Наиболее популярным средством авторизации является проверка пароля, однако, его можно украсть или забыть. Проблемы с паролями подталкивают к созданию другой системы идентификации пользователя.
Простым и привлекательным вариантом является биометрическая аутентификация, при которой пользователь должен приложить палец к сканеру, посмотреть в объектив камеры или произнести какой-то макрос. Ваши пальцы, глаза и голос всегда с Вами, не так ли? Более того, никто не может их подделать. К сожалению, эта перспективная идея всё ещё имеет много минусов, поэтому до сих пор мы редко используем отпечатки пальцев.
Однако, прежде чем я приведу вам несколько примеров в этой теме, напомню, что вы не можете изменить «биометрический пароль», и большой проблемой является также внедрение по-настоящему безопасного шифрования.
Переходя от уровня концепции к реализации в реальной жизни: нельзя не отметить очевидную и весьма существенную проблему – большинство биометрических данных можно обмануть с помощью простых и доступных инструментов.
Опасный незнакомец
Большая разница между обычным паролем и любой проверкой биометрической подлинности заключается в том, что не существует идеального соответствия между исходным образцом и образцом представленным для проверки. Говоря иначе, невозможно получить два идентичных отпечатка одного и того же пальца.
Ещё более проблемным является соответствие лица, потому что его мимика может меняться или может влиять освещение, время суток, наличия очков, волос на лице, гиперемии глаз, макияжа или даже естественное старение. От многих факторов зависит наш голос, который звучит по-другому, хотя бы во время болезни. В таких условиях очень трудно создать систему, которая сможет достоверно опознавать законного владельца и никогда не спутает с чужим человеком.
Чтобы решить эту проблему, каждая биометрическая система пытается очистить образец от помех, оставив только характерные черты, доступные для математического сравнения. Тем не менее, даже такой «скелет» даёт лишь вероятную достоверность.
В системах, имеющих средний уровень безопасности, не является чем-то необычным принять незнакомого человека после 10 000 попыток и заблокировать законного пользователя в 1 из 50 случаев. Если речь идёт о мобильных платформах, коэффициент появления ошибок повышают важные переменные внешние условия, такие как освещение или вибрация. Поэтому распознавание лица в Android разочаровывает в 30-40% случаев.
Пароль на всю жизнь
Если Вы забудете свой пароль или он будет украден, вы можете его изменить. Когда вы потеряете ключи, вы можете поменять замок в двери. А что делать, если украдена база отпечатков рук, в том числе и та, которая защищает ваш банковский счет (так делают некоторые банки в Бразилии и Японии)?
Довольно трудно изменить свою руку. Несмотря на то, что технология производства искусственной ладони ещё не существует, никто не может гарантировать, что она не появится через пять или десять лет.
Основную проблему могут частично решить отпечатки пальцев – вместо всей ладони, можно использовать 2-4 пальца, так что вы будете в состоянии изменить свой пароль. Он будет, однако, слишком коротким, чтобы хватило на всю жизнь.
Кроме того, применение биометрической аутентификации в интернете вызывает опасения, связанные с конфиденциальностью. Биометрический «пароль» однозначно идентифицирует конкретного человека, а в одной социальной сети вы не сможете иметь две отдельных учетных записи – каждый сервис имеет достаточно много инструментов, чтобы получить представление о том, что это один и тот же человек.
Если биометрическая аутентификация будет реализованы на каждом популярном сайте, процесс отслеживания пользователей в интернете станет ещё проще.
Цифровой сейф
Применение паролей и, потенциально, биометрии может помочь в ограничении доступа к различным устройствам и службам. Может помочь вам в ограничении доступа к данным, которые хранятся на устройстве. Однако, во втором случае сложно использовать функцию биометрических данных.
Когда Вы вкладываете свои документы в сейф, на двери которого установлен замок для считывания отпечатков пальцев, ваши данные дополнительно защищены его стенами. Для того, чтобы обойти биометрическую систему безопасности, придётся повредить сам корпус. В тоже время, контроль доступа к компьютеру обойти сравнительно легко.
Но, в этом случае стенки сейфа можно заменить шифрованием данных. И здесь возникает проблема. Когда Вы шифруете что-то с паролем, с его помощью генерируется специальный ключ шифрования. Если в пароле изменить хотя бы один символ, ключ шифрования будет совершенно другой и бесполезный. Но «биометрический пароль» каждый раз немного другой, поэтому трудно использовать шифрование.
На рынке существуют «биометрические сейфы», работающие с помощью облака – настройка сканирования по шаблону производится на стороне сервера, а в случае успеха сервер предоставляет клиенту ключ шифрования. Конечно, это создает большой риск массовой утечки данных – сервер может быть взломан.
Биометрия в реальной жизни
Помимо научно-фантастических фильмов и военного применения, автоматическую проверку подлинности биометрических данных можно использовать в двух случаях.
В некоторых банкоматах используют сканы отпечатка ладони, а некоторые телефонные услуги идентифицируют пользователей на основе голоса. Вторым типом биометрической защиты, встречающимся каждый день, являются сканеры, встроенные в электронные устройства, такие как ноутбуки и смартфоны. Фронтальная камера может быть использована для обнаружения лица, а специальный датчик может сканировать отпечатки пальцев. Многие системы также используют голосовую авторизацию.
Помимо указанных выше проблем, биометрические решения имеют свои ограничения, связанные с мощностью процессора, возможностями датчика или физическими размерами. Чтобы обойти эти ограничения, производители должны уделять больше внимания безопасности системы и её устойчивости. Поэтому вы легко можете обмануть некоторые сканеры с помощью мокрой бумаги с напечатанным отпечатком пальца. А когда в игру вступают реальные деньги, мошенники могут даже начать производить искусственные пальцы.
С другой стороны, законные пользователи часто должны перемещать свои пальцы много раз, чтобы получить доступ – большинство датчиков может работать не правильно, если палец мокрый, грязный или имеет царапины и ожоги.
Системы распознавания лица редко могут различить истинные лица людей с фотографий (хотя некоторые системы проверяют, имеют ли они дело с живым человеком, например, требуют улыбнуться). Однако, во время распознавания лица для разблокировки мобильного устройства эти программы часто демонстрируют чувствительность к условиям освещения и другим факторам окружающей среды. Следовательно, Вы должны иметь «план B» в виде обычного пароля, в противном случае вы не разблокируете устройство в темноте.
Большинство производителей систем голосовой авторизации говорит, что они могут обнаружить обман – как запись, так и мошенников. Но, в действительности, только самые мощные системы выполняют все необходимые сложные вычисления, а некоторые исследователи утверждают, что программы для изменения голоса могут обмануть системы авторизации в 17% случаев. На мобильном устройстве трудно выполнить полный и независимый анализ в режиме реального времени, потому что он потребует помощи со стороны облака, что, в свою очередь, зависит от качества подключения к интернету и подвергает устройство риску атаки типа man-in-the-middle.
Сочетание многих неудобства для легальных пользователей и недостаточного уровня безопасности сдерживает повсеместное внедрение биометрической аутентификации и не заменяет традиционных паролей и PIN-кодов. Безопасная и надежная проверка личности с помощью биометрии возможна только в контролируемых условиях, например, при пересечении границы в аэропорту или в пункте прохождения контроля при входе в компанию.
