Comments 49
Для персональных девайсов тоже есть риски. Разблокировать по отпечатку пальца можно когда владелец спит, сильно пьян, наконец мёртв.
Удобно. Защищает от подсматривания пинкода через плечо. Но надёжно только когда владелец жив, трезв и спит чутко.
Удобно. Защищает от подсматривания пинкода через плечо. Но надёжно только когда владелец жив, трезв и спит чутко.
0. Пожалуйста, не путайте аутентификацию, авторизацию и идентификацию.
1. Большой объем данных.
Размер, скажем, RSA-сертификата, сравним с размером изображения лица или пальца. К тому же, для аутентификации не нужно передавать изображение целиком, достаточно выделить ключевые точки.
2. Нечеткое сравнение
Алгоритмы нечеткого хеширования и сравнения давно существуют. Порог «строгости» можно настраивать, ища компромисс между ошибками первого и второго рода.
3. Схожесть показателей у разных людей
Если говорить именно об аутентификации, то у разных людей вероятность совпадения паролей гораздо выше, чем лиц или папиллярных узоров.
4. Высокая вероятность компрометации
Вот тут согласен целиком и полностью. Проблем целых три: биометрические сложно держать в тайне, нельзя сменить при компрометации, и они — один ключ от всех сервисов. По этим причинам опираться только на биометрию нельзя, а вот использовать её как один из факторов при многофакторной аутентификации — почему бы и нет?
1. Большой объем данных.
Размер, скажем, RSA-сертификата, сравним с размером изображения лица или пальца. К тому же, для аутентификации не нужно передавать изображение целиком, достаточно выделить ключевые точки.
2. Нечеткое сравнение
Алгоритмы нечеткого хеширования и сравнения давно существуют. Порог «строгости» можно настраивать, ища компромисс между ошибками первого и второго рода.
3. Схожесть показателей у разных людей
Если говорить именно об аутентификации, то у разных людей вероятность совпадения паролей гораздо выше, чем лиц или папиллярных узоров.
4. Высокая вероятность компрометации
Вот тут согласен целиком и полностью. Проблем целых три: биометрические сложно держать в тайне, нельзя сменить при компрометации, и они — один ключ от всех сервисов. По этим причинам опираться только на биометрию нельзя, а вот использовать её как один из факторов при многофакторной аутентификации — почему бы и нет?
Чтобы выделять «ключевые точки» (на самом деле все несколько сложнее, но не суть), нужно доставить алгоритм на конечное устройство. А алгоритмы эти, как правило:
а) достаточно ресурсоемки
б) зависят от вендора и версии — то есть не получится «хэш», полученный от вендора А обработать на бекенде вендора Б. Да даже разные версии алгоритма от одного и того же вендора могут быть не совместимы между собой
Поэтому считать на конечном устройстве является весьма нетривиальной задачей.
С другой стороны, помимо вышеизложенного, передача изображения лица/пальца/радужки и т.п. может попасть под определение персональных данных соответствующей категории, что еще больше усугубит процесс внедрения такой авторизации.
Так что я согласен с тем, что в больших публичных системах с большим количеством пользователей, биометрия может использоваться только как второй фактор для дополнительного подтверждения личности, но не как основной для входа
а) достаточно ресурсоемки
б) зависят от вендора и версии — то есть не получится «хэш», полученный от вендора А обработать на бекенде вендора Б. Да даже разные версии алгоритма от одного и того же вендора могут быть не совместимы между собой
Поэтому считать на конечном устройстве является весьма нетривиальной задачей.
С другой стороны, помимо вышеизложенного, передача изображения лица/пальца/радужки и т.п. может попасть под определение персональных данных соответствующей категории, что еще больше усугубит процесс внедрения такой авторизации.
Так что я согласен с тем, что в больших публичных системах с большим количеством пользователей, биометрия может использоваться только как второй фактор для дополнительного подтверждения личности, но не как основной для входа
как второй фактор для дополнительного подтверждения личности
Можно и наоборот — как «первый» фактор, вроде автоввода логина:
— Посмотрите в камеру.
— Здравствуйте, Александр Васильевич. А теперь подтвердите личность: улыбнитесь и назовите пароль.
Про улыбку — это отсылка к тексту, который, кажется где-то тут и пролетал: она имеет очень высокий уровень уникальности.
По п.1 не согласен, нельзя передать при аутентификации логин и хэш пароля, так же и с биометрией — нельзя передавать логин и готовые ключевые точки
0 — да, я именно об авторизации.
1 — безусловно, но количество этих точек так же очень велико.
2 — да, но нечеткое сравнение это большой камень в огород для схожести показателей
3 — да, но мы не ползьуемся только паролем, мы используем связку логин + пароль. При биометрической аутентификации как правило, используется лишь один атрибут
4 — именно так ее и используют сейчас и совсем не с проста, просто не многие реально догадываются, почему же нельзя целиком на нее перейти.
1 — безусловно, но количество этих точек так же очень велико.
2 — да, но нечеткое сравнение это большой камень в огород для схожести показателей
3 — да, но мы не ползьуемся только паролем, мы используем связку логин + пароль. При биометрической аутентификации как правило, используется лишь один атрибут
4 — именно так ее и используют сейчас и совсем не с проста, просто не многие реально догадываются, почему же нельзя целиком на нее перейти.
да, я именно об авторизации.
Вы точно знаете, что перед нами именно известный системе Вася (аутентификация), но не можете решить, имеет ли он право доступа к защищаемой информации (авторизация)?
Использовать биометрические данные для идентификации — это хорошо. А вот для аутентификации — это плохо.
Еще в 2014 на CCC был отличный доклад на эту тему
Если кратко, то скомпрометировать биометрические данные для предоставления их машине достаточно просто. А если учесть почти невозможность сменить биометрические данные то, на мой взгляд, это и есть самый жестокий подводный камень в биометрике. То есть биометрические данные — это логин, но не как не пароль.
Еще в 2014 на CCC был отличный доклад на эту тему
Если кратко, то скомпрометировать биометрические данные для предоставления их машине достаточно просто. А если учесть почти невозможность сменить биометрические данные то, на мой взгляд, это и есть самый жестокий подводный камень в биометрике. То есть биометрические данные — это логин, но не как не пароль.
Далеко не всегда необходима связка одно физическое лицо — один аккаунт.
С авторизацией то все понятно — могу себе представить ситуацию «акция в бассейне — всем голубоглазым блондинам бесплатный». Много людей авторизуются через характеристику биометрических данных, но это не идентификация с аутентификацией.
Ну и я не спорю, что бывают ситуации, когда одно физическое лицо — несколько аккаунтов. Но это относительная редкость.
А если вы про ситуацию когда под одним аккаунтом несколько людей, то это… Ну такая, стремная ситуация. На домашнем компе разве только ее использовать.
Ну и я не спорю, что бывают ситуации, когда одно физическое лицо — несколько аккаунтов. Но это относительная редкость.
А если вы про ситуацию когда под одним аккаунтом несколько людей, то это… Ну такая, стремная ситуация. На домашнем компе разве только ее использовать.
Почему стремная? Для домашнего компьютера как раз и подходит. А учитывая, что их под миллиард — не такой уж редкий юзкейс, что бы его отбрасывать, пусть даже не все так делают.
Почему редкость? Два-три SIM на человека — норма. А уже несколько адресов электропочты для разных целей — вообще сплошь и рядом. И, кстати, не обязательно у разных операторов и на разных почтовых сервисах.
Несколько симок на одного человека — все таки редкость. Как и несколько почтовых ящиков на одном сервисе.
Если цель — получить доступ к аккаунту конкретного человека, то вполне осмысленно и достаточно легко реализуемо. При этом, сам факт съёмки запросто останется незамеченным, воссоздать объём по этим фотографиям можно даже не нейросетей, начистой алгоритмике и это делается уже давно.
А при чем тут получение доступа к аккаунту через съемки, если пара сообщений выше про несколько учеток на одном сервисе?
Отвлёкся и мысль переключилась.
А про SIM — вот нисколько это не редкость среди людей даже моего поколения, а мне уже за 40.А уж у тех, кому 30 и меньше — как бы не через одного.
Я, право, вообще не понимаю, о чем спор. У современного смартфона две симки — практически стандарт, видимо, просто цену накручивают, а не от потребностей.
Я ещё 12 лет назад столкнулся с ситуацией, когда эти самые «две симки» были бы очень кстати, потому что работал сисадмином на полставки, в дополнение к основной должности программиста, а ключевым людям в компании выдавали служебные телефоны. Аппарат был хороший, надёжный, но тот ещё кирпич. При этом, почти не использовался, потому что нужен был только для экстренных случаев. Это один вариант. А второй — связь с разными группами контактов. Например, у меня номер от Билайна, у бывшей жены и дочери — тоже. Значит, связь с ними есть всегда, даже если тарифные минуты кончились, потому что сейчас у всех операторов безлимит на внутрисетевые звонки. Или отдельно покупается SIM при выезде в другой город, чтобы местные звонки были местными. Помнится, мне приходилось для этого таскать второй аппарат и следить за двумя батареями. Было достаточно неудобно.
В общем, не было бы потребности — не делали бы настолько массово. Впрочем, в айфонах, насколько я знаю, до сих пор одна симка, а в «крутых» аппаратах на Андроиде приходится выбирать между картой памяти второй симкой. То есть, если понтоваться — то и одной хватит, а если связь держать, то как раз три гнезда: под две симки и карту памяти. И это даже на звонилках, а не только в смартфонах.
В общем, не было бы потребности — не делали бы настолько массово. Впрочем, в айфонах, насколько я знаю, до сих пор одна симка, а в «крутых» аппаратах на Андроиде приходится выбирать между картой памяти второй симкой. То есть, если понтоваться — то и одной хватит, а если связь держать, то как раз три гнезда: под две симки и карту памяти. И это даже на звонилках, а не только в смартфонах.
У меня складывается впечатление, что две симки на смартфон — это немного из раздела телевизора в смартфоне. Китайцы начали клепать двусимочники и просто унифицировали производство — зачем отдельно делать односимку, если можно не меняя ничего делать более универсально, хоть и с некоторыми проблемами.
Интересно, что я знаю двоих людей за 50, у которых по три номера. Потому что с одного дешевле на 3 копейки звонить на такие-то номера. Больше не встречал.
Конечно же я знаю, что есть люди, у которых есть симки для машины, планшета итд. Но вот прямо говорит, что 2-3 симки на человека — это норма, не приходится.
Конечно же я знаю, что есть люди, у которых есть симки для машины, планшета итд. Но вот прямо говорит, что 2-3 симки на человека — это норма, не приходится.
А тут особо и нет причин говорить, что что-то норма, а что-то нет. Просто это достаточно частое явление, чтобы можно было говорить, что, в общем случае, у человека не просто есть SIM, а что у него есть N SIM и учитывать это в ПО и нормативных документах, если это зачем-то надо. Я лично знаю людей у которых 3 SIM в одно аппарате и именно для звонков детям и внукам и именно потому, что внутрисетевые звонки безлимитные, а то и вообще не тарифицируются, то есть минуты за них не списываются. Ну и, опять же, чтобы детям и внукам было удобнее до них дозваниваться. А их, детей и внуков, довольно много. Ну и Вы сами упомянули дополнительные SIM в устройствах, отличных от смартфона. Да, в машине может быть встроенный телефон (GPS/GSM-трэкер не учитываем), может быть планшет, который таскается с собой постоянно, могут быть умные часы, которые таскаются с собой не менее постоянно и могут иметь свой канал, а может быть ещё звонилка, которая нужна как резервный канал связи, потому что на одном заряде держится месяц-полтора-два. То есть может быть дофига случаев, когда требуется второй-третий SIM, которые находятся в носимых устройствах. Более того, я чуть выше описал ситуацию, в которой у меня было при себе два SIM ещё 12 лет назад и тогда я был бы очень не против иметь аппарат, в который можно было бы запихать оба, а так приходилось таскать два телефона и следить за состоянием двух батарей.
Вот как раз для идентификации на больших выборках её получается плохо использовать, о чём и пост. Технически нормально получается для аутентификации, но с указанными вами бизнес/юзабилити недостатками.
Чем вам не угодили, к примеру, способы идентификации по отпечатку пальца, рисунку вен или радужной оболочке глаз?
А аутентификация с помощью ключей, которыми вы разбрасываетесь направо и налево — это «бизнес/юзабилити недостатками»? Вы серьезно?
А аутентификация с помощью ключей, которыми вы разбрасываетесь направо и налево — это «бизнес/юзабилити недостатками»? Вы серьезно?
Пост перечитайте, только замените «авторизация» на «идентификация»: автор использует не общепринятые в ИТ определения.
Вкратце технические проблемы — большой объём передаваемых данных и необходимость нечёткого поиска.
Ключи можно, хотя бы, отозвать и сменить в большинстве реальных кейсов даже при только подозрении на их компрометацию или вообще для профилактики. С глазом это проблематично.
Вкратце технические проблемы — большой объём передаваемых данных и необходимость нечёткого поиска.
Ключи можно, хотя бы, отозвать и сменить в большинстве реальных кейсов даже при только подозрении на их компрометацию или вообще для профилактики. С глазом это проблематично.
Пост перечитайте, только замените «авторизация» на «идентификация»: автор использует не общепринятые в ИТ определения.
Зачем? Автор пишет на ИТ ресурсе по ИТ тематике, занимается согласованием ТЗ — смыслит в терминологии и прочих нюансах, я надеюсь.
Вкратце технические проблемы — большой объём передаваемых данных и необходимость нечёткого поиска.
Эти технические «проблемы» могли бы ответить на вопрос, почему биометрика сейчас не используется повсеместно, но не почему она нам не грозит. 20 лет назад хард на 1.2Гб для меня был просто мегамонстром, а сейчас?
Ключи можно, хотя бы, отозвать и сменить в большинстве реальных кейсов даже при только подозрении на их компрометацию или вообще для профилактики. С глазом это проблематично.
Ну я как бы и утверждаю, что самая жесть — это простая компрометация входящих данных. Именно по этому биометрика годится только для идентификации. Да, есть метрики, которые пока не подделать так просто, но это дело времени. Грубо говоря я делюсь визитками, оставляю свой идетификатор. Так же и с лицом, отпечатками и прочими данными. Но я нигде не оставляю свои пароли и ключи.
UFO just landed and posted this here
Для отпечатков пальца вероятность 100% совпадения — 1 к 64 000 0000 000
можно хоть какой-то пруф?
Потому что не единожды встречал упоминания, что дактилоскопия — теория принятая на вооружения без надлежащих практических исследований. Понятно, что 100 лет назад было нереально сравнить сотни тысячи отпечатков. А в современных реалиях на сколь большой выборке проводились оценка уникальности?
Думаю, что да, но в открытом доступе их нет. Данные отпечатков пальцев совсем не та информация, что открывают для исследователей.
Тем не менее, я сделал аннотацию, что данные могут быть не точными и вообще это значения не имеет. До сих пор не зафиксировано ни одного случая повторения отпечатков. При сравнении отпечатков используют нечеткое сравнение, и по сути статистика будет выглядеть совсем иначе.
Тем не менее, я сделал аннотацию, что данные могут быть не точными и вообще это значения не имеет. До сих пор не зафиксировано ни одного случая повторения отпечатков. При сравнении отпечатков используют нечеткое сравнение, и по сути статистика будет выглядеть совсем иначе.
Не совсем так.
Не зафиксировано совпадений по всем 10 пальцам. И именно про совокупность 10 пальцев говорят о шансе 1 к 64 млрд. А если тупым математическим методом попытаться пересчитать вероятность на 1 палец — вообще как-то печально всё выглядит. Разве что в криминалистике мизинец с большим, наверное, не спутаешь и так считать нельзя.
Не зафиксировано совпадений по всем 10 пальцам. И именно про совокупность 10 пальцев говорят о шансе 1 к 64 млрд. А если тупым математическим методом попытаться пересчитать вероятность на 1 палец — вообще как-то печально всё выглядит. Разве что в криминалистике мизинец с большим, наверное, не спутаешь и так считать нельзя.
Нам интересен только один палец.
Спутать мизинец с большим, думаю, вполне возможно — размер ладоней у всех разный.
В любом случае, интересен именно вариант «отпечатки достаточно похожи», а не «отпечатки совпадают»
Спутать мизинец с большим, думаю, вполне возможно — размер ладоней у всех разный.
В любом случае, интересен именно вариант «отпечатки достаточно похожи», а не «отпечатки совпадают»
«Подытожу, вот несколько ключевых трудностей в авторизации биометрическими методами:
— большой объем данных
— нечеткое сравнение
— схожеть показателей у разных людей
— высокая вероятность компрометации»
Как эти проблемы решаются в Индии в национальной системе идентификации AADHAAR?
Как верно подметили, ключевая проблема биометрии в неизменяемости.
Предположим два сценария — аутентификация по отпечатку и сертификатом. Предположим что объем данных для обоих процедур идентичен. И тут кто-то скомпрометировал данные аутентификации. То есть тупо украл сертификат или смог подделать отпечаток ( или его цифровой слепок). Сертификат можно тупо заблокировать и выпустить другой. А что делать с отпечатками?
Теория говорит что для максимально надежной аутентификации нужно два секрета — одним ты владеешь, а другой ты знаешь. И оба секрета должны быть изменяемы.
Типичная двухфакторная аутентификация когда вводишь пароль (знаешь), с тебе приходит код на телефон (владеешь) — удовлетворяет условиям. Токены с сертификатом, отдающим его по паролю тоже подходят.
Но у обоих способов есть недостаток — пароль. Люди плохо создают и запоминают пароли.
Нужно пароли заменить на что-то другое. И тут получается противоречие — нам нужны данные, которые другой пользователь не может воспроизвести, но нам нужно не заставлять пользователя запоминать. Внезапно биометрия подходит.
Но нам нельзя биометрию передавать на бекэнд, по описанным выше причинам. Тут подходит вариант с токенами. Токен отдает сертификат только если биометрия совпала. Проверка биометрии делается в самом токене и не выходит во вне.
Такой подход автоматически устраняет проблемы, описанные статье, и гораздо удобнее, чем пароли.
Биометрическая авторизация используется в Сбербанк онлайн мобильном приложении. По крайней мере на iPhone авторизация и операции с отпечатка.
Точно авторизация (проверка прав для известного пользователя)? Может аутентификация (подтверждение пользователя) или идентификация (представление пользователя)?
практически, логин и пароль уже хранятся на устройстве (вы совершенно точно вводили их при первичной настройке).
Дополнительно вас просят приложить отпечаток, чтобы убедиться, что телефоном пользуетесь именно вы, а не ваш ребенок например.эти данные дальше вашего телефона не уходят.
Дополнительно вас просят приложить отпечаток, чтобы убедиться, что телефоном пользуетесь именно вы, а не ваш ребенок например.эти данные дальше вашего телефона не уходят.
Sign up to leave a comment.
Почему биометрическая авторизация нам не грозит