ЧТО ТАКОЕ БИОМЕТРИЧЕСКАЯ АУТЕНТИФИКАЦИЯ: определение, примеры и принцип работы

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «ЧТО ТАКОЕ БИОМЕТРИЧЕСКАЯ АУТЕНТИФИКАЦИЯ: определение, примеры и принцип работы». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

В процессе биометрической аутентификации сравниваются два набора данных: первый предварительно запрограммирован владельцем устройства, а второй принадлежит посетителю устройства. Если эти два данных почти идентичны, устройство распознает, что «посетитель» и «владелец» — это одно и то же лицо, и предоставляет доступ.

Методы биометрической аутентификации

В настоящее время наиболее распространены два метода:

1. Сканирование отпечатка пальца. Самый популярный и повсеместный метод, который, в частности, используется при выдаче загранпаспортов современного типа, и может стать основой при выдаче в будущем государственных паспортов РФ нового типа.

2. Сканирование овала лица. Часто встречается как элемент контрольно-пропускной системы организаций, разных госучреждений и образовательных центров, университетов.

На развитие и того, и другого способа биометрии, сильно повлияли смартфоны. Флагманские модели последних семи лет повально оснащаются технологиями biometric identification system, Face- или Touch ID.

Артем Ожегов

Старший системный инженер ГК ICL
Биометрические персональные данные применяются по всему миру в различных сферах деятельности. Специалистами проводятся исследования на предмет использования и защиты таких данных. Без инцидентов, конечно, не обходится. Известен случай, когда злоумышленники, используя технологию дипфейк, обрабатывали фотографии, создавали видео и на протяжении нескольких лет подделывали документы для налоговой службы.

Технологии биометрической идентификации и аутентификации не могут дать стопроцентной гарантии – вероятность ошибки или ложного совпадения всегда присутствует. Существуют международные и национальные стандарты, которые устанавливают требования к проведению эксплуатационных испытаний биометрических систем, что позволяет разработчикам снизить вероятность проявления ошибок.

Технологии развиваются, всегда найдется тот, кто захочет и будет искать возможность использовать их в незаконных целях. По моему мнению, использовать биометрию следует в качестве дополнительного фактора аутентификации.

Есть и другие методы биометрии, которые применяются реже по тем или иным причинам. Среди них можно выделить следующие:

• голос;

• рисунок вен на запястье;

• ладонь;

• сетчатка глаза.

Проблема ложных срабатываний в биометрической системе

Благодаря смартфонам, с ложноположительными срабатываниями сталкивались практически все: телефон просто отказывается разблокироваться, если палец, например, испачкан или мокрый.

Если спроецировать эту проблему со смартфона на банковский сектор или пропускной пункт режимного объекта, то ситуация скорее неприятная, чем критичная – палец придется прикладывать повторно до тех пор, пока система его не распознает.

Игорь Афонин
Руководитель центра компетенций мультимедиа и унифицированных коммуникаций «T1 Интеграция»

С одной стороны, использование биометрии – это несомненное удобство, но, с другой стороны, это порождает определенные риски. Ваши лицо и голос никак не скрыты от посторонних. Имея достаточное количество видео или аудиозаписей можно обучить нейронную сеть либо генерировать изображение вашего лица, либо имитировать голос. Мошенники также могут получить отпечатки пальцев. Пожалуй, наиболее эффективным будет следующий подход: для некритичных финансовых операций вполне можно использовать биометрию, например, для оплаты в метро по лицу, а для доступа к счетам стоит всегда использовать двухфакторную идентификацию: например, биометрию и код подтверждения или пароль и код подтверждения. Авторизация только одним методом несет высокий риск кражи данных.

Гораздо острее проблема стоит с ложноположительными срабатываниями. Они возможны только потому что ни одна система не сравнивает полный отпечаток пальца с имеющимся в системе: это убило бы удобство метода и сделало биометрическую идентификацию долгой.

Система сопоставляет отдельные маркеры, количество которых заложено в нее разработчиком или производителем. При наличии времени и желании, выдать себя за другого человека по отпечатку пальца можно практически в любой системе.

Подобный случай произошел в Индии, где один человек пытался выдать себя за другого, используя верхний слой кожи с подушечки пальца во время экзамена. Систему у него получилось обмануть, а вот экзаменатора – нет.

Константин Корсаков
Главный архитектор RooX

Биометрическая идентификация на современном уровне развития является достаточно точной, но все же вероятностной технологией. И если ложноотрицательный результат всего лишь доставит немного неудобств (вам придется использовать пароль или предъявить документ), то ложноположительный результат приведет к утечке ваших данных или потере средств. Поэтому биометрия должна всегда комбинироваться с некоторым другим фактором.

Также пока не решена задача отмены биометрических данных. Пароль можно сменить, ключ перевыпустить, а вот изменение радужной оболочки глаза пока недоступно обычному пользователю.

На данном этапе развития биометрический метод идентификации не может выступать как самостоятельный, и применяется вкупе с традиционными методами, в первую очередь – вводом пароля или прикладыванием ключ-карты.

В то же время, совершенствуются не только технологии биометрического сканирования, но и инструменты их защиты от нелегитимной эксплуатации.

Аутентификация по венам ладони

Любой человек уникален. Неповторимо и расположение кровеносных сосудов в его ладонях. Каким образом прибор может «видеть» вены, расположенные под поверхностью кожи?

Источник постоянного инфракрасного излучения посылает к ладони волны длиной 760 нм, что соответствует инфракрасному спектру. Кожа и другие ткани не являются препятствием для таких лучей. И благодаря своим биологическим свойствам, излучение имеет разное отражение и поглощение различными тканями организма.

Восстановленный гемоглобин, который является составной частью крови, поглощает излучение больше, чем соседние ткани. Таким образом, в местах расположения венозного тока ИК лучи отражаются от ладони в меньшем количестве. Это отличие и фиксируется прибором.

Важно, что регистрируется именно движение кровяной жидкости, значит, прибор может отличить «живую» руку от «мертвой» и от макета или искусственной копии.

Преимущества аутентификации по венам:

• нет контакта с прибором, следовательно снижается риск распространения инфекций,
• нет влияния на результаты исследования состояния внешнего кожного покрова ладони и факторов окружающей среды, что гарантирует высокую точность,
• полностью исключается возможность «подделки» ладони.

Недостатки:

• некоторые источники освещения (например, галогеновые) могут мешать работе прибора.

Аутентификация по сетчатке глаза

Альтернативный способ использовать человеческий глаз для биометрической аутентификации – это сканирование сетчатки. Сканер светит в глазное яблоко и отображает структуру кровеносных сосудов, которые так же, как и оболочка, являются уникальными для каждого человека.

Преимущества аутентификации по сетчатке:

• высокий уровень статистической надежности,
• низкий процент в допуске объекта,
• подделка капиллярного рисунка сетчатки технически невозможна.

Недостатки:

• долгая обработка при использовании сложной системы,
• проблемы человека со здоровьем могут повлиять на результат.

Сравнительная оценка биометрических технологий

Все перечисленные технологии присутствуют на рынке в виде коммерческих продуктов. При их реализации производители применяют различные математические алгоритмы, а также используют дополнительные механизмы защиты от подмены.

Мы оценили доступные на рынке технологии биометрической аутентификации, в качестве критериев сравнения использовали безопасность технологии (т.е. надежность плюс устойчивость к фальсификации), удобство использования, а также ценовую доступность.

На наш взгляд, основными параметрами, характеризующими безопасность биометрической аутентификации, являются коэффициент ложного принятия (FAR — False Accept Rate), т.е. вероятность того, что система аутентифицирует чужого сотрудника, и коэффициент ложного отказа (FRR — False Reject Rate), т.е. вероятность того, что система не аутентифицирует своего сотрудника. Другая характеристика безопасности технологии — степень сложности фальсификации — отражает объем усилий и затрат, которые потребуются для компрометации системы, т.е. подмены реального биометрического признака человека. Сложность фальсификации зависит от сложности и стоимости специализированных технологий, применяемых для сбора биометрических данных и изготовления копии биометрического признака.

Удобство биометрической технологии зависит от чувствительности к изменениям внешней среды (для офиса наиболее актуальны освещенность и шум), а также от собственно биометрических параметров. Не последнюю роль играет контактность или бесконтактность. Скорость срабатывания (количество времени, необходимое для аутентификации) тоже влияет на удобство технологии, но, поскольку по этому параметру все рассматриваемые технологии сопоставимы, мы не будем его учитывать при сравнении.

Метод идентификации по рисунку вен ладони

Как упоминалось в начале статьи, в последнее время все бо́льшую популярность набирает метод идентификации по уникальным особенностям рисунка вен ладоней. Данная система имеет общие черты со СКУД по отпечаткам пальцев, но всё же обладает некоторыми неоспоримыми преимуществами:

• не зависит от влажности или загрязнения ладони (мокрые или грязные пальцы отсканировать проблематично, порой просто невозможно);
• система успешно работает вне зависимости от сезона (рисунок кожи на пальцах может меняться в разное время года или после порезов);
• является более гигиеничным методом считывания, так как нет необходимости в контакте ладони со считывателем;
• рисунок вен ладони невозможно подделать в отличие от отпечатков пальцев, которые успешно клонируются различного рода слепками.

Какие существуют проблемы с биометрией?

В то же время способ имеет свои изъяны. Так, заметной теоретической проблемой является требование уникальности, которое, согласно некоторым измерениям, не может быть полностью выполнено. В связи с этим вводят два понятия: частота ложного одобрения (false acceptance rate, FAR) и частота ложного отказа (false rejection rate, FRR).

Первый параметр отражает вероятность того, что по данным пользователя А будет идентифицирован / аутентифицирован пользователь В — например, в результате совпадения их показателей.

Второй параметр — это, наоборот, вероятность того, что система не узнает пользователя, посчитав его посторонним лицом. По некоторым данным, если для отпечатков пальцев средний FAR составляет 0,01%, то для лица и голоса (тех самых параметров, которые будут использовать отечественные банки) он может достигать 1-2%. Именно поэтому существует мнение, что биометрия не подходит для массового внедрения: если одна попытка аутентификации из ста будет заканчиваться несанкционированным доступом, то в масштабах страны это даст миллионы инцидентов.

Основное применение паролей и, потенциально, биометрии – ограничение доступа к устройствам и сервисам. Второе по популярности – ограничение доступа к данным, хранимым на устройстве. Вот во втором случае биометрия трудноприменима.

Биометрические идентификаторы сложно применять для шифрования данных, поскольку они каждый раз получаются немного разными.

Когда вы прячете документы в сейф со сканером отпечатков пальцев, они неплохо защищены стенками сейфа и обойти проверку отпечатка можно только с помощью мощной дрели. Когда вы прячете документы на компьютере, роль «стенок» выполняет шифрование данных, потому что обойти сравнение пароля, равно как и любую другую проверку проще простого. И вот тут возникает трудность. Обычно когда что-то шифруется с паролем, на основании пароля создается ключ шифрования, и сменив хоть одну букву пароля, вы получите абсолютно другой ключ, которым ничего не удастся расшифровать. Биометрический «пароль» немного меняется каждый раз, поэтому напрямую шифровать с его помощью проблематично. Поэтому существующие системы для создания «цифрового сейфа» обычно задействуют помощь из «облака» – проверка биометрического соответствия проводится на сервере, и в случае успеха выдается ключ шифрования. Проблема здесь та же, что в предыдущем подразделе – при взломе могут «утечь» и биометрические данные, и сами ключи шифрования.

КАК РАБОТАЮТ СИСТЕМЫ БИОМЕТРИЧЕСКОЙ ЗАЩИТЫ?

Значимость биометрической безопасности в современном обществе постоянно растет. Физические характеристики уникальны и неизменны, в том числе у братьев и сестер, и даже у близнецов. Биометрическая идентификация человека может заменить (или, по крайней мере, дополнить) системы паролей для телефонов, компьютеров и зон ограниченного доступа.

После того как биометрические данные человека собраны и сопоставлены, система сохраняет их для использования при последующих попытках доступа. Обычно биометрические данные зашифровываются, а затем сохраняются либо на самом устройстве, либо на удалённом сервере.

Оборудование, известное как биометрические сканеры, фиксирует физиологические характеристики для верификации и аутентификации личности. Сканированные параметры сравнивается с сохраненной базой данных, и, в зависимости от того, найдено ли совпадение, доступ предоставляется или ограничивается. Таким образом, ваше тело является ключом к закрытым зонам.

Использовании биометрии дает два преимущества: подделать биометрические данные невозможно, а использовать их очень удобно. Несмотря на то, что такие системы несовершенны, они несут огромный потенциал в будущее кибербезопасности.

БУДУЩЕЕ БИОМЕТРИЧЕСКОЙ БЕЗОПАСНОСТИ

Мы твердо убеждены в том, что биометрия — это будущее систем электронной безопасности, и тому есть подтверждение: с каждым днем все больше организаций используют биометрию. Даже в ОС Windows 10 уже встроена платформа биометрической безопасности. Биометрия также используется на стадионах, в аэропортах и банках по всему миру. Государственные и правоохранительные органы также перешли на биометрические системы, поэтому весьма вероятно, что еще больше организаций последуют их примеру в ближайшем будущем.

Хотя биометрические системы безопасности не являются абсолютно надежными, они все же быстрее, экономичнее (в долгосрочной перспективе) и более точны, чем традиционные методы безопасности.

Аргументы «за» биометрический эквайринг

Опрос, проведенный при поддержке Visa¹, показал, что двое из трех европейских потребителей выступают за использование биометрии в платежах. Аутентификация по отпечатку пальца является наиболее предпочтительной из-за простоты использования и безопасности. При наличии широкого спектра различных платежных ситуаций, доступных дома или в магазинах, 68% из 14 тыс. человек, то есть более 2/3, предпочли использовать биометрию в качестве метода аутентификации платежей. Это обеспечивает более быструю и удобную оплату для клиентов по сравнению с другими традиционными способами.

Другое исследование⁵, проведенное среди 2 тыс. взрослых жителей Великобритании от имени Equifax в конце 2019 г., показало, что 71% были бы рады полностью заменить традиционные методы обеспечения безопасности для доступа к своим мобильным телефонам в пользу идентификации отпечатков пальцев, распознавания лиц или рисунков сетчатки глаз.

Респонденты были более осторожны, когда речь шла об использовании биометрических данных для снятия наличных (46%), запуска автомобиля (45%) или отпирания входной двери (41%).

Исследование также показало, что проверка отпечатков пальцев считалась наиболее безопасной формой биометрической аутентификации (31%), при этом 30% ожидали, что она станет наиболее распространенной в следующем десятилетии, за которой последуют распознавание лиц (18%) и узоры сетчатки глаза (17%).

Защита биометрических данных

Биометрическая система аутентификации, как и многие другие системы защиты, в любой момент может быть подвергнута нападению злоумышленников. Соответственно, начиная с 2011 года, международная стандартизация в области информационных технологий предусматривает мероприятия по защите биометрических данных — стандарт IS0/IEC 24745:2011. В российском законодательстве защиту биометрических данных регламентирует Федеральный закон «О персональных данных», с последними изменениями в 2011 году.

Наиболее распространенным направлением в области современных биометрических методов аутентификации является разработка стратегии защиты, хранящихся в базах данных биометрических шаблонов. Среди самых популярных киберпреступлений дня сегодняшнего во всем мире считается «кража личности». Утечка шаблонов из базы данных делает преступления более опасными, так как восстанавливать биометрические данные злоумышленнику проще за счет обратного инжиниринга шаблона. Поскольку биометрические характеристики неотъемлемы от своего носителя, похищенный шаблон нельзя заменить нескомпроментированным новым, в отличии от пароля. Опасность кражи шаблона еще заключается в том, что помимо доступа к защищенным данным, злоумышленник может заполучить секретную информацию о человеке, или организовать за ним тайную слежку.

Защита биометрических шаблонов базируется на трех основных требованиях:

• необратимость — данное требование ориентировано на сохранение шаблона таким образом, чтобы злоумышленнику было невозможно восстановить вычислительным путем биометрические характеристики из образца, или создать физические подделки биометрических черт;
• различимость — точность системы биометрической аутентификации не должна быть нарушена схемой защиты шаблона;
• отменяемость — возможность формирования нескольких защищенных шаблонов из одних биометрических данных. Данное свойство предоставляет биометрической системе возможность отзывать биометрические шаблоны и выдавать новые при компрометации данных, а также предотвращает сопоставление сведений между базами данных, сохраняя этим самым приватность данных пользователя.

Оптимизируя надежную защиту шаблона, главной задачей является нахождение приемлемого взаимопонимания между этими требованиями. Защита биометрических шаблонов строится на двух принципах: биометрические криптосистемы и трансформация биометрических черт. Последние изменения в законодательстве запрещают оператору биометрической системы самостоятельно, без присутствия человека, менять его персональные данные. Соответственно, приемлемыми становятся системы, хранящие биометрические данные в зашифрованном виде. Шифровать эти сведения можно двумя методами: с помощью обычного ключа и шифрование при помощи ключа биометрического — доступ к данным предоставляется исключительно в присутствии владельца биометрических показателей. В обычной криптографии ключ расшифровки и зашифрованный шаблон представляют собой две абсолютно разные единицы. Шаблон может считаться защищенным в том случае, если защищен ключ. В биометрическом ключе происходит одновременная инкапсуляция шаблона криптографического ключа. В процессе шифрования подобным способом, в биометрической системе хранится лишь частичная информация из шаблона. Ее называют защищенным эскизом — secure sketch. На основании защищенного эскиза и другого биометрического образца, схожего на представленный при регистрации, восстанавливается оригинальный шаблон.

ИТ-специалисты, занимающиеся исследованиями схем защиты биометрических шаблонов, обозначили два главных метода создания защищенного эскиза:

• нечеткое обязательство (fuzzy commitment);
• нечеткий сейф (fuzzy vault).

Первый метод годится для защиты биометрических шаблонов, имеющих вид двоичных строк определенной длины. А второй может быть полезным для защиты шаблонов, которые представляют собой наборы точек.

Внедрение криптографических и биометрических технологий положительное влияет на разработку инновационных решений для обеспечения информационной безопасности. Особенно перспективной является многофакторная биометрическая криптография, объединившая в себе технологии пороговой криптографии с разделением секрета, многофакторной биометрии и методы преобразования нечетких биометрических признаков в основные последовательности.

Невозможно сформировать однозначный вывод, какой из современных биометрических методов аутентификации, или комбинированных методов является наиболее эффективным для тех, или иных коммерческих из расчета соотношения цены и надежности. Определенно видно, что для множества коммерческих задач использовать сложные комбинированные системы не представляется логичным. Но, вовсе не рассматривать такие системы, тоже не верно. Комбинированную систему аутентификации можно задействовать с учетом требуемого в данный момент уровня безопасности с возможностью активации дополнительных методов в дальнейшем.

В период 2006-2017 гг. при проведении исследований по влиянию слабых электромагнитных полей на увеличения ресурсов человеческого организма специалистами компании SABIGLOBAL были обнаружены несколько частотных диапазонов электромагнитного излучения (ЭМИ), которые при комплексном облучении человека дают необычный, но хорошо повторяемый эффект. Суть эффекта заключается в том, что комбинированное излучение в некоторых диапазонах СВЧ и КВЧ может аномально глубоко проникать в ткани организма.

Обнаруженный эффект позволил сформировать глубоко проникающие зондирующие сигналы и на основе анализа отраженного от организма эха получить уникальный электромагнитный профиль биологического объекта, несущего в себе отпечаток электрофизиологических, клеточных и молекулярных процессов протекающих в живых тканях.

При взаимодействии сканирующего устройства с биообъектом параметры зондирующего сигнала адаптируются под физиологические процессы конкретного организма для достижения максимальной информативности отраженного сигнала.

Организм может менять свою реакцию на изменяющийся во времени электромагнитные стимулы, поэтому процесс сканирования превращается во взаимную адаптацию внешнего устройства и организма. Этот процесс может длиться от нескольких сот миллисекунд до десятка секунд. Далее процесс стабилизируется.

Выявление уникальности в параметрах такого процесса взаимной адаптации осуществляется самообучающейся нейронной сетью. Таким образом, важен не сам электромагнитный профиль, а характер процесса взаимной адаптации, который у каждого организма свой. Это что-то вроде электромагнитного почерка.

Аутентификация по отпечатку пальца

Аутентификация по отпечатку пальца – самая распространенная биометрическая технология аутентификации пользователей. Метод использует уникальность рисунка узоров на пальце человека. Отпечаток, полученный с помощью сканера, преобразуется в цифровой код, а затем сравнивается с предыдущими наборами образцов.

Три основных типа сканеров отпечатков пальца:

Преимущества аутентификации по отпечаткам пальцев:

• простая и быстрая процедура сканирования,
• высокая достоверность,
• низкая стоимость устройств и их широкий выбор.

Корректной аутентификации могут препятствовать:

• мокрые и грязные руки,
• травма (порезы, ожоги),
• папиллярные линии на пальцах легко повреждаются, вызывая ошибки в системе и блокируя проход служащим, имеющим на это право,
• отсутствие руки, кисти, пальцев (в случае инвалидности человека).

Аутентификация по венам ладони

Источник постоянного инфракрасного излучения посылает к ладони волны длиной 760 нм, что соответствует инфракрасному спектру. Кожа и другие ткани не являются препятствием для таких лучей. И благодаря своим биологическим свойствам, излучение имеет разное отражение и поглощение различными тканями организма.

Восстановленный гемоглобин, который является составной частью крови, поглощает излучение больше, чем соседние ткани. Таким образом, в местах расположения венозного тока ИК лучи отражаются от ладони в меньшем количестве. Это отличие и фиксируется прибором.

Преимущества аутентификации по венам:

Недостатки:

• некоторые источники освещения (например, галогеновые) могут мешать работе прибора.

Похожие записи:

• Апелляция и кассация по-новому
• Карта школьника «Москвёнок» и карта москвича для школьников
• Ответственность за неисполнение решения суда