Comments 39
Как насчет не собирать их вообще?
Задача разработчика сделать этот процесс максимально безопасным, а у пользователя должна быть возможность отказаться от сдачи биометрии. Например, не выезжать в страны Евросоюза, где требуется сдавать биометрию для получения визы.
Вы так говорите Евросоюз, что я аж загуглил.
The Russian government requires biometric fingerprinting from all foreign nationals when entering Russia.
После прочтения данной статьи только укрепился в мысли, что во всех этих конструкциях есть один лишний элемент — сама биометрия. Всё тоже самое точно так же работает и с традиционными способами аутентификации.
С той лишь разницей, что вы скорее всего даже не заметите как вашу биометрию заснимут с расстояния 5-10-20 метров. Или вообще восстановят по публичным материалам. Как это уже проделывали. И не раз. И все эти ухищрения, как в этой статье — просто упражнения для ума математиков. Но с точки зрения реальной безопасносьи — яйца выеденого не стоит.
Если снимать с большого расстояния, то источник ИК излучения должен быть мощным.
Но, в этом случае это будет не безопасно с малого расстояния.
Но, рисунок вен или радужка – не входят в ЕБС.
Предполагаю, что это не случайно.
Я в своё время тоже не задумывался о том, что можно с 10 метров восстановить папиллярный рисунок. Однако-же...
Проблемы безопасности тем и примечательны, что решения часто изобилуют неочевидностью. И именно это меня в биометрии больше всего и пугает. Как не изгаляйся, а всё равно найдётся кто-то более ловкий, который найдёт способ получить желаемое.
Как говорится: любое решение безопасности хорошо ровно настолько, насколько хорош его автор. И не более.
Пароль я сменить могу, а вот биометрию — нет...
Про биометрию по венам расскажет Александр Дремин, генеральный директор Прософт-Биометрикс. Можно будет напрямую задать ему вопросы.
Участие бесплаьно, регистрация на странице events.webinar.ru/16177653/4659124
Хм… Любопытно…
Есть только один вопрос: а насколько уважаемый Александр Дремин инженер? В том смысле, что мои вопросы сугубо инженерные и не получу ли я в ответ одни отговорки?
Ну и просто задать вопрос в воздух и надеяться, что на него ответят… А у меня вопросов мно-о-о-го. В том числе и уточняющих… Эх… Вот подискутировать с кем либо из тех, кто это лоббирует я был бы не против :)
Ну и да. Уж что-что а социальная инженерия с биометрией упростится просто в разы. Про пин код с карты ещё хоть как-то можно объяснить, что никому не показывать, а вот биометрия… Ну откуда бабульки (или даже мне) знать для каких целей меня сейчас снимают: чтобы подтвердить мою личность или чтобы украсть?
Моя цель не пропагандировать или пугать биометрией. Это делают достаточно много и без меня. Моя цель – направить это в максимально безопасное русло.
Руку можно снять при рукопожатии. Сделать камеру в часах и никто ничего не заподозрит.
Многие думают Bluetooth это связь работающая на малых расстояниях, но стоит взять направленную антенну и это уже не так. Способ украсть биометрию найдётся.
Во-первых, смартфоны Самсунг «ломаются» потому, что там нет (или не было) проверки на идентификацию живого человека. Кстати, у Эпла по лицу – тоже нет такой проверки. Возможно, что скоро появится.
Во-вторых, мне неизвестно ни одного случая успешного использования украденной биометрии, кроме случаев социальной инженерии или сговора с сотрудниками.
Можно организовать конкурс по обману реальных биометрических сканеров, а не игрушечных поделок, в том числе и на смартфонах. В смартфонах биометрия применяется не для защиты, а для удобства.
Можно 27-го числа спросить у разработчиков о готовности предоставить оборудование и принять участие в таком форуме.
Во-вторых, мне неизвестно ни одного случая успешного использования украденной биометрии, кроме случаев социальной инженерии или сговора с сотрудниками.Многие годы никому не нужны были чужие sim карты и тут вдруг оказалось перевыпустив её можно украсть деньги с банковских счетов и началось…
Кому бы нужны были записи чужих голосов, а если появится идентификация по голосу с доступом к деньгам тут же найдётся применение алгоритмам синтеза речи обучающимся на коротких записях.
Надо ли были кому-то чужие паспортные данные? В девяностые люди за видеокассету паспорт в залог оставляли, а сейчас таких дураков уже намного меньше т.к. платить чужие кредиты неохота.
Будет значительная материальная выгода — будут массово красть и использовать.
Можно организовать конкурс по обману реальных биометрических сканеровВ конкурсах обычно участвуют не те кто занят в криминале. Кроме того на конкурс можно поставить супер датчик ладони со всеми возможными проверками, но массово внедрят то что дёшево.
Именно для того, чтобы такая выгода не появилась – и разрабатываются алгоритмы защиты.
Они не гарантируют, что не появятся позволяющие их обойти решения, но стоимость их использования не даст желаемой выгоды.
всегда проще, дешевле и надёжней договориться с кем-то из персонала или при помощи социальной инженерии напрямую похитить денежные средства.
Что касается оборудования для конкурса. Вы представляете сколько стоит выпусти не серийное супер-пупер сканер? И почему, если он выпущен – не производить его серийно? К тому же, у каждого производителя есть каталог серийно выпускаемых изделий. Для конкурса можно отбирать именно такие.
Что касается оборудования для конкурса. Вы представляете сколько стоит выпусти не серийное супер-пупер сканер? И почему, если он выпущен – не производить его серийно? К тому же, у каждого производителя есть каталог серийно выпускаемых изделий. Для конкурса можно отбирать именно такие.В реальности применяется вот такая биометрия:
Конечно где-то есть дорогие правильно установленные и используемые сканеры которые не ломают т.к. они очень редкие и перед ними надо ещё два поста охраны пройти.
Кто-то хочет выглядеть круто и ставит самые современные устройства при входе с целью произвести впечатление.
Какие устройства ставят в Макдоналдсе или Бургер-Кинг – можно наблюдать в их ресторанах быстрого питания.
Размещать здесь не буду, чтобы не рекламировать.
Уточню, что есть и другие примеры с другим оборудованием.
Вы спорите о бесконтрольном снятии биометрии с конкретного индивида, а как насчёт массового воровства, например, в магазине оптики, где сидит оптометрист с офтальмоскопом? Так и радужку, и дно снять можно.
Большинство биометрических свойств слишком легко снимаются без ведома человека. Это приблизительно как таскать связку ключей на кольце на поясе, так что ее всем видно. Этого делать не рекомендуется. А биометрию использовать — только н путь.
Отвечу на вопрос про офтальмолога.
Его аппарат позволяет получить изображение только в ИК спектре.
В статье рекомендуется и предлагается мультиспектральный анализ.
Причём изображения, полученное в разных спектрах – будут отличаться.
В результате такого хакерства будет получено статическое изображение радужки, которое не пройдёт проверку живой-не живой.
И, конечно, не надо полагаться только на один способ идентификации.
Об этом также говорится в статье.
Я сам неплохо представляю себе все эти "как надо", потому что в них нет никакой магии. Однако, эти все требования — сложные. Они сложнее большинства не-биометрических методов. При этом, и обычные методы на каждом шагу работают хрен знает как, несмотря на то, что их использовать, вроде бы, должно быть проще.
Так что мой аргумент — о реальной ситуации против идеальной.
Во всех операционных системах есть уязвимости, но мы не отказываемся от использования смартфонов и компьютеров.
Точно также, как обновляются операционные системы – так же происходит обновление и биометрических алгоритмов.
Вопрос использовать этот функционал или нет, какой способ идентификации выбрать – это индивидуальный выбор.
Алгоритмы-то можно сколько угодно менять. Но если биометрия утекла (особенно оригинал, а не трансформированный вариант), это что-же, ждать что алгоритм смогут подтюнить так, чтобы украденным нельзя было воспользоваться и молиться, что воспользоваться не успеют? И есть сильное подозрение, что проблема будет не в алгоритмах а в железе. И тогда время на изменение будет сильно больше. И всё это время непонятно кто сможет делать непонятно что… И потом опять и опять гонят людей заново снимать биометрию?
При том, что пароль я могу сменить не вставая со стула.
А в той-же Эстонии и цифровую подпись можно не выходя из дома сменить в любой момент времени. Они вообще красавчики. Хоть и тоже не с первой попытки смогли всё правильно организовать.
Всё-таки я согласен с мыслью, что все эти технологии — неадекватная мера. Ни по сложности реализации, ни по масштабу возможных проблем.
Ну и да. Всё идёт к тому, что выбор-то перестанет быть индивидуальным. Что тоже очень сильно напрягает.
Приходишь в Сбер, а тебя пытаются на биометрию развести. Ну ок. Сам сдавать не буду, но в целом чем бы банк не баловался. Пусть себе экспериментирует.
А потом заходишь на ГосУслуги и тебе в рожу баннер: "Снимите свои биометрические данные! Зайдите в ближайшее отделение банка!"
Оп-па!!! То-есть Сбер даже не у себя в БД биометрию хранит! А если БД глобальная, значит и всех остальных будут заставлять на неё подсаживаться. А значит эти данные — чёртов джек-пот для всего криминала планеты, блин! Т.е. просто поставив коробочку в любом торговом центре, можно натырить биометрии и быть уверенным, что к ней точно привязана вкусняшка.
И не надо тут про сложность такого съёма. Ради такого можно и раскошелиться на любую технику. Уж коли даже последние модели банкоматов заинтересованные исхитряются доставать, то что уж тут говорить.
И да. Социальная инженерия всегда была и останется королевой взлома. И пока у меня такое впечатление, что массовая биометрия — просто манна небесная для социнженеров...
Организует ЦБ, а реализует Ростелеком.
Сменить пин код карты раньше было нельзя. Теперь это делается легко через приложение, телефон и банкомат.
К сожалению, вам потребуется это зафиксировать на самой карте. так что не всё и не всегда получается просто.
Про съём биометрии в торговом центре – что-то не занимаются этим.
Проверку живой-не живой – такая съёмка не проходит.
Тут более опасна технология deepfake, которая развивается ускоренными темпами. Обязательно подготовлю на эту тему статью.
В инфракрасном свете заснимут рисунок вен или радужки?
Это же элементарно, Ватсон. В любой торговой точке можно выдавать бесплатные дисконтные карты. И при этом собирать биометрию с каждого получателя карты — пальцы, лицо, голос, радужку, рисунок вен, туда же до кучи паспортные данные, подпись, мыло, номер телефона. Да, кстати, можно еще сразу требовать задать пароль для личного кабинета, в 99% он будет совпадать с паролем от мыла. Потом с собранными данными делать все что угодно.
Дураков много.
Дисконтная карта это просто пример, можно придумать кучу других предлогов для сбора данных, вплоть до фейкового банковского офиса.
И при этом там уже начали случаться коллизии биометрии между совершенно независимыми людьми. И это при далеко не полном охвате планеты биометрией.
И то, что они не отменяют… Ну там логика вообще не частый гость. Больше лобби рулят, а не логические доводы...
Почему? Потому, что используемая биометрия по лицу – не обеспечивает необходимой точности.
Именно по этому и предлагается использовать мультимодальную идентификацию, которая позволит обеспечить более высокую точность. Именно по этому, стали смотреть в сторону более точной идентификации по радужке, комбинируя её с другими модальностями.
И уже есть практические разработки в зарубежных странах.
Это всё будет.
Не всё получается сразу.
Биометрия – это ещё очень молодая технология.
PS
Тут ещё не обсуждалась поведенческая биометрия, которую нельзя снять на видео или зафиксировать иными способами.
Просто всё это выводит средства фиксации биометрии на такой уровень сложности, что становится непонятно какие такие преимущества даёт весь этот огород, что ради этого имеет смысл заморачиваться? Причём сразу в массовом порядке?
Я бы понял, если бы это просто на уровне исследований и экспериментов было. Но оно же сразу на живых людях начинает проверяться. Что как-бы совсем не комфортно для "подопытных".
И если таких данных будет много, то затраты получатся существенными.
Именно по этому, крупные проекты могут позволить некоторые банки и государство.
Остальные проекты реализуют проекты только для своих сотрудников.
Идея с введением налоги отличная, но в случае реализации государственных проектов окажется не работающей.
Укажите, пожалуйста, корректную ссылку на утечку голосовых данных Сбербанка
Ссылку поправил.
В конце статьи по ссылке говорится:
Отметим, что банки не всегда могут обеспечить надежную защиту от утечки биометрических данных. Так, в конце октября 2019 г. в интернете был обнаружен архив, содержащий, помимо прочей персональной информации, еще записи разговоров клиентов Сбербанка с техподдержкой банка, а это, фактически, образцы их голоса. Сбербанк отрицал факт утечки, но подлинность части содержащейся в архиве информации была подтверждена сотрудниками РБК.
К сожалению, другие записи с этой информацией похоже удалены.
Как защитить биометрические данные пользователей от криминального использования