Комментарии 23
1. Рано или поздно принудят к этой штуке как в Китае.
2. Появятся инициативные люди с доступом, которые будут торговать биометрическими данными.
3. Это упрощает слежку за любым кто имеет профиль в такой системе, как для правоохранителей, так и для любого у кого есть доступ к базе — читай для сталкеров, преступников, ГБшников которые отжимают бизнес и т.д.
2. Появятся инициативные люди с доступом, которые будут торговать биометрическими данными.
3. Это упрощает слежку за любым кто имеет профиль в такой системе, как для правоохранителей, так и для любого у кого есть доступ к базе — читай для сталкеров, преступников, ГБшников которые отжимают бизнес и т.д.
В Китая на сколько я знаю, практически сразу появились мутные конторы, которые по заказу сольют/накрутят рейтинг нужному профилю.
А с низким рейтингом тебе ни кредит не дадут, ни даже банально билеты на поезд не продадут. Замечательная людоедская система.
У нас же ей будет злоупотреблять чуть ли не каждый второй.
А с низким рейтингом тебе ни кредит не дадут, ни даже банально билеты на поезд не продадут. Замечательная людоедская система.
У нас же ей будет злоупотреблять чуть ли не каждый второй.
Защита каналов связи через кучу криптомодулей не решает проблему слива БД, в которой ханятся данные, через уязвимости в инфраструктуре или в людях))
ИМХО
ИМХО
Зато этот процесс наполняет чьи-то карманы.
(сарказм мод)
О-о-о, у одних из наших Ынтеграторов, есть прекрасный ответ (прислали официально, с печатями и подписями):
Чего переживать то? Оно ж в виде «цифровых моделей» будет храниться!
(сарказм мод офф)
Когда ЭТО прочитал, много думал, где они взяли такие забористые вещества чтоб такое выдать.
О-о-о, у одних из наших Ынтеграторов, есть прекрасный ответ (прислали официально, с печатями и подписями):
ответ
Чего переживать то? Оно ж в виде «цифровых моделей» будет храниться!
(сарказм мод офф)
Когда ЭТО прочитал, много думал, где они взяли такие забористые вещества чтоб такое выдать.
Я не особо разбираюсь в IT, но это похоже банальная хеш сумма.
У айфонов вроде датчик отпечатков их в себе хранит(а не в общей памяти смартфона), ради безопасности.
У айфонов вроде датчик отпечатков их в себе хранит(а не в общей памяти смартфона), ради безопасности.
Окей, разъясняю.
Речь о СКУД (системе контроля и управления доступом). СКУД это система которая смотрит входные данные, определяет принадлежность пользователю и в соответствии с правами разрешает или запрещает действие. Ну и логи заодно пишет — кто, когда, чего.
152-ФЗ говорит довольно четко — если по отпечатку происходит _идентификация_ то все, выполняйте требования закона. Т.е. если на входе в систему сканер отпечатка, а на выходе ФИО это идентификация, что внутри никого не волнует. Есть одна оговорка мол можно собирать обезличенные данные. Например, номер паспорта 12 34 567890 — обезличенные данные, потому что нет ФИО.
Теперь, что пишут эти товарищи:
«Отпечаток это биометрия, да. Но так как мы храним хэш, то фотографию пальца не восстановить, по этому у нас не происходит идентификация»
Т.е. это или какой-то анонимный СКУД(нет), или кто-то пытается впарить систему не соответствующую ФЗ(подставить фирму).
В чем проблема хэша биометрии (и этой системы в частности):
1. Из-за закрытого ПО мы не знаем действительно ли там хранится хэш, а не фоточка — сертификата ФСТЭК нет.
2. Непонятно, какой там хэш соленый или нет.
3. После утечки, данным хэшем мы сможем всегда (вплоть до смерти), в любой другой системе идентифицировать человека. Читай следить. Потому что пароль можно сменить, а отпечаток нет.
Речь о СКУД (системе контроля и управления доступом). СКУД это система которая смотрит входные данные, определяет принадлежность пользователю и в соответствии с правами разрешает или запрещает действие. Ну и логи заодно пишет — кто, когда, чего.
152-ФЗ говорит довольно четко — если по отпечатку происходит _идентификация_ то все, выполняйте требования закона. Т.е. если на входе в систему сканер отпечатка, а на выходе ФИО это идентификация, что внутри никого не волнует. Есть одна оговорка мол можно собирать обезличенные данные. Например, номер паспорта 12 34 567890 — обезличенные данные, потому что нет ФИО.
Теперь, что пишут эти товарищи:
«Отпечаток это биометрия, да. Но так как мы храним хэш, то фотографию пальца не восстановить, по этому у нас не происходит идентификация»
Т.е. это или какой-то анонимный СКУД(нет), или кто-то пытается впарить систему не соответствующую ФЗ(подставить фирму).
В чем проблема хэша биометрии (и этой системы в частности):
1. Из-за закрытого ПО мы не знаем действительно ли там хранится хэш, а не фоточка — сертификата ФСТЭК нет.
2. Непонятно, какой там хэш соленый или нет.
3. После утечки, данным хэшем мы сможем всегда (вплоть до смерти), в любой другой системе идентифицировать человека. Читай следить. Потому что пароль можно сменить, а отпечаток нет.
Если посмотреть на исторические сливы баз, то атак именно на каналы связи там найдётся хорошо если одна. Да и закрывается этот вопрос с помощью уже существующих технологий — обычным софтом вроде того же WireGuard.
Вместо бесплодных потуг запретить нецензурные выражения в сети, лучше бы обратили внимание на неблагозвучные сокращения типа «ЕБС».
Приложение «Биометрия» позволит решить эту проблему, говорят в «Ростелекоме». Однако там предупреждают, что пользователям придется устанавливать сразу два приложения — ЕБС и банка.
Больше приложений богу приложений? Я далёк от ИБ, но даже мне понятно, что чем больше компонентов участвует в процессе, тем больше точек отказа в этом процессе существует. Про сливы выше уже вполне высказались, но ведь эти приложения ещё надо будет как-то между собой подружить. Мало того, что банковское приложение может сбоить само по себе. Мало того, что каналы связи мобильные, прямо скажем, не всегда и не везде. Теперь ещё надо, чтобы это новое приложение:
- встало на мой смартфон (а у меня прошивка альтернативная, хоть и не рутованный);
- заработало там нормально;
- удовлетворилось бы качеством моего мобильного интернета;
- нормально взаимодействовало бы с моим интернет-банком (а их же немеряно, у каждого банка свой);
- не развалилось бы при очередном обновлении будь его самого, или моего банковского приложения.
И это я наверняка не всё учёл. Так что, спасибо, очень интересно, но – не надо.
Криптомодуль будет шифровать канал связи, чтобы мошенники не могли перехватить биометрические данные. Также он будет проверять, не было ли приложение взломано.
Это вот в 2021 году инновационность этой разработки — обычная шифровалка с проверкой контрольной суммы приложения?
О какой биометрической идентификации, вообще, может идти речь, если фундаментально не защищен источник данных для биометрических данных персоны? Т.е. сертифицированное ПО и защищенный канал передачи данных — это хорошо, но кто сказал, что на смартфоне картинка считывается с камеры, а голос с микрофона, а не рендерятся в реал-тайме? Уже сейчас deep-fake делается на бытовом железе просто из хулиганских побуждений. А каков уровень достоверности будет через несколько лет для "коммерческого" использования?
Любая биометрия работает только при наличии рядом автоматчика с собакой, которые бдительно следят кто, что и куда прикладывает. В остальном же биометрия работает как «замок от честных людей».
Ну у нас уже можно пойти в МФЦ и написать заявление на запрет действий с недвижимостью по ЭЦП. Скоро можно будет (или уже можно?) пойти и написать такое же заявление на запрет выдавать кредиты без личного присутствия. Значит просто добавится ещё одно заявление — на запрет аутентификации по биометрии.
Вообще-о Закон вполне однозначно указывает, что сия аутентификация по умолчанию запрещена (кроме случаев, предусмотренных блаблабла). Однако всё это традиционно мутными формулировками (что-то типа кроме случаев, которые нужны для соблюдения чего-то-там). Ну и до GDPR (с которым тоже не всё так просто) не дотягивает (я сейчас о ясности формулировок, чётком перечне и т.д.)
Да собственно в моём комментарии как раз и был сарказм на тему того, что у нас принимаются идиотские законы с мутными формулировками (плюс повсеместная коррупция), а затем принимаются новые законы на основе которых, написав заявление, вы можете отменить к себе действие первых.
Вместо того что бы принимать нормальные законы и сажать коррупционеров.
Цирк продолжается.
Вместо того что бы принимать нормальные законы и сажать коррупционеров.
Цирк продолжается.
Ну у нас уже можно пойти в МФЦ и написать заявление на запрет действий с недвижимостью по ЭЦП.
Вроде уже не нужно. Всем после того случая с продажей чужой квартиры через интернет, его по умолчанию поставили и теперь наоборот нужно идти снимать запрет.
Не знаю. Я ходил писал, года полтора-два назад.
Но если сейчас так, то это даже ещё смешнее. Т.е. сделать ЭЦП законом приравненную к личному волеизъявлению, потом осознать, что оказывается у нас поголовная коррупция и чужую ЭЦП может получить любой желающий, отменить по умолчанию действие ЭЦП на операции с недвижимостью. Далее логичный вопрос — а всё остальное можно делать по ЭЦП или нет? А если да, то почему? Ведь государство по сути официально признало факт, что чужие ЭЦП выдают на право и на лево.
Смысл моего комментария я раскрыл выше.
Но если сейчас так, то это даже ещё смешнее. Т.е. сделать ЭЦП законом приравненную к личному волеизъявлению, потом осознать, что оказывается у нас поголовная коррупция и чужую ЭЦП может получить любой желающий, отменить по умолчанию действие ЭЦП на операции с недвижимостью. Далее логичный вопрос — а всё остальное можно делать по ЭЦП или нет? А если да, то почему? Ведь государство по сути официально признало факт, что чужие ЭЦП выдают на право и на лево.
Смысл моего комментария я раскрыл выше.
А что делать если государство не может в IT(а очень хочется, это ведь не паханное поле)? Они уже не один раз показали свою вопиющую не компетентность.
А дальше будет только хуже, т.к. мнение о себе они продолжают портить, а требования для кандидатов и так были не адекватными.
А дальше будет только хуже, т.к. мнение о себе они продолжают портить, а требования для кандидатов и так были не адекватными.
Так это не только в IT. Куда не ткни законы кривые. Не потому ли, что их придумывают люди ничего не понимающие в вопросе? Даже может люди сами по себе не плохие и только хорошего хотят. А если каких-то профильных специалистов привлекают, то тут же набегает толпа «экспертов» у которых одна задача — карманы свои набить за счёт бюджета. А нормальные люди всю эту «кухню» стороной обходят, что бы не вляпаться ненароком.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Ростелеком» предложил защитить биометрию россиян с помощью криптографического модуля