Comments 39

Персональные данные не нужны! Скорее бы избавились от них нафиг. Проблема скорее в законодательстве, что не даёт уйти от их использования.

И причём тут это? Я как раз про возможность сделать что угодно не прикрепляя свой паспорт и номер телефона при каждом чихе.
Например, продать квартиру, взять кредит на миллиард долларов или подписаться на донорство почки…
Не стоит надеяться, что без биометрии персональные данные защищены лучше.
Продать квартиру или машину, взять умопомрачительный кредит – значительно проще с помощью «своего» человека или социальной инженерии. Особенно, если номер паспорта и ИНН будут общедоступны.

А взломать, скопировать или дублировать физические носители информации – значительно проще, чем качественно подделать биометрию www.vesti.ru/doc.html?id=3270911
Об этом и статья.
Зачем нужно дублировать паспорт, если я авторизовался на официально сайте правительства?
Да и во многих других случаях наши данные собирают без явной необходимости.
А как они хранятся, кому передаются – мы не знаем.
Не случайно появляются сообщения, типа, «Собянин пообещал удалить данные соцмониторинга и системы пропусков», а как это проконтролировать если нет регламента по их обработке и как это обеспечить, если они действительно хранятся на зарубежных серверах?
Отсутствие в социальных сетях,
вызывают подозрение,
возмущение,
раздражение и наконец зависть
Присутствие в социальных сетях – это не персональные данные, к тому же – не достоверные.
Я так понимаю, идентификация по радужной оболочке легко ломается при использовании цветных линз. Предположу, что и обычные прозрачные линзы могут от своего положения создавать искажения.
А линзы очень распространены. И вытаскивать линзы перед каждой авторизацией — нерабочее решение.
Кроме всего прочего, это дорого. А ведь этими сканерами нужно оснастить каждого — т.е. условно у каждого как «зарядка к телефону» должен лежать еще и сканер оболочки.
Понятие обмана – достаточно широкое: можно обманывать, чтобы тебя приняли за другого человека, и можно обманывать, чтобы тебя не узнали.
любая идентификация должна проводиться с согласия её участников. Т.е. человек должен явно выразить желание, чтобы его узнали. И для этого можно использовать не только радужку, но и идентификацию по рисунку вен ладони или пальца. Подробно об этом рассмотрено в статье «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842

Что касается линз, то обычные прозрачные линзы не мешают идентификации (в том числе и оптические), в том числе благодаря использованию алгоритма кодирования (в отличие от других способов идентификации) полярную систему координат.
Также, классическая идентификация радужки осуществляется в инфракрасном свете. Идентификация в этом спектре не чувствительна к изменению цвета.
В случае использования других линз, например со специально нанесённым рисунком, видимым в ИК спектре – алгоритмы позволяют выявлять наличие линз.
А может вместо внедрения и использования 100500 разных видов биометрических идентификаторов, которые точно так же будут продаваться, мы государство просто оштрафует ответственных за слив на несколько млн $ и/или посадит на десяток лет?!

Или нет?! Или государство «в доле»? Или вводом новых идентификаторов будет сэкономлен бюджет?! Или кто-то наивно полагает, что есть какой-то вид биометрии, который через десяток лет невозможно будет подделать? Или кто-то наивно полагает, что если невозможно подделать, то не нужно защищать от сливов персональных данных, которыми являются биометрические данные и которые позволяют определить конкретного человека с >90% точностью?
Постараюсь ответить на все вопросы.
1. Государство, как раз и готовит единую базу www.rbc.ru/society/21/05/2020/5ec6c2619a7947e13410b79f
правда, это не единая база идентификаторов, но и в этом направлении работа ведётся.
2. Решение не должно быть единственным. Должна быть конкуренция.
3. Персональные и биометрические данные обязательно надо защищать и этому посвящена одна из предыдущих статей «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842

И конечно будет вестись борьба по обману и выявлению обмана.
А если кто-то думает, что без биометрии сможет надёжно защитить свои данные, то там тоже не всё просто и тоже готовятся решения по обману www.vesti.ru/doc.html?id=3270911
Мои вопросы в большей степени были риторическими.

Но раз есть ответ, готов немного обсудить:
  1. Это и не удивительно, учитывая, что государству выгодно держать как можно большую базу данных о людях. Цели и мотивы могут быть как позитивными, так и крайне негативными, учитывая в каких странах и в каком мире мы живём.
  2. Чем больше хранилищ и источников/способов получения биометрических данных, тем выше шансы слива. Прекрасно.
  3. В комментариях к этой статье бреши безопасности биометрических данных уже хорошо обсудили. Могу добавить, что:
    • мультиспектральная проверка на живой/неживой может обходиться корпорациями, занимающимися биомеханикой и робототехникой и любой структурой, у которой есть деньги или влияние. Кто может гарантировать, что эта «возможность» не будет продаваться на чёрном рынке или использоваться государством?
    • многофакторная идентификация с помощью одной лишь биометрии сама по себе небезопасна;
    • отменяемая биометрия с помощью хеширования перед хранением никак не повысит безопасность в случаях, когда известен человек и можно собрать его биометрию в RAW виде через различные каналы и способы. К примеру, в случае установки нежелательного ПО на телефон, или взлома приложения с доступом к камере и датчикам, или записав показания в схеме проксирования камеры и датчиков (условный MITM). Или просто собрав по крупицам с фронталки/рукопожатия/спец. средств удалённо, что обсуждали другие люди в комментариях к вышеуказанной статье.

А если кто-то думает, что без биометрии сможет надёжно защитить свои данные, то там тоже не всё просто и тоже готовятся решения по обману www.vesti.ru/doc.html?id=3270911
Прочитал статью. Искренние благодарности Павлу, но я так и не понял каким образом устройство может увести пароль пользователя или секретный ключ с аппаратного токена, что, на мой взгляд, куда более лучшая защита, чем биометрия.

Так же не следует забывать, что защита информации используя биометрию будет кричать о том, что у человека есть ключ к информации и человек уже не сможет воспользоваться правом не свидетельствовать против себя в Англии.
Спасибо за статью.
Прочитал с удовольствием.

По «увести пароль пользователя или секретный ключ с аппаратного токена» – это проще сделать, чем подделать биометрию. Просто осуществляется копирование данных. Ещё работая в другой компании, мы демонстрировали заказчику, что его карты допуска легко копируются и клонируются.

Если говорить в целом, о защите данных, то они должны защищаться настолько надёжно, насколько важна их ценность.
Например, для доступа у денежное хранилище одного крупного банка была реализована схема, когда один сотрудник идентифицировался по биометрии, а потом второй сотрудник по своей биометрии – подтверждал его право войти в хранилище.
В другом случае, у ритейлера, для добавления или изменения информации в базе – администратор сам должен был подтвердить свои права при помощи биометрии.
В банке из ТОР10 – пользователи для доступа к информационной системе вводят логин и авторизуются при помощи биометрии.
И наверно, самый из известных мне сложных способов доступа к информационным ресурсам – логин с паролем и верификация по карте доступа и биометрии одновременно.
Просто осуществляется копирование данных
Это почти невозможно, случается только при появлении новой уязвимости самого чипа и при этом есть возможность уничтожить любой токен и начать использовать токен с более безопасным чипом. Сделать такое с биометрией довольно проблематично.

они должны защищаться настолько надёжно, насколько важна их ценность.
Далеко не каждый человек понимает реальную ценность отсутствия безопасности в том или ином месте. Бывает люди говорят, что им не важна хорошая безопасность на телефоне, т.к. там нет ничего конфиденциального, но они ни на каплю не задумываются о том, что при взломе может быть:
  1. добавлен троян, считывающий информацию в будущем;
  2. подброшена незаконная информация;
  3. с помощью устройства или данных на устройстве может быть получен доступ к информации на другом важном устройстве/сервисе;
  4. … и много других вариантов.

Я считая, что информация должна быть в безопасности всегда.

логин с паролем и верификация по карте доступа и биометрии одновременно
Только этот из всех изложенных вариантов я могу считать достаточно безопасным при условии, что пароль НЕ восстанавливается по биометрии.
Уровень безопасности определяется потраченными на это средствами.
Кто-то не может себе позволить надёжную защиту, у кого-то (например, школьники) не хранят ценную информацию на своих устройствах, кто-то надеется на авось.
А если с устройства ещё и в облако синхронизируются данные, то тут надо дважды подумать об их защите.
Уровень безопасности определяется потраченными на это средствами.
Согласен, но сейчас я не могу сказать что для пользователя и в целом стоит меньше — аппаратный токен и его разработка или разработки по использованию биометрических данных как средство идентификации людей через смартфоны. Не говоря о уровне безопасности.
Сложно исправить допущенные на этапе проектирования или исторически сложившиеся ошибки.
Иногда с ними продолжают жить, а иногда исправляют не самым надёжным, но более оптимальным способом.
Лучший вариант это создание равных условий при которых всем экономическим агентам и государственным структурам очень дорого и юридически опасно иметь у себя хоть какие-то персональные данные (ФИО, документы, MAC адреса устройств, трафик и т.п.). Ксерокопии паспортов или фото лица с паспортом должны прям гореть в руках как CP. Ну а потеря таких данных по любым основаниям должны неминуемо приводить к адекватной ответственности организации и конкретных виновных с выплатой значительных компенсаций пострадавшим. Уверен, большинство пересмотрят необходимость требовать лишние данные.

В тех условиях когда идентификация действительно необходима имеет смысл использовать токенезированные данные. Это позволит защитить законные права в суде и при этом сократить расходы на защиту данных.
Поддержу разработиков таких решений.
Есть способ защиты информации, когда возможно определить из какого именно электронного источника данных (персональной копии) произошла утечка.
Токен можно передать.
Вот рассказ водителя из Гатчины про отношение к внедрению биометрической идентификации водителей Яндекс-такси youtu.be/Xu9ndxLN9X0?t=323
  1. Идентификацию нельзя осуществить без явного согласия со стороны идентифицируемого. Необходимо поднести руку, посмотреть в объектив камеры или выполнить иные действия для подтверждения личности.
  2. Идентификация осуществляется бесконтактно, обеспечивая высокую гигиеничность при этом биометрические данные не сохраняются на внешних поверхностях, соответственно их нельзя зафиксировать и скомпрометировать постороннему человеку. Например, по рисунку вен PalmSecure от компании Fujitsu или бесконтактная идентификация по отпечаткам пальцев Morpho Wave Tower.
  3. Биометрические данные нельзя зафиксировать не санкционированно с большого расстояния. Например, идентификация по радужке возможна на расстоянии от 10 см, до нескольких метров.
Некоторое время назад считалось якобы отпечатки пальцев это очень надёжный способ идентификации и их очень сложно украсть. Вспомните фильмы где героям приходится проходить сложный квест со стаканом. Потом неожиданно оказалось можно на приличном расстоянии сделать хороший снимок рук на камеру и этого будет достаточно.

Недавно в сотовый телефон внедрили фото датчик без ИК фильтра и это дало возможность смотреть «сквозь» некоторые предметы. Пройдёт некоторое время и мультиспектральные снимки станут доступны массам (в части ИК они и сейчас доступны, я имею в виду ситуацию ещё более широкого спектра и интеграции в одном устройстве). Долго ли после этого протянет идентификация по рисунку вен?

Для идентификации по радужке необходим качественный снимок глаз. Уйдём от варианта украсть его из специализированной камеры мобильного телефона. Вы действительно верите в отсутствие прогресса в цифровых камерах и некий принципиальный барьер перед качественным дистанционным снимком на котором можно получить нужные данные? Допустим не сегодня, а через несколько лет.

Аналогичная ситуация с ДНК. Неожиданно оказалось людей в реальном мире осуждают не по полной расшифровке, а по кусочкам цепочки и статистической вероятности. И это не даёт 100% результата т.е. в тюрьму иногда уходят невиновные. И это мы ещё не говорим о ситуациях когда кто-то случайно уронит ваш волос в нужном месте.

Главный недостаток биометрии — невозможность изменить украденный идентификатор. Можно сменить паспорт, ФИО, пароль. Нельзя вставить новый хрусталик (ради смены идентификатора), изменить отпечаток или рисунок вен. Один раз эти данные украдут и всё завязанное на эти идентификаторы станет ненадёжным. При этом украсть биометрию можно в начале жизни, а применить через годы когда человек привяжет к этому идентификатору что-то интересное.
Я верю, что будут появляться решения, которые устранят новые уязвимости.
Уязвимости есть во всех операционных системах, однако это не приводит к отказу пользоваться компьютерами и смартфонами.

Про биометрию на смартфонах – даже обсуждать не стоит. Это делается не для защиты, а для удобства, а если где-то сделано плохо, как в примере с ДНК, то это не значит, что нельзя обеспечить нормальный функционал :)
Нет никаких вариантов защитить биометрические данные техникой снятия. Источник данных не развивается. Будут более совершенные датчики — будут и более совершенные способы украсть эти данные. Поэтому ориентация в защите на биометрию огромная ошибка за которую придётся серьёзно заплатить в будущем.
Нет ни чего идеального.
Если бы был 100% способ защиты, то не происходили бы постоянные утечки персональных данных.
Ошибка ориентироваться на какой-то один способ защиты.
Защита должна быть комплексной и постоянно совершенствоваться.
Если бы был 100% способ защиты, то не происходили бы постоянные утечки персональных данных
Утечки происходят из-за того, что каждый сервис кучу данных собирает, сотрудников нанимают непорядочных и доступы им слишком большие дают. И ни разу не из-за того, что пароли/токены ненадёжны. И с биометрий будет точно так же.
К сожалению, пароли при помощи социальной инженерии выпытываются на раз-два, а биометрию по венам, радужке или поведению – передать удалённо пока не могут.
К счастью, именно пароли при помощи СИ выпытать не получиться. Ответ на секретный вопрос — возможно.

А вот биометрию любая крупная корпорация может получить. Особенно если заставит (привет, Google Play Services). Достаточно нескольких датчиков в смартфоне и приложения. А со временем и социальной инженерией будут выпрашивать, как делали это ранее с отпечатками.

Не забывайте и не игнорируйте то, что речь была о источнике утечек и борьбе именно с утечками. Добыча пароля с помощью СИ будет ерундой на фоне огромных сливов сотрудниками из собранной базы.

По тексту выше мне очень кажется, что «борьба со сливами» только прикрытие другой причины ввода биометрии. Т.к. биометрия сливы не решает.

Вы бы лучше проблемы «на местах» решали. Или задались вопросом зачем приложению «Диктофон» нужен доступ к камере, или приложению «Калькулятор» доступ к интернету, камере и геоданным. Таким образом персональные данные были бы в большей сохранности.
Вы мне предлагаете «решать» проблемы сторонних разработчиков?
Устройте меня в эту компанию, и я приложу все силы к устранению этих проблем. :)
Я вам предлагаю заняться действительно важными проблемами в сфере конфиденциальности и персональных данных, а не мелкими песчинками. Решать их возможно не только лишь устраиваясь в компании, в которых происходят сливы и чрезмерный сбор.
Я не дорос до вашего масштаба, чтобы ворочать камни.
Мне бы подмести рассыпанные песчинки.
Я вот наблюдаю следующую корреляцию: чем более некомпетентная в отношении IT компания, тем больше персональных данных они стремятся заполучить.
Думаю, только прямой запрет и высокие штрафы смогут заставить все эти сайты любящие коллекционировать сканы паспортов пользователей отказаться этой практики.
Законы у нас принимаются разные, важно обеспечить контроль их выполнения.
Например, что у нас с разливом нефти в Норильске? Роскомнадзор говорит, что ещёёёё в 14-м году проводили проверку, были замечания, которые должны были устранить в 15-м году.
Кто-то проконтролировал? Кто-то ответил за не выполнение? Работу приостановили?

Думаю, что дело не только в законе, хотя без соответствующего закона к ответственности не привлечь.
Я не оспариваю тезисы статьи, но чтобы она не была однобокой добавлю от себя.
Регистрация в госуслугах предоставляет доступ к другим услугам, например, к налоговой.
Регистрация в mos.ru — например к дневнику школьника и тд.
Пока полной интеграции и единой базы нет — регионы не стали ждать пока центр все сделает, и начали ваять свои баяны. Но думаю, в конечном счете будет одна база
Да, такой процесс наблюдается.
Хорошим примером является упомянутый дневник школьника.
Но, хочу отметить, что в случае интеграции с другими государственными системами – не надо дополнительно собирать и хранить персональные данные.

Если выходить за рамки статьи, и обсудить централизацию, то к этому вопросу надо подходить осторожно. Иначе централизация может убить конкуренцию. И это будет совсем плохо.
Иначе централизация может убить конкуренцию. И это будет совсем плохо.
Тут палка о двух концах. Конкуренция — не есть что-то хорошее сама по себе. Когда надо построить единую (по охвату) систему, избыток конкуренции вредит не сильно меньше, чем недостаток.
Это зависит от реализации.
ЕБС строилась с учётом ГОСТ, так чтобы можно было легко заменить одного разработчика на другого.
Строилась. как мультивендорное решение, когда участвуют и конкурируют несколько разработок независимых компаний.
А если распределять доходы от результатов (наиболее быстрое решение. наиболее точное решение и т.д., и с откатами можно будет бороться.
Кто лучше – тот и получает оплату.
ну мой комментарий был не про централизацию
А если говорить про централизацию, то лучше будет одна база и более профессиональная, чем много региональных и менее профессиональных
Еще во времена Петра первого были таки люди, которые отказывались переписываться, типа от лукавого это все. И которые до сих пор отказываются получать паспорта. И данные паспортов тоже можно было украсть
Вот по мне те, кто считает, что база данных и единый сервис плохо, из той же секты
Украсть можно всё. Вопрос какой ценой.
Из распределённой системы очень сложно украсть все данные, а вот из централизованной – можно.
Это не означает, что централизованная система хуже.
У каждого решения свои плюсы и минусы.

Что касается конкуренции, то в её отсутствие на первый план выходят амбиции. Первый космический запуск, первая высадка на Марс и т.д.
Only those users with full accounts are able to leave comments. Log in, please.