Комментарии 34
Т.е. теперь имея фотографию и сэмпл голоса можно получить доступ к личному кабинету клиента?
Нет, биометрическая идентификация с помощью ЕБС используется для того, чтобы не клиент банка со сданными биометрическими данными смог бы удаленно стать клиентом банка, пройдя идентификацию через ЕБС
А почему авторизация должна происходить через единую гос. систему, давайте подумаем? Почему банки не могут сами сделать свою, частную систему? Потому, что государство хочет получить в свои руки банк биометрических данных. Да, поначалу там будет не много данных, но мы же знаем возможности государства. Завтра оно начнет каких-нибудь бюджетников пересаживать на эту систему в добровольно-принудительном порядке, как пересадило их на карты «мир», а послезавтра введет проверку биометрических данных на вокзалах.
А после-послезавтра оно начнет, например, распознавать лица участвующих в митингах.
Сомневающиеся, наверно, скажут, что такого не было. Вообще-то было, комсомольцев обучили использованию FindFace.
Ну и насколько надежно в нашей стране защищены данные — мы помним из недавней статьи на Хабре про торговлю ПД. Даже паспортные данные Петрова-Боширова выложили в сеть. Вы готовы такому государству доверить и биометрические данные?
Ну и что касается законов — можно еще вспомнить, как частную СМС-переписку Каца выложили в сеть и никто за это так и не ответил. То же самое может произойти и с вашими данными.
А после-послезавтра оно начнет, например, распознавать лица участвующих в митингах.
Сомневающиеся, наверно, скажут, что такого не было. Вообще-то было, комсомольцев обучили использованию FindFace.
Ну и насколько надежно в нашей стране защищены данные — мы помним из недавней статьи на Хабре про торговлю ПД. Даже паспортные данные Петрова-Боширова выложили в сеть. Вы готовы такому государству доверить и биометрические данные?
Ну и что касается законов — можно еще вспомнить, как частную СМС-переписку Каца выложили в сеть и никто за это так и не ответил. То же самое может произойти и с вашими данными.
Тут больше вопрос "Зачем государству моя биометрика?". Есть много централизованных государственных систем федеральной аутентификации, но они не собирают открытую биометрику.
Лично я не против биометрических систем аутентификации, но не тех где биометрика открыто передается. Гораздо лучше иметь PKI решения со встроенной биометрикой, которая не покидает девайс. Но в таком случае товарищу майору не на что будет любоваться *)
Только шапочки из фольги спасут нас от мировых заговоров!
НЛО прилетело и опубликовало эту надпись здесь
А после-послезавтра оно начнет, например, распознавать лица участвующих в митингах.У вас паспорт есть или водительское удостоверение? Значит ваша фотография уже есть у государства. А чем принципиально отличаются собираемые сейчас данные от тех, которые всегда были у государства?
Всё намного проще — это очередной распил. В очередной раз РосТелеком сделал некую систему и заставляет всех ею пользоваться.
Как я понимаю, качество фотографий из паспорта довольно плохое и они хранятся в аналоговом виде. Ключевые точки на них выделять тяжело, плюс они если и отсканированы, то каким-нибудь дряным сканером низкого разрешения. А тут — качественное крупное фото лица, плюс образцы голоса (удобно идентифицировать людей на аудиозаписях).
Ну сами подумайте, почему храниться данные должны в одном месте, подконтрольном государству? Банки и сами могли бы сделать свои частные системы, если бы им нужно было.
Ну сами подумайте, почему храниться данные должны в одном месте, подконтрольном государству? Банки и сами могли бы сделать свои частные системы, если бы им нужно было.
Лучше бы это была статья «Как мы защищаем биометрические данные клиентов». Охотников вас таких собирать куча, все горазды. А как слив — так отвечать никто не хочет.
ptsecurity, а может на PHD2019 устроить показательный взлом/обман ЕБС?
ИМХО. Я думаю, основная проблема здесь даже не реализация, потенциально допускающая злоупотребления этими данными со стороны оператора, а порочность такой концепции в целом, пока для логина разрешается использовать недоверенные устройства. Нет надежного способа проконтролировать, что кто-то логинится по лицу с голосом через смартфон, а не по их записи через рутованный смартфон или эмулятор. Проблемное место — не ростелекомовские сервера, не устройства добропорядочных юзеров, а именно эта возможность записи. Всякие случайные последовательности цифр, наклоны головы и прочее — только немного усложняют получение злоумышленником валидной записи, принципиально ничего не мешает скрытно записывать юзера достаточно долго, чтобы получить записи всех возможных вариантов и состряпать из них нечто, проходящее проверку. То есть, в случае пароля/токена юзеру достаточно не вводить/вставлять их куда попало, а если что — легко отозвать; в вашей схеме же появляется дополнительный большой геморрой для юзера по постоянной ежедневной защите неотзываемых биометрических данных (которые совсем не предназначены для этого, в отличие от пароля/токена!) от всех вокруг — никогда не садиться за недоверенные компьютеры с вебкамерой, не произносить чисел в публичных местах, надевать балаклаву в присутствии незнакомых людей — я утрирую, но суть понятна. Если юзер обнаружил, что смартфон, с которого он биометрически логинился несколько раз, скомпрометрирован, то юзер может тушить свет и переводить все деньги в заграничные банки, которые не дадут злоумышленнику их снять по биометрии, так, что ли? Дальше это все будут успешно эксплуатировать, юзеры будут бузить, вам придется ставить костыли, чтобы хотя бы поломать рабочие методы фейковой аутентификации, и в итоге это все окажется дороже, чем выдавать каждому вместе с паспортом токен с неизвлекаемым ключом.
Даже скрытно записывать достаточно долго скорее всего не обязательно. С учетом прогресса во всяких штуках вроде GAN, можно ожидать, что подобная биометрия в ближайшее время будет взламываться по совсем небольшим семплам голоса и фото/видео. И если сейчас полно историй, когда кредиты людям выдают по копиям чужого паспорта, то страшно представить к чему приведет повсеместное внедрение биометрии.
Цитата: «Если учетная запись предусматривает несколько видов сведений, то оператор выбирает какой-либо из них под контролем сотрудника, имеющего полномочия контролера центрального офиса. Так мы перестраховываемся от отправки некорректных данных и исключаем возможность мошенничества на этом этапе.»
Вопросы:
1. На каком основании оператор выбирает с какой учетной записью работать? Точнее, почему система не может выбрать сама нужную учетную запись? Для чего здесь ручная операция?
2. Контролер офиса не дорогое ли удовольствие? От какого вида мошенничества вы пытаетесь подстраховаться?
Вопросы:
1. На каком основании оператор выбирает с какой учетной записью работать? Точнее, почему система не может выбрать сама нужную учетную запись? Для чего здесь ручная операция?
2. Контролер офиса не дорогое ли удовольствие? От какого вида мошенничества вы пытаетесь подстраховаться?
1. Не совсем корректно сформулированно, поясню, идет речь о том, что, если у клиента например две равнозначные(например ожидающие подтверждения) учетные записи, но с разными сведениями по ним (допустим одна найдена по СНИЛС, а другая по номеру телефона), то операционист уточнит какую УЗ подтверждаем. Ручная операция здесь потому что нельзя однозначно определить какой учетной записью хочет пользоваться клиент.
2. Контроллер офиса выполняет не только обязанности по контролю регистраций в ЕСИА и ЕБС. Мошенничество может быть например если операционист и клиент в сговоре, то они чисто теоретически могут зарегистрировать биометрические данные клиента под чужими например паспортными данными.
2. Контроллер офиса выполняет не только обязанности по контролю регистраций в ЕСИА и ЕБС. Мошенничество может быть например если операционист и клиент в сговоре, то они чисто теоретически могут зарегистрировать биометрические данные клиента под чужими например паспортными данными.
Добрый день.
Вопрос1.У вас рабочее место по снятию биометрии через WEB-решение цепляется на сервер обработки и подписания образцов в центральном офисе банка? А как вы тогда будете выполнять требование по защите канала связи по КС3 от рабочего места в офисе до сервера подписания? Весь трафик офиса будете координаторами шифровать?
Вопрос 2. Как решали проблему в проведением тематических исследований по ИБ серверов в центральном офисе?
Вопрос1.У вас рабочее место по снятию биометрии через WEB-решение цепляется на сервер обработки и подписания образцов в центральном офисе банка? А как вы тогда будете выполнять требование по защите канала связи по КС3 от рабочего места в офисе до сервера подписания? Весь трафик офиса будете координаторами шифровать?
Вопрос 2. Как решали проблему в проведением тематических исследований по ИБ серверов в центральном офисе?
НЛО прилетело и опубликовало эту надпись здесь
Фотография на фоне другого сотрудника и комнатных растений? Серьёзно?
Очень круто, что вы развиваете новые технологии! Успехов вам!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы собираем биометрические данные клиентов