Голос, вуха, вени і хода. Чи можна вкрасти біометрію, як пароль від аккаунта
Ще недавно ми тільки в голлівудських фільмах бачили двері, які відкриваються за відбитками пальців, малюнок райдужної оболонки ока, голосу або особі людини. Ну і, звичайно, герої цих фільмів витрачали неймовірні зусилля, щоб такі перешкоди подолати.
А потім практична біометрія почала швидко входити в наше повсякденне життя. Спершу ноутбуки, а потім і смартфони навчилися дізнаватися господаря за відбитками пальців, потім з'явилася ідентифікація по обличчю - разом з жартами, що iPhone, мовляв, у понеділок вранці не дізнається свого власника.
Далі біометричну ідентифікацію масово почали впроваджувати банки і фінансові компанії - так, сьогодні Приватбанк експериментує з оплатою по обличчю, без платіжних карток і гаджетів.
Наступним етапом стане широке поширення біометричних систем, контролюючих фізичний доступ. Підійшов до дверей квартири, приклав палець до замку - двері відчинилися. Сів у машину, вона через камеру розпізнала твоє обличчя, завелася і поїхала.
Знати в обличчя
Таких технологій вже багато, і відбиток пальців - одна з найпростіших. Вже давно в ходу ідентифікація по обличчю, рідше зустрічаються системи, що розпізнають людини по голосу або райдужній оболонці ока, ще рідше - по вушній раковині, по малюнку вен, серцебиття і навіть ході. Взагалі, біометрична ідентифікація хороша тим, що відпадає необхідність запам'ятовувати або регулярно міняти складні паролі, це робить доступ користувачів до захищених ресурсів і додатками набагато зручніше.
Бізнес вже щосили використовує такі технології. Деякі авіакомпанії запустили системи розпізнавання осіб у використовуваних ними аеропортах: вони на основі учнів нейронних мереж дозволяють ідентифікувати пасажира і персоналізувати послуги. Завдання - зробити так, щоб пасажир міг пройти від входу в аеропорт до посадки в літак, ні разу не діставши посадковий талон.
Формування бази даних осіб відбувається виключно з особистої згоди кожного пасажира. На стійці реєстрації співробітник авіакомпанії з допомогою невеликої камери робить фото. Після цього пасажир може проходити в бізнес-зал та на посадку без пред'явлення посадкового талона.
Багато банків у світі також застосовують біометричну ідентифікацію клієнтів по обличчю. Система призначена для захисту від шахрайських дій та неправомірного доступу до рахунку. Зразок особи кожного клієнта записується при першому візиті в банк і в подальшому використовується для його ідентифікації поряд з пред'явленням паспорта.
Система дозволяє вбудувати біометрію в процес обслуговування клієнта, не забираючи у нього зайвий час. Для зниження ризику шахрайства додатково використовується Liveness - комбінація технологій, що дозволяють визначити, що перед камерою жива людина, а не фотографія або манекен.
У мобільному додатку банку клієнти можуть з допомогою селфи самостійно підтверджувати нетипові операції (наприклад, переклади на чужі карти або нетипові за сумами перекази, оплату покупок або послуг в мережі, закриття вкладу раніше терміну і т. д.), що підвищує безпеку використання дистанційного банківського обслуговування.
Що тут важливо зрозуміти? Авіакомпанія, банк і "розумна двері" використовують, по суті, одні й ті ж рішення для біометричної аутентифікації. Єдина система дозволяє впроваджувати технологію біометричної аутентифікації в різні сценарії використання: починаючи з входу в приміщення і закінчуючи єдиним доступом в різні додатки.
При проектуванні систем безпеки на основі біометрії професіонали в галузі захисту повинні використовувати всі доступні їм методи. Можна використовувати такі перевірені часом методи, як багатостороння захист, строгий контроль доступу, розподіл і постійна зміна обов'язків, а також застосування принципу мінімальної привилегированности з метою визначення, хто до якої частини системи має доступ. Потрібно пам'ятати, що біометричні системи зберігають найбільш особисту інформацію про своїх користувачів, що вимагає надзвичайної уваги до її захищеності.
Однак, незважаючи на ряд недоліків, використання біометричних систем відкриває безліч нових можливостей для фахівців з інформаційної безпеки, особливо у галузі контролю доступу.
Обхід подібних систем за допомогою штучних підробок є дорогим і часто неможливим, так як, наприклад, широкий ряд існуючих сканерів відбитків пальців додатково враховують при розпізнаванні такі параметри, як температура, будова кровоносних судин, провідність шкіри і т. д., а у випадку зі сканерами райдужної оболонки ока враховуються мимовільні рухи ока.
Питання безпеки
Тріумфальний хід біометричних систем ідентифікації сьогодні стримують не технології і не їх вартість (вона вже цілком прийнятна для широкого застосування), а міркування зовсім іншого роду. Буквально щотижня ми чуємо про чергову велику витік персональних даних. Чутливі для людей дані втрачають всі - і комерційні компанії, і самі захищені (здавалося б) державні служби.
Фахівці з інформаційної безпеки визнають: на 100% захиститися від втрати даних неможливо.
Однак якщо мережа "витечуть" пароль і логін від вашої поштової скриньки або навіть корпоративної системи, виправити це нескладно: досить поміняти цей самий пароль. Куди гірше, якщо "витекли" біометричні дані. Ви не поміняєте ні відбиток пальця, ні райдужну оболонку, ні голос, ні риси обличчя. І більше ніколи не будете впевнені, що знаходитеся в безпеці. Адже навіть після того, як витік даних буде ліквідована, все одно ви не будете знати, у кого в запасі, десь на жорсткому диску, залишилася ваша біометрія.
Але вже вирішена ця проблема. На відміну від систем перших поколінь, сьогодні в базах даних зберігаються вже не самі біометричні дані клієнтів, а їх цифрові зліпки (т. зв. "суми"). За таким хешу можна перевірити справжність біометричної інформації, але не можна відновити вихідні дані - скажімо, про відбиткі пальців чи райдужну оболонку ока. Відповідно, якщо такі зліпки "витечуть" в мережу, свою особистість людина не втратить, оскільки відтворити його біометричні дані буде неможливо.
Методи біометричної захисту інформації стрімко набирають популярність в самих різних галузях - від паспортно-візових документів нового покоління до освіти, охорони здоров'я, фінансових та платіжних систем, програм лояльності і супроводу авіапасажирів. Причини такої популярності біометричних технологій у сфері інформаційної безпеки пояснюються їх високою ефективністю і зручністю застосування систем контролю доступу на їх основі.
Але поряд з цими зручностями є деякі болючі питання. Насамперед це проблема заміни характеристик. Якщо у людини вкрали кредитну карту, проблема банку - блокування старої карти та реєстрація нової. Коли користувач комп'ютера забуває свій пароль, системний адміністратор скасовує старий і видає новий. У представлених двох процесах, коли інформація компрометируется (через втрату або крадіжку), уповноважена особа повинна визнати недійсною стару інформацію і видати нову (і відмінну від старої) інформацію користувачеві. На жаль, з біометричними системами все не так просто. Заміна біометричної характеристики людини в більшості випадків неможлива. Використання біометричних систем ставить нові завдання перед розробниками, так як у випадку крадіжки інформації з біометричної системи наслідки можуть бути катастрофічними.