Биометрическая аутентификация – это процедура опознавания личности путем предоставления человеком своих биометрических данных. Ее главное преимущество – это комфорт, поскольку такой пароль, как отпечаток указательного пальца, просто невозможно забыть.

Технологии биометрической аутентификации уже успели « переехать» из фильмов про Джеймса Бонда в повседневный обиход. С помощью биометрии можно оплатить онлайн-покупки, зайти в метро, подтвердить свою личность в приложении каршеринга и десятках других сервисов.

Наравне с распространением биометрии все острее встает вопрос о перспективах: какой биометрический пароль будет сочетать в себе достаточное удобство с высокой безопасностью и станет доминирующим в ближайшие годы. Об этом – в нашей статье.

Методы биометрической аутентификации

В настоящее время наиболее распространены два метода:

1. Сканирование отпечатка пальца. Самый популярный и повсеместный метод, который, в частности, используется при выдаче загранпаспортов современного типа, и может стать основой при выдаче в будущем государственных паспортов РФ нового типа.

2. Сканирование овала лица. Часто встречается как элемент контрольно-пропускной системы организаций, разных госучреждений и образовательных центров, университетов.

На развитие и того, и другого способа биометрии, сильно повлияли смартфоны. Флагманские модели последних семи лет повально оснащаются технологиями biometric identification system, Face- или Touch ID.

Артем Ожегов

Старший системный инженер ГК ICL
Биометрические персональные данные применяются по всему миру в различных сферах деятельности. Специалистами проводятся исследования на предмет использования и защиты таких данных. Без инцидентов, конечно, не обходится. Известен случай, когда злоумышленники, используя технологию дипфейк, обрабатывали фотографии, создавали видео и на протяжении нескольких лет подделывали документы для налоговой службы.

Технологии биометрической идентификации и аутентификации не могут дать стопроцентной гарантии – вероятность ошибки или ложного совпадения всегда присутствует. Существуют международные и национальные стандарты, которые устанавливают требования к проведению эксплуатационных испытаний биометрических систем, что позволяет разработчикам снизить вероятность проявления ошибок.

Технологии развиваются, всегда найдется тот, кто захочет и будет искать возможность использовать их в незаконных целях. По моему мнению, использовать биометрию следует в качестве дополнительного фактора аутентификации.

Есть и другие методы биометрии, которые применяются реже по тем или иным причинам. Среди них можно выделить следующие:

• голос;

• рисунок вен на запястье;

• ладонь;

• сетчатка глаза.

Важно понимать, что каждый биометрический «пароль» имеет свои недостатки. Например, голос меняется с течением времени и даже «в моменте» во время простудных заболеваний.

Сканирование отпечатка ладони выглядит более надежным, чем одного пальца, но требует оборудования большего размера, что делает такой способ менее удобным. К тому же, проблема ложноотрицательных срабатываний становится еще актуальнее, поскольку маркеров для системы становится больше.

Ситуация с рисунком вен характерна для многих северных регионов с холодным климатом. Человеку, который одет в три слоя одежды, оголить запястье на пропускном пункте будет достаточно сложно.

Проблема ложных срабатываний в биометрической системе

Благодаря смартфонам, с ложноположительными срабатываниями сталкивались практически все: телефон просто отказывается разблокироваться, если палец, например, испачкан или мокрый.

Если спроецировать эту проблему со смартфона на банковский сектор или пропускной пункт режимного объекта, то ситуация скорее неприятная, чем критичная – палец придется прикладывать повторно до тех пор, пока система его не распознает.

Игорь Афонин
Руководитель центра компетенций мультимедиа и унифицированных коммуникаций «T1 Интеграция»

С одной стороны, использование биометрии – это несомненное удобство, но, с другой стороны, это порождает определенные риски. Ваши лицо и голос никак не скрыты от посторонних. Имея достаточное количество видео или аудиозаписей можно обучить нейронную сеть либо генерировать изображение вашего лица, либо имитировать голос. Мошенники также могут получить отпечатки пальцев. Пожалуй, наиболее эффективным будет следующий подход: для некритичных финансовых операций вполне можно использовать биометрию, например, для оплаты в метро по лицу, а для доступа к счетам стоит всегда использовать двухфакторную идентификацию: например, биометрию и код подтверждения или пароль и код подтверждения. Авторизация только одним методом несет высокий риск кражи данных.

Гораздо острее проблема стоит с ложноположительными срабатываниями. Они возможны только потому что ни одна система не сравнивает полный отпечаток пальца с имеющимся в системе: это убило бы удобство метода и сделало биометрическую идентификацию долгой.

Система сопоставляет отдельные маркеры, количество которых заложено в нее разработчиком или производителем. При наличии времени и желании, выдать себя за другого человека по отпечатку пальца можно практически в любой системе.

Подобный случай произошел в Индии, где один человек пытался выдать себя за другого, используя верхний слой кожи с подушечки пальца во время экзамена. Систему у него получилось обмануть, а вот экзаменатора – нет.

Константин Корсаков
Главный архитектор RooX

Биометрическая идентификация на современном уровне развития является достаточно точной, но все же вероятностной технологией. И если ложноотрицательный результат всего лишь доставит немного неудобств (вам придется использовать пароль или предъявить документ), то ложноположительный результат приведет к утечке ваших данных или потере средств. Поэтому биометрия должна всегда комбинироваться с некоторым другим фактором.

Также пока не решена задача отмены биометрических данных. Пароль можно сменить, ключ перевыпустить, а вот изменение радужной оболочки глаза пока недоступно обычному пользователю.

На данном этапе развития биометрический метод идентификации не может выступать как самостоятельный, и применяется вкупе с традиционными методами, в первую очередь – вводом пароля или прикладыванием ключ-карты.

В то же время, совершенствуются не только технологии биометрического сканирования, но и инструменты их защиты от нелегитимной эксплуатации.

Биометрия и информационная безопасность

Проблема биометрии с позиции ИБ заключается в том, что биометрические данные слабо защищены, так как человек не может везде ходить в перчатках, прятать лицо или общаться в повседневной жизни измененным голосом.

Такая «открытость» паролей создает ложное ощущение, что их легко похитить. На практике это не совсем так, и изготовление шаблонных копий – трудоемкий и достаточно длительный процесс.

Владислав Алешин
Эксперт группы биометрических технологий и систем аутентификации центра прикладных систем безопасности компании «Инфосистемы Джет»

Чтобы изготовить муляж, злоумышленнику необходимо выполнить два действия: получить биометрический образец потенциальной жертвы, например, изображение лица или отпечаток пальца, и изготовить сам муляж. Соответственно, чем труднее получить образец, тем труднее будет его подделать. Поэтому наиболее защищенными будут те характеристики, которые являются скрытыми или трудно получаемыми. Из решений, представленных на рынке, наиболее сложными к получению биометрического образца являются решения распознавания по радужной оболочке глаза и по рисунку вен ладоней. Обе технологии являются бесконтактными, они безопасны и безвредны для человека. Технологии основаны на получении биометрической информации с помощью инфракрасного излучения.

Также стоит упомянуть, что биометрические системы имеют функцию, называемую Liveness Detection. В ее задачу входит проверка, что с биометрической системой «общается» живой пользователь, а не, например, его фотография. Когда злоумышленник пытается обмануть биометрическую систему с помощью подделки, он соревнуется с механизмами Liveness Detection, а не непосредственно с самими механизмами распознавания. Это существенно снижает вероятность взлома биометрической системы с помощью подделки.

На данный момент уровень защиты биометрических систем во многом определяется типом биометрии. Чем сложнее ее добыть и изготовить шаблон – тем уровень выше. Есть и отдельные ИБ-инструменты, которые позволяют бороться с машинным копированием и попытками выдать виртуальную картинку за реальное изображение.

В области защиты баз данных биометрических материалов нет особой специфики, которая кардинально отличала бы этот процесс от защиты стандартных паролей. Защитные инструменты там применяются идентичные.

Источник: Cyber Media