Biometric что это за программа

Как работает биометрия в России и следует ли ее опасаться?

Биометрию можно назвать самым многообещающим способом идентификации и аутентификации: удобство пользования сочетается в ней с надежностью, а считыватели уже достаточно просты, чтобы встраиваться в мобильные телефоны. Россия также следует общемировому тренду. Рассказываем, как в нашей стране работает биометрическая система.

Читайте «Хайтек» в

В последние пару лет в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. Это связано главным образом с развитием Единой биометрической системы, для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В частности, Центробанк уже довольно давно прилагает усилия к тому, чтобы стимулировать банки к применению таких систем удостоверения личности. Банки стараются: например, Сбербанк разворачивал в Москве пилотную зону с банкоматами, способными опознавать клиента по лицу. Выгоды кажутся очевидными: скажем, для открытия вклада не нужно беспокоиться о наличии паспорта, достаточно прийти в отделение и предъявить самого себя, а при общении с банкоматом не понадобится и пластиковая карта.

MIUI Biometric ✅ Устраняем Задержки и Сбои при Разблокировке Телефона Xiaomi + Экономия Заряда

Что такое биометрия?

• изображение отпечатка пальца,
• изображение лица,
• изображение радужной оболочки глаза,
• изображение сосудистого русла,
• геометрия контура кисти руки,
• динамика подписи,
• данные ДНК.

Помимо этих способов известен или обсуждается ряд других, в том числе довольно экзотичных:

• звучание голоса,
• изображение сетчатки глаза,
• тепловая карта лица,
• индивидуальный характер набора текста на клавиатуре.

Какие существуют проблемы с биометрией?

В то же время способ имеет свои изъяны. Так, заметной теоретической проблемой является требование уникальности, которое, согласно некоторым измерениям, не может быть полностью выполнено. В связи с этим вводят два понятия: частота ложного одобрения (false acceptance rate, FAR) и частота ложного отказа (false rejection rate, FRR).

Первый параметр отражает вероятность того, что по данным пользователя А будет идентифицирован / аутентифицирован пользователь В — например, в результате совпадения их показателей.

Второй параметр — это, наоборот, вероятность того, что система не узнает пользователя, посчитав его посторонним лицом. По некоторым данным, если для отпечатков пальцев средний FAR составляет 0,01%, то для лица и голоса (тех самых параметров, которые будут использовать отечественные банки) он может достигать 1-2%. Именно поэтому существует мнение, что биометрия не подходит для массового внедрения: если одна попытка аутентификации из ста будет заканчиваться несанкционированным доступом, то в масштабах страны это даст миллионы инцидентов.

Увеличил оперативку и уменьшил расход заряда батареи XIAOMI. Удалил кое-что очень не СТАНДАРТНОЕ

Практика применения биометрии в России:

Исторически первой формой работы с биометрическими данными можно смело назвать сбор сведений о правонарушителях в рамках работы силовых ведомств. Отпечатки пальцев, например, — классическое доказательство при расследовании преступлений. Работая с подозреваемыми и осужденными, правоохранительные органы фиксируют рост человека, характерные приметы его внешности.

При этом, если в обычных биометрических системах данные обезличиваются, то здесь, напротив, устанавливается точная связь измеренных параметров с конкретным человеком. В предыдущем разделе, рассматривая законодательство о персональных данных, мы отметили, что в связи с осуществлением правосудия или оперативно-розыскными мероприятиями согласие субъекта на сбор биометрических ПД не требуется; эти положения подчеркивают особый характер таких сведений.

Упоминания о биометрии в нашем обзоре законодательства начались с заграничных паспортов. Действительно, основной документ гражданина России за рубежом по сей день остается одной из главных областей применения биометрических технологий. Микросхема в подобном изделии бывает способна хранить не только общие сведения о владельце (например, имя, фотографию и т. п.), но и рисунок радужной оболочки глаза или отпечаток пальца.

Строго говоря, паспорт с биометрией не обязателен, но людей стараются стимулировать к получению именно такого документа — в частности, увеличением вдвое срока его действия. Иногда высказываются опасения относительно надежности биометрических паспортов и их устойчивости к подделке, а также в связи с возможностью считывать данные удаленно; однако в целом можно сказать, что удостоверение личности с помощью биометрии вызывает большее доверие — вплоть до того, что некоторые страны готовы разрешать въезд только по этому типу документов.

Что можно делать при помощи биометрии В России?

• дистанционную регистрацию в банках
• открывать свой счет, делать вклад или оформлять кредит
• расплачиваться за покупки в некоторых магазинах, кофейнях и заправках
• снимать деньги в банкомате.

Для чего российские банки собирают биометрию?

Работа над системой хранения и использования данных началась еще в 2017 году. С 1 июля 2018 года была запущена Единая биометрическая система — база, в которой хранятся биометрические данные граждан. Тогда же начали прием биометрии несколько крупных банков — Сбербанк, Альфа-Банк, ВТБ, Почта Банк, Райффайзен и другие.

Разработчиком и оператором системы выступает Ростелеком — он обрабатывает данные и обеспечивает их безопасное хранение. Сейчас в биометрическую систему можно сдать запись голоса и изображение лица. По этим данным можно идентифицировать человека как в отделении, так и удаленно — например, по телефону или через мобильное приложение. Возможно, в будущем в системе будут храниться и другие параметры — отпечатки пальцев или снимки радужки глаза.

Биометрическая система должна облегчить работу банков и процесс оформления финансовых продуктов для их клиентов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт — достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт — например, вклад или кредит — в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или отсутствует.

Как сдать биометрию?

Узнать, где в вашем городе можно сдать свои голос и лицо, можно с помощью карты на сайте Центробанка. Здесь можно найти список отделений банков с адресами и временем работы. Список постоянно расширяется, в нем появляются новые отделения и банки.

Для сдачи своих данных нужны только паспорт, СНИЛС и аккаунт на Госуслугах. После того, как вы подпишите согласие на обработку, сотрудник банка начал сбор биометрии. Процесс состоит из записи голоса и изображения лица. На первом этапе нужно три раза прочитать вслух цифры, например, — от 0 до 9, затем от 9 до 0, и в случайном порядке. На втором этапе сотрудник фотографирует лицо как на паспорт.

Отметим, что сбор биометрии может отличаться от места к месту.

Безопасно ли сдавать биометрию?

Сразу после первых новостей о начале сбора банками биометрии появились люди, которые начали сомневаться в надежности хранения своих данных. С одной стороны, они боялись, что дырами в системе могут воспользоваться мошенники – в том числе, подставные люди в банках – чтобы оформлять на посторонние лица кредиты. Другие опасаются того, что система не сможет правильно распознать человека из-за изменений в голосе (например, при простуде) или во внешности (например, после пластической операции или травмы).

Разработчики ЕБС учитывают эти проблемы и стараются свести их к минимуму. Биометрические данные записываются в ЕБС без привязки к персональным – ФИО, возрасту, номеру и серии паспорта, номеру СНИЛС и другим. Для их безопасного хранения используются современные средства шифрования, сертифицированные ФСБ и ФСТЭК. Передача информации происходит по защищенным каналам связи.

Голос и изображение лица проверяются одновременно по множеству разных параметров. Как утверждают специалисты Ростелекома, вероятность ошибки – 1 на 10 000 000.

Конечно, уже сейчас можно достаточно точно смоделировать внешность любого человека и даже подделать его голос. Чтобы распознавать и отметать имитации, ЕБС вводит дополнительные методы подтверждения личности. Она обращает внимание на выражение лица, расположение камеры, интонацию и другие параметры, которые могут показать, что к системе обращается сам клиент, а не имитация. Иногда нужно будет ответить на контрольные вопросы или совершить дополнительные действия – например, дотронуться до мочки уха. Так дополнительно будет подтверждаться факт того, что с системой взаимодействует реальное лицо.

Читать также:

Источник: hightech.fm

Biometric Passport Reader

Это приложение может считывать и проверять встроенный чип в паспортах и ​​удостоверениях личности.

Чтобы прочитать паспорт:
1) Используйте камеру, чтобы отсканировать машиночитаемую зону на странице данных вашего паспорта или на обратной стороне вашего удостоверения личности.
2) Поднесите паспорт или удостоверение личности к устройству, чтобы считать биометрический чип.
3) Информация о чипе отображается в приложении

Приложение не требует подключения к сети и может использоваться в автономном режиме.

Для чего используется приложение? Для предприятий эта технология полезна для удаленной регистрации пользователей и клиентов, проверки личности и выполнения требований KYC и AML. С точки зрения соответствия требованиям и безопасности ничто не сравнится со считыванием биометрического чипа.

Последнее обновление
5 окт. 2022 г.
Инструменты

Безопасность данных

arrow_forward

Чтобы контролировать безопасность, нужно знать, как разработчики собирают ваши данные и передают их третьим лицам. Методы обеспечения безопасности и конфиденциальности могут зависеть от того, как вы используете приложение, а также от вашего региона и возраста. Информация ниже предоставлена разработчиком и в будущем может измениться.

Источник: play.google.com

MIUI Biometric: что это и как отключить

17:26 11-07-2022 DimonVideo

Когда собираешься что-то удалить со смартфона Xiaomi или отключить системное приложение для оптимизации работы, всегда сталкиваешься с тем, что ничего не знаешь о работе этих служб. Если отключить одну важную, то после этого смартфон может перестать работать исправно. Например, так после обновления до MIUI 13 у пользователей Xiaomi, POCO и Redmi появился зеленый значок в верхнем левом углу экрана при разблокировке смартфона через Face Unlock — это новая системная служба MIUI Biometric. Рассказываем, что это за функция, как ее отключить и можно ли вообще это делать.

Разбираемся, что такое MIUI Biometric и нужно ли его отключать

❗️ ПОДПИШИТЕСЬ НА НАШ ЯНДЕКС.ДЗЕН, ЧТОБЫ ЧИТАТЬ ЕЩЕ БОЛЬШЕ ИНТЕРЕСНЫХ СТАТЕЙ

Что такое MIUI Biometric

Xiaomi решила создать отдельный системный процесс, который собирает все биометрические данные пользователя, а также необходимые алгоритмы, данные с датчиков и функцию разблокировки смартфона. Назвали его MIUI Biometric — теперь зеленый значок камеры появляется в углу экрана смартфонов Xiaomi и других устройств под управлением MIUI. В системе этот процесс называется com.miui.face.

Такой значок появился у всех, кто обновился до MIUI 13

Иногда MIUI Biometric слишком активно потребляет заряд аккумулятора, поэтому многие пользователи заметили слишком быстрый разряд аккумулятора. Это объяснимо: фактически приложение записывает экран смартфона, который необходим для получения данных. К сожалению, сделать с этим ничего нельзя, а вот с зеленым значком камеры, который появляется при разблокировке смартфона — можно.

Какие приложения нужно удалить с телефона. Они реально опасны

Как убрать MIUI Biometric

Значок камеры на зеленом фоне занимает достаточно места на экране и мешает пользователям. Помимо MIUI Biometric, он также используется при использовании Яндекс.Карт и позволяет понять, не снимает ли смартфон вас без вашего ведома и не используется ли геолокация в отдельном приложении. Поэтому его можно убрать с экрана, но функция не отключится полностью. Есть самый простой способ.

В системе процесс потребляет не так уж много ресурсов оперативки

• Откройте Настройки.
• Зайдите в раздел «Защита конфиденциальности».
• Нажмите «Конфиденциальность», а потом — «Уведомлять о действиях».
• Теперь в строке состояния не будет отображаться значок камеры или микрофона, когда вы используете сопутствующее приложения.

Но есть два минуса: у вас также пропадет значок геолокации, когда вы используете карты. Да и вообще, у некоторых пользователей и вовсе нет такой настройки — это зависит от региона использования MIUI. У нас, кстати, есть отдельный материал на эту тему — обязательно прочтите!

Но на самом деле предупреждения об использовании камеры или микрофона лучше оставить, ибо оно очень полезно при использовании сторонних приложений. Не очень понятно, почему зеленый значок в углу экрана отображается при использовании системного приложения Face Unlock: уверен, разработчики исправят это в будущих обновлениях или сделают значок менее заметным.

Xiaomi 12 Lite — флагман для бедных? Разбираемся, стоит ли покупать новинку

Как отключить MIUI Biometric

В отличие от других системных приложений, отключить MIUI Biometric можно, но лучше не стоит: от него зависит работа системы и компонентов MIUI. Отключение процесса привело бы к тому, что смартфон превратился в кирпич плюс нельзя будет пользоваться разблокировкой по лицу, отпечатком пальца. Дело в том, что это один из важнейших системных процессов, работающих в фоновом режиме. Даже если вы заметили, что MIUI Biometric влияет на расход батареи, задумайтесь о последствиях.

Вот такой расход у MIUI Biometric. Но стоит ли отключать функцию?

Как правило, процесс затрачивает не так много энергии, но удалось найти жалобы пользователей, что иногда MIUI Biometric расходует около 10-12% энергии — больше только у экрана смартфона (20% и больше). То есть, расход растет тогда, когда вы часто пользуетесь смартфоном и включаете/выключаете экран. Некоторые отмечают, что при отключении процесса смартфон разряжается заметно медленнее, но зачем он нужен, если удобные фишки на нем работать не будут? Не очень понятно. В любом случае, выключать MIUI Biometric не стоит, иначе везде, где есть Face Unlock, придется вводить пароль.

• Откройте настройки телефона и зайдите в «Приложения».
• Выберите «Все приложения».
• Найдите процесс «com.miui.face» и нажмите на него.
• Затем нажмите «Отключить» и подтвердите действие.

Отключать MIUI Biometric стоит только на свой страх и риск. Впрочем, если заметите, что со смартфоном действительно что-то стало не так, всегда можете возобновить процесс и перезагрузить смартфон — после этого все снова заработает как надо.

Присоединяйтесь к нашему Телеграм-чату и задавайте свои вопросы!

Как видите, зеленый значок на экране Xiaomi — всего лишь функция разблокировки MIUI Biometric и других приложений, которые используют камеру. Впрочем, несмотря на достаточно современную MIUI 13, Xiaomi до сих пор нельзя назвать идеальным смартфоном — у него есть минимум 5 недостатков, которые бесят больше всего. Читайте о них в нашей статье.

Источник: dimonvideo.ru

Часть 2: Как устроена биометрия в Android

Начиная с версии 6.0, Google выпустил документ в котором предъявил требования к устройствам на базе Android оборудованных датчиком отпечатков пальцев:

Обязательно

• декларировать поддержку android.hardware.fingerprint .
• полная реализация fingerprint API из документации к Android SDK
• иметь уровень ложноположительных срабатываний менее 0,002%
• ограничивать скорость попыток 30-секундной задержкой после 5 неудачных попыток
• иметь аппаратное безопасное хранилище, а верификацию отпечатков проводить исключительно в доверенной зоне Trusted Execution Environment (TEE) или на выделенном процессоре с безопасным каналом связи с TEE (На этом погорел Samsung S5, в котором с безопасным каналом связи была проблема)
• шифровать данные отпечатков таким образом, чтобы доступ к ним невозможно было получить за пределами Trusted Execution Environment (TEE)
• не разрешать добавлять отпечатки без установления доверенной цепочки (пользователь должен добавить или верифицировать PIN/паттерн/пароль через TEE
• корректно обрабатывать флаг DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT

Рекомендации

• уровень ложноотрицательных срабатываний менее 10%, задержка срабатывания менее 1 секунды (для 1 сохраненного отпечатка)
• не позволять сторонним приложениям различать отдельные отпечатки
• использовать иконку Android Fingerprint из Android Open Source Project

Общая архитектура

Основным компонентом отвечающим за биометрические сценарии является BiometricEnrollActivity, которую производителям рекомендуется адаптировать под свои нужды.

На текущий момент Android фреймворк поддерживает аутентификацию по отпечатку пальца и по лицу. Производитель конечного устройства может добавить поддержку других методов биометрической аутентификации (например по сетчатке глаза). Однако такая интеграция все равно будет зависеть от параметров биометрической безопасности, а не от типа аутентификации.

Аппаратная реализация

Аппаратная реализация должна гарантировать, что биометрические данные недоступны основной операционной системе и удаляются вместе с удалением пользователя.

Для изоляции необходимо применять TEE или SecureElement 1 . Все данные должны сохраняться в зашифрованном и подписанном виде с ключами привязанными к конкретному устройству и известными только TEE, коммуникация с которым должны осуществляться по выделенному физическому каналу (SPI, I2C) доступному только в изолированной с помощью правил SELinux среде.

Эти требования относятся только к сенсорам класса 2 и 3.

Архитектура системы аутентификации по отпечатку пальца

Сенсор отпечатков пальцев в основном находится в неактивном состоянии и активируется когда пользователь прикасается к нему. Для работы со сканерами отпечатков пальцев — Android использует специальный язык определения аппаратных интерфейсов (Hardware Interface Definition Language — HIDL). Производителям устройств необходимо реализовать IBiometricsFingerprint.hal в своей библиотеке отвечающей за сопоставление отпечатков.

Типичный сценарий аутентификации выглядит так:

1. Пользователь помещает палец на сенсор
2. Библиотека от производителя устройства определяет правильность отпечатка
3. Результаты передаются в FingerprintService

Система аутентификации по отпечатку пальца включает в себя следующие компоненты:

• BiometricManager — взаимодействует напрямую с приложением находясь в его процессе. Каждое приложение содержит экземпляр IBiometricsFingerprint.hal
• FingerprintService — работает в системном процессе и обеспечивает связь с аппаратной абстракцией над сенсором (Fingerprint HAL)
• Fingerprint HAL — реализация интерфейса IBiometricsFingerprint на языках C/C++. Содержит библиотеку от производителя устройства, которая общается с сенсором отпечатков пальцев
• Keystore API и Keymaster — компоненты, которые обеспечивают безопасное хранение криптографических ключей в защищенной среде, такой как Trusted Execution Environment (TEE).

FingerprintService и fingerprintd должны выполнять все операции c отпечатками через Fingerprint HAL

Архитектура системы аутентификации по лицу

Поддержка безопасной обработки кадров с камеры устройства появилась только в Android 10. Все реализации до этой версии нельзя считать безопасными.

Как и в случае с аутентификацией по отпечатку пальцев, производителям устройств нужно реализовать следующие интерфейсы в своей библиотеке:

• IBiometricsFace.hal
• IBiometricsFaceClientCallback.hal
• types.hal

Система аутентификации по лицу включает следующие компоненты:

Ожидается, что faced работает в соответствии с этой диаграммой состояний:

Оценка биометрической безопасности

Для оценки безопасности биометрических систем, Google вводит такие понятия:

• Архитектурная безопасность — устойчивость биометрической аутентификации к компрометации ядра или платформы. Сценарий считается безопасным, если ни ядро ни платформа, даже будучи скомпрометированными не могут прочитать сырые биометрические данные или внедриться в сценарий биометрической аутентификаци с целью подмены результата.
• Характеристики биометрическая безопасности

• Spoof Acceptance Rate (SAR) — метрика вероятности того, что биометрическая модель пример предварительно записанный ранее, хорошо известный пример. Например, для голосовой разблокировки можно использовать записанный голос пользователя произносящий “Ok, Google”. Такие атаки относятся к спуфингу и также известны как с Impostor Attack Presentation Match Rate (IAPMR)
• Imposter Acceptance Rate (IAR) — определяет вероятность того, что биометрическая модель примет ввод, который мимикрирует под известный модели. Например, в системе Smart Lock может использоваться разблокировка доверенным голосом. В этом случае метрика будет определять шанс того, что smart lock разблокирует устройство услышав голос другого человека, пытающегося подделать голос доверенного пользователя. Такие атаки принято называть Imposter Attacks. Эта характеристика не является универсально полезной для всех биометрических систем.
• False Acceptance Rate (FAR) — определяет как часто биометрическая модель может принять некорректный, сгенерированный случайным образом ввод. В целом это полезная метрика, но она не дает достаточно информации о том, насколько хорошо модель выдерживает целевые атаки.

В своих требованиях к производителям устройств, Google выделяет три класса надежности биометрических систем:

Класс Характеристики Ограничения

Class 3 (BIOMETRIC_STRONG)	SAR: 0-7% FAR: 1/50k	можно использовать на экране блокировки, в приложениях и для работы с ключами шифрования из Keystore
Class 2 (BIOMETRIC_WEAK)	SAR: 7-20% FAR: 1/50k	можно использовать на экране блокировки и в приложениях
Class 1 (BIOMETRIC_CONVENIENCE)	SAR: >20% FAR: 1/50k	можно использовать только на экране блокировки

Инструменты и материалы для атаки на распознавание отпечатков пальцев

Применяемые для изготовления PAI материалы:

• Для оптических сенсоров

• Копировальная бумага или прозрачная пленка с непроводящими чернилами
• Желатин (Knox Gelatin)
• Латексная краска
• Клей Элмера (как сварить самому)

• Желатин (Knox Gelatin)
• Клей Элмера
• Клей Элмера для деревянных поверхностей (Elmer’s E7010 Carpenter’s Wood Glue)
• Латексная краска

• Желатин (Knox Gelatin)
• Клей Элмера
• Клей Элмера для деревянных поверхностей (Elmer’s E7010 Carpenter’s Wood Glue)
• Латексная краска

Перед изготовлением поддельного отпечатка, изображение можно ретушировать или редактировать с высоким разрешением, чтобы повысить шансы на обман сенсора.

Качество распознавания отпечатков принадлежащих людям разного пола, возраста и этнической принадлежности порой может быть хуже и это нужно учитывать.

Аутентификация по лицу и радужной оболочке глаза

Процесс аутентификации по лицу и радужной оболочке использует одни и те же подходы. Разница заключается лишь в инструментах атаки (presentation attack instrument — PAI) используемых для тестов. При аутентификации по лицу используются фотографии и маски, а при аутентификации по радужной оболочке — фотографии или глазные протезы.

Инструменты и сценарии атаки на распознавание лиц

Применяемые PAI:

• 2D

• Распечатанные фото
• Фото на мониторе или экране мобильного устройства
• Видео на мониторе или экране мобильного устройства

• Маски распечатанные на 3D принтере
• Силиконовые и керамические маски (не используются в тестах Google)

Примеры сценариев тестирования: — Распечатанные фотографии можно слегка изогнуть, чтобы получить изгибы на щеках (имитация глубины). Этот подход может помочь обойти решения работающие только в 2D — Изменение окружающего освещения для имитации окружающей среды — Легкое загрязнение линзы на сканирующем устройстве — Изменение портретной и ландшафтной ориентации сканирующего устройства, чтобы понять влияет ли это как-то на качество распознавания

Отдельным важным пунктом является оценка качества распознавания в зависимости от пола, возраста и/или этнической принадлежности, т.к. алгоритмы машинного обучения могут не учитывать или учитывать неправильно эти особенности.

Инструменты и сценарии атаки на распознавание радужной оболочки

Применяемые PAI:

• Распечатанные фото лиц, на которых четко видна радужная оболочка глаза
• Фото/видео лиц на мониторе или экране мобильного устройства на которых четко видна радужная оболочка глаза
• Глазные протезы

Пример сценария тестирования: на распечатанную фотографию или экран мобильного устройства можно наклеить контактные линзы, что может помочь обойти некоторые алгоритмы распознавания.

Важно понимать, что разные цвета радужной оболочки могут иметь разные спектральные характеристики, что в свою очередь может повлиять на качество распознавания и процент ошибок.

Ссылки

1. Некоторые устройства имеют отдельное физическое хранилище для хранения криптографических данных. Подробнее↩︎

Источник: fi5t.xyz

Виды биометрии в мобильном приложении

Для идентификации пользователя в приложении можно использовать биометрию – например, сканеры радужной оболочки глаза, геометрии лица или отпечатка пальца. Хотя эти технологии известны и популярны, у начинающих разработчиков из-за недостатка информации до сих пор возникают те или иные вопросы.

Рассказываем о трех основных способах «узнать» пользователя, действительно ли злоумышленники могут обмануть камеру, «как в кино», и что общего между аутентификацией и игрой «Найди 10 отличий». Надеемся, что эти наблюдения будут полезны для тех разработчиков, которые начинают изучать возможности iOS и Android.

Основные виды биометрии

Идентификация пользователей необходима во многих приложениях, которые обрабатывают личные данные, например, в онлайн-банках. Так, в России с 2018 года действует Единая биометрическая система (ЕБС), с помощью которой клиенты могут пользоваться услугами банков удаленно. По рекомендациям Банка России, в 2020 году все банки должны иметь возможность собирать биометрические данные пользователей.

Согласно исследованию Spiceworks, более 60% компаний Европы и Северной Америки используют биометрию для защиты данных и считают, что этот метод надежнее, чем пин-код или сочетание логина и пароля. 10% респондентов уверены, что для идентификации достаточно только биометрии, тогда как другие компании настаивают на использовании дополнительных способов.

Популярные способы биометрической идентификации, по данным исследования:

• Сканер отпечатка пальца (fingerprint) – 57%
• Сканер геометрии лица (face ID) – 14%
• Прочие методы: сканеры радужной оболочки глаза (IRIS) и геометрии руки (3-5%).

Рассмотрим особенности нескольких перечисленных способов.

1) Сканер отпечатка пальца (fingerprint)

Для того, чтобы «узнать» пользователя по отпечатку пальца и безопасно хранить его данные, каждый производитель мобильных устройств предлагает свои возможности. Так, на устройствах Apple образец отпечатка пальца проводится через хеш-функцию перед сохранением в защищенный вычислительном модуль. Все процессы, связанные с Touch ID, происходят именно в этом модуле, и извлечь такие данные невозможно.

На устройствах Android степень безопасности зависит от производителя, используемых им подходов и решений. Как правило, работа со сканерами отпечатка пальца регламентируется отдельными документами, в том числе спецификациями Google. Ведущие производители смартфонов, такие как Samsung, используют достаточно надежные и точные емкостные сенсорами и обеспечивают высокую степень безопасности данных. Однако, отдельные небольшие компании могут применять менее надежные сенсоры и хранить отпечатки на устройстве, иногда даже в свободном доступе.

2) Сканер геометрии лица (face ID)

Если приложение идентифицирует пользователя по лицу, сканирование осуществляют за счет емкостной камеры. По сравнению с предыдущим способом, здесь требуется еще более сложный алгоритм, требующий высокой точности захвата изображения и распределения более 30 тысяч контрольных точек по изображению лица пользователя. В свою очередь, это определяет более высокие требования к камере смартфона.

По сути дела, емкостный сканер изучает лицо пользователя, выстраивая геометрическую модель и преобразуя её в результаты вычисления, которые можно хранить. Во время авторизации результат вычисления (с учетом погрешности) для конкретного пользователя сопоставляется с результатом, хранящимся в памяти.

При этом не все устройства предоставляют полноценные возможности для распознавания лиц. Бывают случаи, когда производители ограничиваются 2D-сканированием с помощью обычной камеры. Как правило, при этом на картинке выделяется лицо, которое можно сравнить с другими изображениями в базе – как в игре «Найди 10 отличий». Если приложению не удастся найти отличия, то пользователь может быть распознан как владелец. В этом случае есть риск, что потенциальному злоумышленнику удастся разблокировать приложение, просто просканировав фотографию владельца.

3) Сканер радужной оболочки глаза (IRIS)

Важно помнить, что IRIS – это не сканер сетчатки глаза. Проще говоря, эта технология сканирует радужную оболочку, которая окружает зрачок, тогда как сетчатка располагается внутри глаза на задней стенке.

Сканер определяет те или иные особенности внешности пользователя и геометрическую форму радужки, используя емкостные камеры.

Хотя такой способ биометрической защиты может показаться перспективным, у него есть свои уязвимости. С одной стороны, для снятия блокировки недостаточно найти и предъявить фотографию владельца, ведь камера определяет объем изображения. Однако, такой риск выше при одновременном использовании фотографии и контактных линз. Сканер сетчатки глаза в этом отношении может быть безопаснее, поскольку данные владельца невозможно получить в открытых источниках или угадать.

Как работает распознавание

При использовании любого из перечисленных биометрических сканеров, как правило, 100% точности недостижима. Когда пользователь сканирует отпечаток пальца, получившийся рисунок зависит от силы нажатия, смещения на долю миллиметра вправо или влево, наличия незначительных травм кожи. В результаты несколько сканов лица или отпечатков пальца одного пользователя всегда содержат различия.

При этом для авторизации по лицу или отпечатку пальца используют метод нечеткого поиска.

Блок-схема с симметричными криптографическими ключами (источник)

В этом случае приложение ищет не полностью совпадающие элементы, как при хешировании паролей, а наиболее похожие друг на друга сущности. Например, если вы авторизуетесь по отпечатку пальца, то совпадение рисунка на 90% — очень хороший показатель, который фактически подтверждает личность владельца отпечатка.

Однако, при этом на 10% отпечаток состоит из других данных. А значит, мы получаем другой хеш и теряем возможность безопасного хранения данных. Кроме того, хранить данные приходится целиком, ведь хеш-функция с выдачей близких значений для похожих символьных сочетаний недостаточно безопасна.

Рассмотрим, как будет выглядеть процесс регистрации:

• Биометрическое сканирование захватывает изображение.
• Алгоритм извлекает из изображения стабильные и воспроизводимые векторы.
• Происходит генерация открытого и закрытого кода, при этом закрытый код хешируется.
• Симметричные или асимметричные криптографические ключи выдаются для сгенерированного биометрического хеш-кода.
• При использовании асимметричных криптографических ключей происходит сохранение открытого ключа и удаление из системы закрытого ключа. Биометрические данные в этих случаях не сохраняются.

Верификация происходит следующим образом:

• Биометрическое сканирование захватывает изображение.
• Алгоритм извлекает те же стабильные функции, что и при регистрации.
• Публичный код сообщает системе, «где находятся функции» для поиска частного кода.
• Создается один и тот же закрытый код, для аутентификации выдаются одни и те же криптографические ключи и хеш.

Блок-схема с асимметричными криптографическими ключами (источник)

Чтобы преобразование было повторяемым, перед его началом биометрический сигнал должен быть надлежащим образом зарегистрирован. Эта проблема частично решена с помощью ряда методов, описанных в научной литературе.

Подводя итоги

В этой статье мы разобрали самые популярные способы идентифицировать пользователя и их особенности, которые, по нашему опыту, могут быть полезны не только начинающим разработчикам, но и просто тем, кто интересуется этим вопросом со стороны механики исполнения.

• аndroid
• iOS
• мобильная разработка
• мобильные приложения
• безопасность
• биометрия

Источник: habr.com