Удаленная биометрическая идентификация: разоблачение обмана
Опубликовала Александр Горшков 27 декабря 2019 г. 10:00:00 MSK
Процесс удаленной идентификации достаточно сложный. Его принципиальное отличие от идентификации в СКУД, в отделении или на ресепшен в том, что пользователь остается один на один с системой и может предпринимать любые действия для ее обмана и получения доступа к защищаемым ресурсам. Маловероятно, что на глазах у сотрудника безопасности или иного представителя компании кто-то будет пытаться обмануть биометрическую идентификацию, используя для этого фотографию, муляж руки и тем более распечатанную на 3D-принтере копию головы. Однако при удаленной идентификации такую ситуацию исключить нельзя. В рубрике "День эксперта" - Александр Горшков, Директор по развитию компании Iris Devices.
Текущие методы удаленной биометрической идентификации можно разделить на две группы:
- идентификация осуществляется встроенными сервисами операционной системы устройства;
- идентификация проводится удаленно, на стороне компании, предоставляющей доступ к защищенному ресурсу.
Рассмотрим, в чем заключаются различия и уязвимости этих видов идентификации.
Идентификация на устройстве
Неважно, каким способом проводится идентификация пользователя на устройстве – по отпечатку пальца, характерным параметрам лица, рисунку вен или радужной оболочке глаза.
В зависимости от используемого алгоритма на разных устройствах эти методы могут демонстрировать более или менее точные результаты.
Например, смартфоны под управлением операционной системы Android на момент написания статьи не поддерживали подтверждение финансовых операций при помощи биометрической идентификации по лицу.
Быстро и удобно
Положительным моментом реализации биометрического функционала на стороне пользователя является то, что биометрические данные хранятся на личных устройствах и тем самым не нарушаются требования GDPR по хранению и обработке персональных биометрических данных граждан. Сама идентификация осуществляется также на самом устройстве встроенными средствами операционной системы, что исключает зависимость от качества каналов связи, обеспечивает стабильную скорость биометрической идентификации и демонстрирует высокий уровень безопасности при обработке биометрических данных.
Основными причинами широкого применения такого метода биометрической идентификации стала простота интеграции, понятный пользователю интерфейс и отсутствие необходимости дополнительно приобретать биометрические лицензии. Благодаря этому компания имеет возможность бесплатно реализовать удобный для пользователя способ идентификации, а пользователю такое решение позволяет не посещать офис компании для регистрации своих биометрических данных.
Ложка дегтя
В то же время у таких методов есть серьезный недостаток: компания, предоставляющая доступ, не может точно утверждать, кому он предоставляется.
Ей достоверно известно только то, что доступ открыт пользователю, биометрические данные которого совпадают с биометрическими данными, зарегистрированными на устройстве клиента.
Для исключения риска несанкционированного добавления чужих биометрических данных на устройстве или изменения биометрических данных уже зарегистрированного пользователя некоторые разработчики перед предоставлением доступа осуществляют проверку, что в системе не производилось никаких действий с TouchID или FaceID с момента, когда пользователь разрешил использовать данный способ идентификации. В случае обнаружения любых изменений или добавления биометрических данных пользователю предлагается повторно пройти процедуру авторизации, используя для этого традиционные методы – логин и пароль.
Такой механизм реализован компанией Apple для доступа в AppStore. В случае наличия изменений в TouchID или FaceID требуется ввод пароля, который пользователь часто не помнит, так как до этого он авторизовался по биометрии. В итоге начинается муторная процедура восстановления пароля.
Надо учитывать также, что все (подчеркиваю – все) смартфоны с любыми встроенными алгоритмами биометрической идентификации ошибаются или допускают обман.
Идентификации на сервере компании
При другом подходе хранение биометрических шаблонов и их сравнение осуществляется на серверах компании. Такая реализация позволяет однозначно констатировать, что производится сравнение предоставленного биометрического шаблона с шаблоном истинного пользователя.
Вопрос производительности
Такой метод идентификации значительно надежнее, но и для него характерно большинство описанных выше недостатков. В дополнение к этому появляются проблемы с производительностью оборудования. Если в первом случае вычислительные операции выполняются на распределенных устройствах, никак не нагружая серверную инфраструктуру компании, то для второго варианта требуется оборудование высокой производительности, чтобы обеспечить за то же время обработку значительного числа одновременных запросов.
Выходом из этой ситуации может стать перераспределение части вычислительного функционала с серверов компании на клиентское оборудование. Например, можно локально определять, что перед камерой находится живой человек, после этого оценивать качество изображения и уже качественную информацию передавать на серверы компании для построения там биометрического шаблона и сравнения его с шаблоном зарегистрированного пользователя.
Актуальность программного обеспечения
Есть и другие варианты уменьшения нагрузки на вычислительные ресурсы компании. Можно реализовать на устройстве клиента построение биометрического шаблона и потом передавать его в информационные системы компании для сравнения. Но в таком случае, скорее всего, возникнут вопросы совместимости данных, когда произошло обновление централизованных биометрических систем, а клиент продолжает использовать предыдущую версию. Это не будет неразрешимой технической проблемой, но приведет к увеличению вычислительных ресурсов, так как потребуется одновременно поддерживать несколько версий программного обеспечения с несовместимыми биометрическими шаблонами.
Три плюса централизованной биометрической системы
Методы биометрической идентификации на оборудовании пользователя или серверах компании имеют одинаковые уязвимости в отношении способов обмана, однако использование централизованной биометрической системы позволяет:
- знать, кто именно проходит биометрическую идентификацию;
- оперативно, не требуя от пользователей специальных действий, осуществлять обновление ядра биометрической системы (в том числе для выявления и противодействию попыткам обмана);
- предоставлять возможность идентификации при помощи биометрии независимо от типа используемого оборудования (планшеты с Android, смартфоны с iOS или стационарные компьютеры).
Дипфейки наступают
Какое бы решение ни использовалось для биометрической идентификации, в любом случае необходимо выявить и предотвратить попытки его обмана.
Хао Ли, ведущий американский эксперт в области дипфейков, уверен, что поддельные изображения станут неотличимыми от реальных фотографий и видеозаписей уже через 6–12 месяцев.
Угроза создания поддельных изображений заключается еще в том, что свободно распространяемые алгоритмы позволяют легко генерировать такие дипфейки обычным пользователям, не обладающим специальной технической подготовкой и не имеющим уникального оборудования.
Методы борьбы
Опасность глубоких подделок является настолько глобальной для всего мирового сообщества, что Facebook анонсировал конкурс Deepfake Detection Challenge. Вместе с Microsoft, MIT, Калифорнийским университетом в Беркли, Оксфордским университетом и другими исследовательскими организациями будет проведено соревнование, участникам которого предлагается разработать наиболее эффективный способ отличить дипфейк-видео и фото.
С приближением президентских выборов в США в 2020 г. растет озабоченность по поводу распространения фальшивой информации с целью политических манипуляций и влияния на общественность. Понимая риск такого обмана, многие компании уже несколько лет
усиленно разрабатывают алгоритмы выявления трудноидентифицируемых подделок: рассматриваются варианты выявления рисунка вен на лице, реакция зрачков и информация
с радужной оболочки глаз. Пока это только определение самого факта наличия вен под кожей или анализ бликов на роговице глаза и изменение размеров зрачка, но в дальнейшем радужка сможет использоваться как основной биометрический фактор для более точной идентификации и выявления попыток обмана.
Источник: Журнал "Системы безопасности" №5/2019
- ТБ Форум (701)
- Деловая программа (428)
- День эксперта (242)
- Промышленность (225)
- Транспорт (217)
- ТЭК и нефтегаз (210)
- Смотр технологий (192)
- Встречи с заказчиками (185)
- Цифровая трансформация (173)
- Безопасный город (160)
- Закупки и внедрения (155)
- Защита информации и связи, кибербезопасность (120)
- Пожарная безопасность (97)
- Банки и финансы (94)
- Антитеррор (87)
- Ритейл (83)
- Спорт и массовые мероприятия (66)
- Строительство и проектирование, BIM (52)
- Охрана периметра (17)
- Кибербезопасность (13)
- Центры обработки данных (ЦОД) (13)
- Видеонаблюдение (6)
- Защита от БПЛА (6)
- Пожаротушение (6)
- Цифровые технологии (6)
- Информационная безопасность (5)
- Лучшие практики регионов (5)
- Автоматизация (4)
- ИТС (4)
- Импортозамещение (4)
- Искусственный интеллект (4)
- Новости (4)
- Новости отрасли (4)
- Перестройка бизнеса (4)
- Хранение данных (4)
- All-over-IP (3)
- Безопасность объектов (3)
- Блокчейн (3)
- СКУД (3)
- Транспортная безопасность (3)
- Big Data (2)
- DLP (2)
- HR Tech (2)
- IT-инфраструктура (2)
- LTE и 5G (2)
- RPA (2)
- Wi-Fi (2)
- e-commerce (2)
- Анализ данных (2)
- Большие данные (2)
- Видеоаналитика (2)
- Газовое оборудование (2)
- ИТ-инфраструктура (2)
- Индустрия 4.0 (2)
- Интеллектуальные транспортные системы (2)
- Интервью участников (2)
- КВО (2)
- КИИ (2)
- Машинное зрение (2)
- Обработка больших данных (2)
- Отрасль (2)
- Пожарная сигнализация (2)
- Правила противопожарного режима (2)
- Промышленная автоматизация (2)
- Промышленная безопасность, охрана труда (2)
- Противопожарные системы (2)
- Регулирование (2)
- Роботизация (2)
- Сельское хозяйство (2)
- Системы хранения данных (2)
- Ситуационные центры (2)
- Ситуационный центр (2)
- Требования пожарной безопасности (2)
- Умный город (2)
- Умный транспорт (2)
- Цифровое ЖКХ (2)
- данные (2)
- логистика (2)
- сети связи (2)
- цифровой двойник (2)
- АМТ-ГРУП (1)
- Аэропорт (1)
- Воздушный транспорт (1)
- Интервью (1)
- Комплексная безопасность (1)
- Методы защиты информации (1)
- Умное ЖКХ (1)
- Умный дом (1)
- ФСТЭК (1)
- критическая инфраструктура (1)
- декабря 2023 (4)
- ноября 2023 (1)
- октября 2023 (6)
- сентября 2023 (12)
- августа 2023 (6)
- июля 2023 (10)
- июня 2023 (12)
- мая 2023 (8)
- апреля 2023 (5)
- марта 2023 (9)
- февраля 2023 (42)
- января 2023 (8)
- декабря 2022 (4)
- ноября 2022 (4)
- октября 2022 (4)
- сентября 2022 (12)
- августа 2022 (7)
- июля 2022 (8)
- июня 2022 (9)
- мая 2022 (11)
- апреля 2022 (4)
- марта 2022 (12)
- февраля 2022 (32)
- января 2022 (11)
- декабря 2021 (11)
- ноября 2021 (8)
- октября 2021 (12)
- сентября 2021 (17)
- августа 2021 (17)
- июля 2021 (12)
- июня 2021 (15)
- мая 2021 (6)
- апреля 2021 (15)
- марта 2021 (17)
- февраля 2021 (32)
- января 2021 (19)
- декабря 2020 (15)
- ноября 2020 (11)
- октября 2020 (22)
- сентября 2020 (17)
- августа 2020 (15)
- июля 2020 (22)
- июня 2020 (18)
- мая 2020 (20)
- апреля 2020 (25)
- марта 2020 (17)
- февраля 2020 (12)
- января 2020 (17)
- декабря 2019 (21)
- ноября 2019 (21)
- октября 2019 (17)
- сентября 2019 (17)
- августа 2019 (17)
- июля 2019 (17)
- июня 2019 (13)
- мая 2019 (14)
- апреля 2019 (15)
- марта 2019 (17)
- февраля 2019 (18)
- января 2019 (17)
- декабря 2018 (15)
- ноября 2018 (19)
- октября 2018 (19)
- сентября 2018 (19)
- августа 2018 (18)
- июля 2018 (12)
- июня 2018 (8)
- мая 2018 (13)
- апреля 2018 (10)
- марта 2018 (12)
- февраля 2018 (16)
- января 2018 (15)
- декабря 2017 (11)
- ноября 2017 (7)
- октября 2017 (10)
- сентября 2017 (8)
- августа 2017 (10)
- июля 2017 (6)
- июня 2017 (8)
- мая 2017 (7)
- апреля 2017 (9)
- марта 2017 (10)
- февраля 2017 (4)
Поделитесь вашими идеями