Comments 23
2. Появятся инициативные люди с доступом, которые будут торговать биометрическими данными.
3. Это упрощает слежку за любым кто имеет профиль в такой системе, как для правоохранителей, так и для любого у кого есть доступ к базе — читай для сталкеров, преступников, ГБшников которые отжимают бизнес и т.д.
А с низким рейтингом тебе ни кредит не дадут, ни даже банально билеты на поезд не продадут. Замечательная людоедская система.
У нас же ей будет злоупотреблять чуть ли не каждый второй.
ИМХО
Зато этот процесс наполняет чьи-то карманы.
О-о-о, у одних из наших Ынтеграторов, есть прекрасный ответ (прислали официально, с печатями и подписями):
Чего переживать то? Оно ж в виде «цифровых моделей» будет храниться!
(сарказм мод офф)
Когда ЭТО прочитал, много думал, где они взяли такие забористые вещества чтоб такое выдать.
У айфонов вроде датчик отпечатков их в себе хранит(а не в общей памяти смартфона), ради безопасности.
Речь о СКУД (системе контроля и управления доступом). СКУД это система которая смотрит входные данные, определяет принадлежность пользователю и в соответствии с правами разрешает или запрещает действие. Ну и логи заодно пишет — кто, когда, чего.
152-ФЗ говорит довольно четко — если по отпечатку происходит _идентификация_ то все, выполняйте требования закона. Т.е. если на входе в систему сканер отпечатка, а на выходе ФИО это идентификация, что внутри никого не волнует. Есть одна оговорка мол можно собирать обезличенные данные. Например, номер паспорта 12 34 567890 — обезличенные данные, потому что нет ФИО.
Теперь, что пишут эти товарищи:
«Отпечаток это биометрия, да. Но так как мы храним хэш, то фотографию пальца не восстановить, по этому у нас не происходит идентификация»
Т.е. это или какой-то анонимный СКУД(нет), или кто-то пытается впарить систему не соответствующую ФЗ(подставить фирму).
В чем проблема хэша биометрии (и этой системы в частности):
1. Из-за закрытого ПО мы не знаем действительно ли там хранится хэш, а не фоточка — сертификата ФСТЭК нет.
2. Непонятно, какой там хэш соленый или нет.
3. После утечки, данным хэшем мы сможем всегда (вплоть до смерти), в любой другой системе идентифицировать человека. Читай следить. Потому что пароль можно сменить, а отпечаток нет.
Если посмотреть на исторические сливы баз, то атак именно на каналы связи там найдётся хорошо если одна. Да и закрывается этот вопрос с помощью уже существующих технологий — обычным софтом вроде того же WireGuard.
Приложение «Биометрия» позволит решить эту проблему, говорят в «Ростелекоме». Однако там предупреждают, что пользователям придется устанавливать сразу два приложения — ЕБС и банка.
Больше приложений богу приложений? Я далёк от ИБ, но даже мне понятно, что чем больше компонентов участвует в процессе, тем больше точек отказа в этом процессе существует. Про сливы выше уже вполне высказались, но ведь эти приложения ещё надо будет как-то между собой подружить. Мало того, что банковское приложение может сбоить само по себе. Мало того, что каналы связи мобильные, прямо скажем, не всегда и не везде. Теперь ещё надо, чтобы это новое приложение:
- встало на мой смартфон (а у меня прошивка альтернативная, хоть и не рутованный);
- заработало там нормально;
- удовлетворилось бы качеством моего мобильного интернета;
- нормально взаимодействовало бы с моим интернет-банком (а их же немеряно, у каждого банка свой);
- не развалилось бы при очередном обновлении будь его самого, или моего банковского приложения.
И это я наверняка не всё учёл. Так что, спасибо, очень интересно, но – не надо.
Криптомодуль будет шифровать канал связи, чтобы мошенники не могли перехватить биометрические данные. Также он будет проверять, не было ли приложение взломано.
Это вот в 2021 году инновационность этой разработки — обычная шифровалка с проверкой контрольной суммы приложения?
О какой биометрической идентификации, вообще, может идти речь, если фундаментально не защищен источник данных для биометрических данных персоны? Т.е. сертифицированное ПО и защищенный канал передачи данных — это хорошо, но кто сказал, что на смартфоне картинка считывается с камеры, а голос с микрофона, а не рендерятся в реал-тайме? Уже сейчас deep-fake делается на бытовом железе просто из хулиганских побуждений. А каков уровень достоверности будет через несколько лет для "коммерческого" использования?
Вместо того что бы принимать нормальные законы и сажать коррупционеров.
Цирк продолжается.
Ну у нас уже можно пойти в МФЦ и написать заявление на запрет действий с недвижимостью по ЭЦП.
Вроде уже не нужно. Всем после того случая с продажей чужой квартиры через интернет, его по умолчанию поставили и теперь наоборот нужно идти снимать запрет.
Но если сейчас так, то это даже ещё смешнее. Т.е. сделать ЭЦП законом приравненную к личному волеизъявлению, потом осознать, что оказывается у нас поголовная коррупция и чужую ЭЦП может получить любой желающий, отменить по умолчанию действие ЭЦП на операции с недвижимостью. Далее логичный вопрос — а всё остальное можно делать по ЭЦП или нет? А если да, то почему? Ведь государство по сути официально признало факт, что чужие ЭЦП выдают на право и на лево.
Смысл моего комментария я раскрыл выше.
А дальше будет только хуже, т.к. мнение о себе они продолжают портить, а требования для кандидатов и так были не адекватными.
«Ростелеком» предложил защитить биометрию россиян с помощью криптографического модуля