии:

  • Вход в электронное рабочее место;
  • Получение, передача конфиденциальной информации коммерческого характера;
  • Ведение правительственных ресурсов;
  • Осуществление банковских и финансовых операций;
  • Торговля;
  • Защита данных;
  • Охрана правопорядка;
  • Здравоохранение;
  • Социальные услуги;
  • Частная жизнь (умный дом, смартфоны).

Трагические события последних лет, произошедшие в мире, угроза терроризма, заставили специалистов обратить внимание и ускорить разработку и внедрять системы защиты информации в науку, экономику, военное, банковское дело. Доступная цена позволяет обеспечивать массовое использование оборудования

Мировой рынок услуг и средств защиты очень емкий и имеет хорошие перспективы роста. Есть мнение, что уже в ближайшие годы каждый житель планеты будет иметь биометрическое удостоверение личности. Говоря о ценах, следует заметить, что они со временем существенно снижаются. Например, биометрическая защита доступа в компьютер стоит порядка 50 долларов, а дактилоскопическое оборудованием около 2000$.

Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях

Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.

Индустрия 4.0

Биометрия и диджитал-копии: как защитить себя и бизнес от кибермошенников

Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.

«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным. В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий. При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».

Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.

Индустрия 4.0

Как защититься от кибермошенников — шесть основных схем обмана

Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.

«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».

Уязвимость отпечатка

Как показали исследователи из Мичиганского государственного университета, первые массовые сканеры отпечатков можно обмануть с помощью обычного струйного принтера и специальной бумаги. Исследователи отсканировали рисунки кожи на нескольких пальцах и просто напечатали их в 2D токопроводящими чернилами на специальной бумаге, которую обычно применяют для печати электронных схем. Процесс очень быстрый. Это была не первая попытка найти уязвимость в биометрической защите, но ранее на создание качественного образца уходило не менее 30 минут.

Если вы придумали и запомнили сложный пароль, то у вас никто его не «утащит» из головы. А в случае биометрии достаточно найти качественный отпечаток вашего пальца. Эксперты показали, что можно снять отпечаток при помощи мармеладного мишки, если его приложить к поверхности смартфона. Также отпечаток можно воспроизвести по фотографии или с помощью приложения, имитирующего экран разблокировки.

Люди оставляют свои отпечатки повсюду, как если бы записывали свои пароли на всех встречающихся предметах и поверхностях. Но пароль хотя бы можно поменять, а если биометрический материал скомпрометирован, то вы не можете поменять себе глаз или палец.

Кроме того, базы данных всё время взламывают. Это в меньшей степени касается смартфонов, хранящих информацию в зашифрованном виде. Но много биометрической информации есть у государственных структур, и это не самые надежные хранители.

Принцип построения

Принцип построения биометрической системы основан на хранении данных зарегистрированных пользователей в защищенном хранилище или на отдельном сервере аутентификации.

Проходя процедуру, пользователь отправляет свои данные в хранилище или на сервер, где производится оперативная проверка всех предоставленных аутентификаторов. Метод позволяет определить возможность или невозможность представления доступа.

Биометрические параметры должны соответствовать ряду критериев, быть:

  • уникальными, исключающими возможность существования двух людей с одинаковыми признаками;
  • подходящими для всех, существующими у каждого человека;
  • измеримыми каким-либо устройством для занесения в базу данных, подверженными обработке доступными инструментами информатики;
  • постоянными, неизменными во времени.

Кроме того, измерение параметров, их фиксация и хранение должны быть приемлемыми для общества.

Что такое биометрическая система защиты

Определение

Биометрическая система защиты — это устройство, использующее биометрические данные человека для удостоверения его личности.

Основное назначение системы — обеспечение высокой надежности аутентификации объекта.

Сферы применения:

Осторожно! Если преподаватель обнаружит плагиат в работе, не избежать крупных проблем (вплоть до отчисления). Если нет возможности написать самому, закажите тут

  • вход, регистрация на рабочем электронном месте;
  • получение, передача коммерческой информации;
  • проведение банковских операций;
  • пропуск в помещения, здания с ограниченным доступом;
  • обеспечение безопасности доступа на смартфонах, планшетах.

Важное преимущество способа — удобство пользователя. В отличие от материальных носителей биометрические данные не могут быть утеряны

А в отличие от паролей, их невозможно забыть.

Защита средств идентификации

Мы все знаем, что пароль нельзя никому передавать и следует хранить в тайне, обязательным является периодическая смена паролей. Спрятать лицо или голос не получится, человека нельзя запереть в сейф, чтобы никто не мог скопировать его биометрические данные.

С учетом современного развития Интернета и социальных сетей, телефонии и мессенджеров получить фотографию человека и образец голоса не представляет никакой сложности. И регулярно менять лицо и голос не получится. Наоборот, биометрическая идентификация тем и привлекательна, что идентификатор не меняется или слабо меняется в течение жизни человека. Это одна из серьезных проблем систем биометрической идентификации. Какой бы способ биометрической идентификации ни был выбран, всегда надо исходить из того, что идентификатор может быть получен и использован злоумышленниками. Определенной защитой является проверка на «лайфность» предъявляемого идентификатора. Но более перспективным видится одновременное использование статических и динамических методов биометрической идентификации.

Статические методы идентифицируют по тому, чем человек обладает: отпечатку пальца, лицу, радужной оболочке глаза и т. д. Динамические методы идентифицируют человека по тому, как он что-то делает: по почерку, по работе на клавиатуре компьютера, по походке и т.д.

Например, если система биометрической аутентификации не просто анализирует лицо и голос, а еще и мимику лица при произнесении человеком конкретных выражений, такую систему обмануть будет значительно сложнее.

Следует отметить, что технологии динамической биометрической идентификации сложнее использовать, потому что эти биометрические параметры могут существенно меняться на протяжении жизни человека. Кроме того, при их использовании требуется больше времени для проведения идентификации, т.к. необходимо набрать достаточный объем данных для проведения идентификации.

С учетом того, что постоянно совершенствующиеся современные технологии позволяют провести атаку на любую технологию биометрической аутентификации, наиболее перспективным видится применение биометрической аутентификации одновременно по нескольким параметрам (технологиям) либо многофакторных систем аутентификации, одним из факторов в которых является биометрия.

На данный момент использование биометрии ограничивается отсутствием у пользователя устройств, позволяющих снять биометрические данные. Биометрические сканеры в виде отдельных устройств на данный момент достаточно дороги для большинства технологий биометрической идентификации.

Следует также отметить, что во многих странах биометрические данные человека относятся к особо охраняемой категории персональных данных, что требует применения серьезных средств защиты при их сборе, передаче и хранении.

Давайте подведем итоги: какие же плюсы и минусы есть у существующих систем биометрической идентификации?

Плюсы

  1. Идентификатор неотделим от человека, его нельзя забыть, потерять, передать. Проверив идентификатор, можно с высокой долей уверенности говорить о том, что был идентифицирован именно этот человек.
  2. Воссоздать (подделать) идентификатор достаточно сложно.
  3. Биометрическая идентификация удобна в использовании.
  4. Идентификация может проводиться прозрачно (незаметно) для человека.

Минусы

  1. Доступность биометрических идентификаторов для копирования и проведения атаки в большинстве систем биометрической идентификации.
  2. Необходимость наличия определенных окружающих условий для проведения биометрической идентификации.
  3. Могут возникать ситуации, когда биометрические идентификаторы повреждены или недоступны для считывания.
  4. Наличие ошибок первого и второго рода.
  5. Для многих систем биометрической идентификации биометрические сканеры достаточно дорогие.
  6. Необходимо обеспечивать требования регуляторов по защите биометрических персональных данных.

Как хранятся биометрические шаблоны: 2 основных метода защиты

Одно из элементарных правил информационной безопасности гласит, что в информационных системах пароли никогда не хранятся в чистом виде, чтобы их нельзя было напрямую подсмотреть и неправомерно использовать. На практике для этого используется механизм хэширования, когда с помощью криптографических алгоритмов создается его зашифрованное отображение, которое и записывается в базу данных. Аналогично биометрические БПД после их оцифровки маскируются для защищенного хранения.

Чтобы по шаблону было невозможно подделать БПД, используются следующие методы cybersecurity :

трансформация биометрических параметров, когда к исходным данным применяется необратимая функция, изменяющая их. При аутентификации выполняется обратное преобразование и используемые в системе алгоритмы распознавания сопоставляют текущие БПД с уже трансформированным шаблоном.


Трансформация параметров – один из способов защиты биометрического шаблона

биометрические криптосистемы, которые хранят только часть информации из биометрического шаблона – защищенный эскиз (secure sketch), данных в котором недостаточно для восстановления оригинального образца. При этом защищенный эскиз содержит информацию, необходимую для идентификации личности. Как правило, защищенный эскиз получают с помощью криптографического ключа и функций нечеткой логики. При этом в защищенном шаблоне содержится одновременно и сами биометрические данные и криптографический ключ. Однако, ни ключ, ни шаблон БПД нельзя восстановить по одному лишь защищенному эскизу. Когда системе биометрии предоставляют БПД, похожие на шаблон, она может восстановить сам исходный образец и его криптографический ключ с помощью стандартных методов распознавания ошибок, например, машины опорных векторов (SVM, Support Vector Machine).


В биометрии также используется криптография

Статистические методы

  • Дактилоскопический анализ
    . Для аутентификации используется уникальный рисунок папиллярных линий на подушечках пальцев. Для снятия и оцифровки отпечатков используются сканеры высокого разрешения и специальные способы обработки изображения. Основная трудность заключается в том, что необходимо различить и оцифровать рисунок небольшого размера. Главные преимущества: высокая надежность метода и удобство использования. Используется до 60-70 индивидуальных точек.
    Аутентификация по сетчатке глаза
  • Аутентификация по сетчатке.
    Начало использования такого метода, 50-е годя прошлого столетия. Анализировался рисунок кровеносных сосудов глазного дна. Сканирование производилось при помощи инфракрасного излучения. Недостатками такого метода были дороговизна и сложность аппаратуры и значительный дискомфорт, который испытывал человек при сканировании. В данный момент метод практически не применяется.

ВАЖНО!
На основании установлено, что в отличии от радужной оболочки глаза сетчатка на протяжении жизни человека может существенно изменяться.

Сканер сетчатки глаза, производство компании LG

  • Радужная оболочка глаза
    . Формирование радужной оболочки происходи еще до рождения человека и ее рисунок неизменен на протяжении всей жизни. Сложность и отчетливость рисунка позволяет регистрировать для распознания до 200 ключевых точек, что обеспечивает высокий уровень аутентификации объекта.
  • Геометрия руки.
    При аутентификации используется совокупность таких параметров как длина, толщина и изгиб фаланг пальцев, расстояние между суставами и т.п. чем больше параметров учитывается, тем надежнее система распознания, так как каждый показатель по отдельности не является уникальным для человека. Преимущества метода в довольно простой сканирующей аппаратуре и программном обеспечении, которые, тем не менее, дают результат сопоставимый по надежности с дактилоскопией. Недостаток в том, что руки больше всего подвержены механическим повреждениям: ушибам, распуханиям, артритам и т.п.
    Геометрия руки при аутентификации
  • Геометрия лица
    . В последнее время довольно распространенный метод. Основан на построении трехмерного изображения с выделением основных контуров носа, губ, глаз, бровей и расстояний между ними. Уникальный шаблон для человека начинается от 12 параметров, большинство систем оперируют 30 — 40 показателями. Основная сложность в вариативности считываемых данных в случае изменения положения сканируемого объекта или смены интенсивности освещенности. Преимуществом аппаратуры является широкое внедрение бесконтактного способа сканирования лица несколькими камерами.

Повышение качества обслуживания

Биометрическая система легко различает новых пользователей и узнает тех, кто уже прибегал к услугам компании. Это избавляет постоянных клиентов от заполнения документов и позволяет получать персональные бонусы в рамках программы лояльности. Например, важный для компании клиент может брать напрокат более дорогие и новые машины, пользоваться выгодными тарифами и стоимостью страхования, или вовсе обойтись без предоплаты

Важно, что такие решения могут приниматься моментально, и для этого не нужно участие или даже присутствие менеджера — вся информация о пользователе уже есть в системе, идентификация происходит автоматически, за чем следует персонифицированное предложение условий и опциональных возможностей

Индустрия 4.0

Биометрия в банках: что это, зачем и к чему приведет

Благодаря внедрению технологии первая полностью автоматизированная служба аренды автомобилей появилась у американской компании по аренде автомобилей Hertz еще в 2018 году. Киоски самообслуживания с биометрией разместили в пунктах проката при аэропортах в США.

Принцип работы следующий: пользователи предварительно резервируют автомобили через приложение, а затем забирают их самостоятельно без участия сотрудников каршеринга — пропускная система срабатывает на отпечаток пальца или сканирование лица. Технология позволила сократить процесс обслуживания клиентов почти в два раза — до двух минут.

Реклама биометрического сервиса Hertz Fast Lane в аэропорту Сан-Франциско

(Фото: Justin Sullivan / Getty Images)

Биометрия уже стала безусловным мейнстримом в каршеринге Китая, где также появилась автоматизированная служба аренды автомобилей с распознаванием лиц на основе блокчейна. Китайская платежная система Alipay, принадлежащая Alibaba, встроена в целую экосистему сервисов. В 2017 году компания представила свое решение с распознаванием лиц, а в 2020 году совместно с Wukong Car Rental создала сеть автоматизированных киосков для каршеринга.

Процесс аренды автомобиля можно запустить прямо на смартфоне: пользователь просто открывает приложение Alipay, создает учетную запись для каршеринга (загружает водительские права), затем размещает заказ на выдачу авто в ближайшем пункте у каршеринговых компаний-партнеров платежной системы. После этого клиент прибывает в пункт проката, где подтверждает свою личность. Для этого ему достаточно посмотреть в камеру на площадке с авто, сделать определенный жест, а потом самостоятельно забрать автомобиль. Данные об операциях сохраняются в блокчейн-реестрах.

Биометрические решения удобно встраиваются в индивидуальные рейтинги пользователей, что поощряет добросовестных клиентов. В Китае такие системы не редкость: в них отражается потребительская история человека, на основании которой он может получать разные уровни доступа к сервисам, продуктам и услугам. В России и по миру такие системы реализованы, например, в банковской индустрии — речь идет о скоринге, который представляет собой по сути рейтинг добросовестности заемщика. Например, у гиганта Alibaba, под управлением которого находится множество самых разных бизнесов, есть своя система Sesame Credit. Пользователь, набравший в ней 550 баллов и выше, имеет право на аренду без залога у операторов каршеринга, которые подключены к этой системе. Таких клиентов компании благодаря биометрии распознают мгновенно.

Экономика инноваций

Что такое кредитный рейтинг и почему россияне все чаще за него переживают

Полностью автономный каршеринг на основе биометрии в России пока еще не появился. Технических препятствий для внедрения и широкого распространения подобных систем в стране нет, остались только вызовы прикладного характера:

  • достижение экономической целесообразности решения;
  • его поддержка в сложных погодных условиях;
  • удобство работы с персональными данными пользователей;
  • управление получением и отзывом разрешений на их использование.

Задачи и сценарии применения биометрических технологий

Наибольшее распространение в корпоративной практике получили операционные системы Windows, и было бы логично рассмотреть использование биометрии в IAM именно на примере продуктов Microsoft, проанализировав интеграцию биометрических технологий с каталогом Active Directory (AD) — фундаментом ИТ-инфраструктуры.

Главными задачами биометрических технологий в этом контексте становятся:

  • устранение недостатков, присущих паролям, картам, токенам и т.д., на основе идентификации пользователей ИТ-систем по отпечаткам пальцев;
  • централизованное управление правами и полномочиями пользователей и жизненным циклом их учетных записей;
  • протоколирование событий доступа, мониторинг и аудит событий в системе IAM.

Первым этапом этой деятельности служит регистрация сведений о биометрических идентификаторах: изображения отпечатков пальцев преобразуются в цифровые модели, восстановить из которых реальное изображение невозможно. При очередном обращении пользователя к ИТ-системе вновь создается цифровая модель идентификатора, которая сравнивается с ранее зарегистрированной.

Если модели совпали, сервер биометрической идентификации обращается к каталогу AD для формирования пакета с учетными данными пользователя, который транслируется на рабочую станцию. Приложение, инициировавшее запрос на распознавание, получает нужные ему сведения в привычном для себя виде логина пользователя (User ID) и, если это необходимо, его пароля, после чего в стандартном режиме проверяет идентичность пользователя и решает вопрос о предоставлении ему доступа к защищаемым ресурсам.

В решениях, основанных на применении технологий распознавания по отпечаткам пальцев, сравнение упомянутых моделей осуществляется автоматически. Это, во-первых, позволяет объединить этапы идентификации и аутентификации пользователя (с поиском ответов на вопросы «Кто ты?» и «Чем ты можешь подтвердить свои полномочия?»); во-вторых, выгодно отличает данные решения от тех, что базируются на других технологиях — например, распознавании по рисунку вен на пальце или ладони или же форме черепа. Эти экзотические методы нуждаются в дополнительных «подпорках»: вводе пользователем пароля или предъявлении карты, что фактически перечеркивает преимущества биометрии.

Биометрические идентификаторы уникальны для каждого человека, не могут быть отчуждены от него, одолжены или забыты, зато предъявлять их легко и просто. Более половины (а по некоторым оценкам, и свыше двух третей) биометрического рынка занимают решения, основанные на идентификации по отпечаткам пальцев, и в сфере информационной безопасности наблюдается аналогичная картина

Вместе с тем и классическая модель биометрической идентификации по отпечаткам пальцев не означает полного отказа от применения паролей, карт и токенов: они могут использоваться в сценариях многофакторной идентификации («отпечаток плюс пароль», «отпечаток плюс карта»), востребованной, к примеру, при доступе к особо важным информационным ресурсам.

К важнейшим задачам биометрии в системе IAM также можно отнести:

  • реализацию технологии единого доступа (Single Sign-On) на основе биометрической идентификации. В этом случае отпечаток пальца становится единым идентификатором не только для входа в корпоративную сеть, но и для доступа к защищаемым ресурсам Интернета и в прикладные программы, реализующие стандартные механизмы распознавания пользователей;
  • организацию биометрической идентификации пользователей, работающих в терминальных сессиях, на «тонких» клиентах и платформах виртуализации;
  • обеспечение возможности распознавания пользователей по отпечаткам их пальцев в корпоративных приложениях, в которых действуют отличные от стандартных механизмы идентификации.

Как обмануть систему?

Прежде всего, ни одна, даже самая надежная биометрическая система защиты не способна дать стопроцентную гарантию того, что ее никто не сумеет обойти. Например, биометрический сканер лица на подавляющем большинстве смартфонов можно обойти, изготовив гипсовую копию головы, как в 2018 году и поступил журналист издания Forbes, разблокировав 4 из 5 инспектируемых им смартфонов при помощи гипсовой копии себя.

И все же, не получится обмануть биометрию в смартфоне, сделав макет по одной фотографии, ведь для изготовления качественного бюста необходимо несколько фото, сделанных с разных ракурсов и при хорошем уровне освещения.

Как оказалось, дактилоскопическая биометрия тоже имеет все шансы быть обманутой. Японский криптограф Цутому Мацумото в своем руководстве от 2002 года подробно описал, как вполне не сложно в домашней обстановке можно обработать отпечаток пальца жертвы и изготовить из желатина выпуклую маску.

Сложнее всего для злоумышленника − сделать качественную копию настоящего отпечатка пальца, ведь самые четкие образцы отпечатков приходится искать на стеклянных поверхностях или дверных ручках. Однако, сейчас становится все легче и легче воспроизвести рисунок линий на подушечке непосредственно с фотографии.

Однако, часто получение доступа к смартфону обыкновенного пользователя отнюдь не стоит средств, которые придется на него затратить, так что злоумышленнику это будет попросту невыгодно. Отсюда следует, что гипсовый бюст обойдется ему примерно в $400, а значит взлом телефона должен будет принести ему больше этой суммы.

Как хакеры обманывают системы распознавания лиц

В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».

Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.

В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.

Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.

Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.

Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.