Нужна ли биометрия на самом деле, может все же лучше аппаратный токен…

Нужна ли биометрия или все же можно обойтись обычным аппаратным токеном? По причинам, которые я не совсем понимаю, большая часть мира, похоже, влюблена в биометрию!

• За биометрию выступают не только пользователи дорогих смартфонов и ноутбуков, но даже опытные специалисты в области безопасности, отвечающие за разработку будущих мировых решений для аутентификации.

Даже на конференциях, посвященных установлению мировых стандартов безопасности в отношении будущей аутентификации, многие из участников полагают, что биометрия – это основа безопасной аутентификации!

Нужна ли биометрия и каково будущее аутентификации?

Я никогда не был поклонником биометрии, но теперь я ее полностью ненавижу. Почему? Потому что она очень плохо аутентифицирует людей. Вот что я имею в виду: биометрические данные ужасно неточны!

Большинство людей думают, что биометрические данные невероятно точны. Вам говорят: “Ни у кого больше нет ваших отпечатков пальцев, сетчатки глаза” или чего-то еще.

• Хотя ваш отпечаток пальца может быть (почти) уникальным в мире, то, что сохраняется и впоследствии измеряется во время аутентификации, таковым не является. Но тогда нужна ли биометрия вообще, если она не точна….. Хороший вопрос.

Как сохраняется биометрия

Ваш отпечаток пальца (или радужная оболочка, сетчатка, лицо и т.д.) не сохраняется и не измеряется в виде высокодетализированного изображения.

То, что хранится и оценивается – это измерение различных определяющих характеристик (“точек”) этой биометрической идентификации.

Как хранится и оценивается отпечаток пальца

• Например, ваши отпечатки пальцев превращаются в серию точек, отмечающих, где происходят основные изгибы и резкие изменения.

Эти большие отклонения отмечены точками, при этом общий отпечаток пальца, который сохраняется и оценивается, гораздо больше похож на созвездие, чем на реальный отпечаток пальца. Поэтому нужна ли биометрия в принципе, большой вопрос.

Посмотрите новые смартфоны на AliExpress или Яндекс.Маркете!

Устройство и программное обеспечение, которые записывают исходный биометрический атрибут, могут собирать только крупные детали.

Как работает ПО для анализа биометрии

В какой-то момент считыватель / сканер не может видеть мелкие детали. Отпечаток пальца каждого человека имеет очень крошечные микро изменения, некоторые из которых, возможно, являются частью реального отпечатка пальца, но чаще всего это временные порезы или ссадины.

Если считыватель отпечатков пальцев зафиксирует все мельчайшие детали, какие только сможет, очень вероятно, что завтра ваш сохраненный отпечаток пальца не будет соответствовать вашему сегодняшнему отпечатку пальца.

• То же самое с вашим лицом, радужной оболочкой, сетчаткой или любым другим биометрическим атрибутом.

Вместо этого биометрические считыватели и верификаторы вынуждены “отключать” себя, чтобы быть менее точными, чем они могли бы быть.

Фактически, эта подстройка обычно выполняется настолько тщательно, что предполагаемая уникальность реального биометрического фактора в конечном итоге получает гораздо больше совпадений с другими несвязанными сохраненными значениями.

Например, в одной компании около 700 сотрудников. Это значит, что уже точно будет несколько “совпадений” отпечатков пальцев!

И поэтому будет требоваться, чтобы сотрудники использовали еще и другие свои пальцы, в попытке найти “уникальный” отпечаток пальца.

Проблема ложных срабатываний

Если бы считыватель отпечатков пальцев был лучше настроен, чтобы иметь возможность видеть истинные различия, которые, безусловно, существуют, это привело бы к слишком большому количеству ложно отрицательных и ложно положительных результатов.

Уже слишком много ложных отказов, даже если системы специально отключены. Вы когда-нибудь сидели позади кого-то, кто пытался использовать свой отпечаток пальца (или глазное яблоко), чтобы пройти через биометрически защищенную дверь?

Посмотрите новые недорогие ноутбуки на AliExpress или Яндекс.Маркете!

Человек снова и снова разными способами прикладывает свой палец (или глазное яблоко) к читателю, чтобы заставить систему наконец принять это. И нужна ли биометрия в таком виде как она сейчас существует?

• Считыватель, со своей стороны, сканирует представленную биометрическую идентификацию снова и снова так быстро, как только может, прежде чем выдаст разрешение или отказ.

Эх, если бы люди знали, сколько раз их предоставленные биометрические данные оценивались и отклонялись во время каждой подачи, они бы действительно поняли, насколько неточными на самом деле являются биометрические системы…

Биометрия не может быть сдана абсолютно всеми

Если вы когда-либо создавали крупномасштабные биометрические системы – от десятков тысяч до сотен тысяч пользователей, то вы узнаете, что по целому ряду причин у вас будут люди, которые никогда не смогут использовать определенный биометрический атрибут для аутентификации.

Я говорю не о людях со стеклянными глазными яблоками или без отпечатков пальцев, а о людях, которые никогда не смогут получить свою биометрическую запись.

• В их телах есть что-то уникальное. Из-за чего их биометрические атрибуты меняются так сильно, возможно, ежеминутно, что они никогда не смогут успешно пройти аутентификацию с использованием определенного представления биометрических атрибутов.

Этим людям делаются исключения из системы и разрешается проходить аутентификацию с использованием какого-либо другого метода.

Биометрия не является секретом

Биометрические данные – это не так хорошо защищенная информация, как скажем личный пароль или аппаратный токен (физические устройства для авторизации пользователей).

Ваша биометрия часто находятся повсюду (например, отпечатки пальцев или лицо) или могут быть зафиксированы любым способом везде. Да уж, нужна ли биометрия действительно…. Нет другого типа аутентификации, который был бы так легко виден и доступен. Это приводит к другим проблемам.

Биометрические данные легко скопировать

Самая большая проблема с несекретным фактором аутентификации заключается в том, что их легко скопировать для злонамеренного повторного использования.

Ваши отпечатки пальцев и лицо буквально повсюду, и их можно легко захватить, скопировать и использовать повторно.

• Как только они будут захвачены кем-то другим, как может система, полагающаяся на эти биометрические атрибуты, доверять тому, что вы тот, за кого себя выдаете?

Например, в июне 2015 года более 5,6 миллиона записей отпечатков пальцев в США были украдены китайской системой (APT).

У любого, кто когда-либо подавал заявление на получение допуска к службе безопасности США, были украдены отпечатки пальцев.

Я много раз сдавал свои отпечатки пальцев различным организациям, включая Сбербанк когда получал кредит и салоны сотовой связи при покупках сим-карты, или когда я подавал заявление на работу как то раз…

• В каждом из этих случаев я должен был подписать документ, подтверждающий, что мои биометрические данные будут переданы другим лицам в целях мой же безопасности, чтобы меня аутентифицировать.

Изображение моего лица может быть получено не только из любого места, где я нахожусь, но и из любой базы данных распознавания лиц, которую создают агентства по всему миру.

Огромные биометрические базы данных

Например, ФБР уже может получить доступ к более чем 400 миллионам лиц в различных базах данных, к которым у них есть доступ.

Мои изображения радужной оболочки и сетчатки могут быть сохранены и захвачены в любой системе, которая захватила их за время моей жизни.

Эти изображения могут быть украдены с любого устройства, где вы используете биометрические данные для разблокировки своего устройства, поэтому хороший вопрос, нужна ли биометрия в современном мире….

• Несколько групп разрабатывают “инклюзивные” биометрические базы данных, в которых будут храниться все биометрические образцы, необходимые для представления всей совокупности возможных биометрических записей.

Идея состоит в том, чтобы позволить этим организациям представлять и использовать биометрическую запись, которая будет принята биометрическими системами так, как если бы их представил законный пользователь.

Когда я думаю об этом, я представляю шпиона типа Джеймса Бонда, который, столкнувшись с каким-то биометрическим запросом на вход, поднимает свое устройство для представления биометрических данных размером с USB-ключ и входит в систему как предполагаемый пользователь.

Биометрию легко обмануть

Я устал слышать, как трудно обмануть ту или иную биометрическую систему. Продавцы рекламируют эти якобы невозможные для взлома системы, часто требующие 3D-датчиков или датчиков температуры, чтобы сделать “невозможным” повторное использование скопированного / украденного биометрического атрибута другим человеком.

Даже есть видео на Youtube, показывающее, как люди легко обманули биометрический считыватель с помощью подделки…

• Есть продавцы, которые рекламируют очень сложные для обмана биометрические сканеры, но они также обычно очень сложны в использовании, даже для законных пользователей.

Они работают медленнее и дают гораздо больше ложно отрицательных результатов, чем более приемлемые продукты других производителей.

Теперь вы знаете нужна ли биометрия в мире. Ответ скорее нет, чем да. Подробнее про биометрию можете почитать тут https://pikabu.ru/story/za_i_protiv_biometrii_chto_yeto_takoe_nuzhna_li_ona_voobshche_i_chto_v_ney_ne_tak_8638244. Читайте также про Средства обеспечения безопасности обработки персональных данных.

НА ГЛАВНУЮ