Comments 106
В истории шпионажа есть факт - ЦРУ в период холодной войны для вывоза нужных людей из чужой страны, находила похожих американцев - и делала это весьма успешно. То есть американец въезжал с нужную страну (СССР), отдавал копию своих документов нужному лицу, и оба выезжали из страны (естественно, разными путями)
сейчас по базе проверят, что человек выехал уже?
Смешно.
Нужные люди уезжают в Америку, а американец остаётся.
Не факт. Американец вот он, посольство его идентичность подтверждает, документы у него есть - да то же посольство может новый паспорт выдать взамен "утерянного". А кого там таможня и по каким документам вместо него из страны выпустила - её проблемы. Не будут же его в стране насильно держать, если ему предъявить нечего.
Во времена, когда не было баз данных с мгновенным доступом к изменениям, достаточны было выехать в один день через разные КПП.
"Ой, вы знаете, у меня документы украл какой-то нехороший человек, наверное, что-то плохое задумал..."
Зачем находить похожего американца, да еще уговаривать на такую фигню, когда можно сделать любые американские документы с фотографиями нужного человека? В чем смысл?
Наверное, чтобы был факт въезда в страну?
Документы выдает посольство страны в которую едет человек.
Ну сделали вы русскому паспорт Американский, он начнет выезжать выясниться что у него нет визы и остальных документов.
Я что-то запутался, какой визы и каких документов у него не будет?
Тут еще такая проблема как не спалиться на выезде. А то будет хохма, когда американский гражданин по английски ни бум-бум, либо лет ми спик фром май харт. Да еще весь на нервах. Все-таки свалить из СССР по поддельным документам это не на дачу съездить.
А какие документы у него будут?
Давайте от обратного. Вы Американец в Америке. Вам привезли Русский пасспорт. Даже целый загран привезли! Сможете вы по нему выехать?
В изначальном посыле был американец в СССР который возвращается в США. И если от обратного, то мне (я живу в РФ) чтобы в США попасть нужна американская виза, а чтобы из США вернутся домой мне никакой визы не надо.
Конечно.
На границе вы получите депорт (штам в паспорт о депортации) и запрет на въезд на пять лет за нарушение миграционного законодательства.
По крайней мере, с людьми, незаконно пересекшими границу или просрочившими въездные документы, обычно именно это и случается в большинстве стран, если они сами купили билет и собрались выехать.
А то будет хохма, когда американский гражданин по английски ни бум-бум
Вы что? Глухонемой?
Да
В книге было нужно вывезти из Советского Союза высокопоставленного военного с секретами, который хотел сбежать на благословенный Запад. Прислали на экскурсию "похожего туриста" с женой, где-то произошла подмена и в Юэсэй должен был вылететь "нужный человек".
Спасибо! Все встало на свои места.
Нам нужно вывезти оттуда одного человека, – сказал один из них. – Вы полетите туда и… останетесь. А он по вашим документам прилетит сюда. Вот и все. Конечно, мы дадим вам советские документы на другую фамилию для жизни в России и деньги…
Так что возвращаться разными путями никому не надо.
Ну как минимум затем, что остаётся запись о факте въезда американца в страну в случае проверки
Кажется, это из книги Эдуарда Тополя "Чужое лицо"
т.е. Оно не просто проверяет, что это твоё лицо, а ищет в базе похожее и делает оплату с его счёта?
Это как не набирая логин, просто набрать пароль qwerty и зайти с правами того, у кого такой же пароль.
Найдено 21343 совпадений, чей счёт хотите выбрать?
так биометрия у всех уникальная
Но в несовершенном мире технологий всё имеет допуск! Так что для Сбера вся биометрия уникальная +/- 5%
с одной стороны - да. Но с другой, вы меняетесь и система должна узнавать вас невыспавшимся, с другой причёской, с другим макияжем и т.п., а значит там заложена вариативность. И хорошо если задача стоит как " я Иван Петров, подтверди по фейсу, что это я". Но если задача ставится как "я сегодня не выспался после вчерашней пьянки, но ты всё равно угадай, на кого я похож из стотыщпятсот фейсов в твоей базе". То возможны факапы.
Как видим, не у всех. Из конкретных методик получения и сличения биометрии более-менее надежно можно использовать отпечатки пальцев. Там и теоретическая база, и годы практики на солидной выборке. А считать, что все эти новомодные методики, да еще на нейросетях, не нагенерят коллизий - пока вообще никаких оснований нет.
Да даже и с отпечатками пальцев есть проблемы. Когда я ещё работал над био-СКУД для школ — там иногда в пределах одной школы попадались люди с неразличимыми пальцами.
Мы, конечно, тогда находили оправдания — в основном, кривые руки админов крутящие настройки распознавания. Только вот причины "крутить" настройки у админов-то были, там недостаточно выставить 100% точность и радоваться.
Там над комментариями можно прочитать историю историю про то, что в текущей технической реализацией биометрия не уникальная.
Так оно не сверяет твое или нет, ты же не предьявил паспорт.
Кстати, в последнее время это довольно распространённый вид атаки на разных форумах. Когда не конкретный аналог ломается, а просто пробуется один и тот же пароль ко всем учёткам. Как правило, для продвижения своих политических взглядов используется.
А смысл? Расчет на то, что в логи пишется пароль открытым текстом и админ прочитает чтоли?
Расчёт на то, что хоть один пользователь да считает свой аккаунт настолько никому не нужным, что ему и пароль 123456 сойдёт. А дальше у атакующего есть аккаунт с десятилетней историей с которого можно спамить политику.
Выше уже ответили, плюс когда перебираются аккаунты, а не пароли, часто андифрод не срабатывает, и можно практически брутфорсить.
Идея изначально идиотская. Любую биометрию легко украсть, но сложно и дорого поменять.
Ходить фотографировать людей, а потом проверять хеши по утёкшей базе биометрии.
Дальше или банальная фотография или маска(полная/частичная) или грим.
И это не считая обычной подставы, когда человек отворачивается в нужный момент, подставляя чужое лицо. Ну и ошибочные сработки, куда же без них.
Неужели никому из команды разработки не пришла в голову проблема коллизий? Мне кажется это было вполне очевидно
Даже если и пришла, продакт наверняка ответил: "не проблема, разберёмся". Разве подобные мелочи должны вставать на пути у премии за успешный запуск продукта? /s
Тут нет коллизии. Второй не зарегистрирован
Не сторонник таких решений, но всё же может это возможно сделать так, чтобы коллизий не возникало, ну а риск подделки убрать ограничением по сумме платежа (вряд ли кто-то будет делать маску с изображением чужого лица ради того, чтобы купить что-то на тысячу рублей).
Тут либо система вас не распознаёт когда вы не выспались или лицо опухло после стоматолога, либо разработчики закладывает какой то процент непохожести с референсом в их базе данных.
Если бы они использовали лицо не в качестве логика, а в качестве пароля, то такой проблемы небыло бы, ну либо была бы не такой острой
Т.е. в магазине улыбаемся и машем - может найдется лопух гик, который похож на вас, использующий сервис Сбера.
При этом служба безопасности банка может отключить возможность оплаты, если регулярно пользоваться биометрией близнеца в супермаркетах.
Может или уже отключила?
Потому что по сути есть публичное признание что систему обошли пусть ненамеренно?
Также, а юридически тут что кому светит? Это ж кража получается? Или все же нет?(потому что никто ж не говорил что для оплаты — мало ли зачем улыбнутся просят и потому что разумный человек вполне себе подумает что система должна была не допустить оплаты посторонним). Близнец из Анапы жалобу подавал на левое списание?
После этого случая мужчина ещё несколько раз попробовал купить товары с помощью «Оплаты улыбкой». Каждый раз оплата проходила успешно.
Вот это уже по описанию похоже на кражу. Собственно никакой разницы с обычной карточкой...
Ну да, разницы с обычной карточкой никакой нет.. осталось разве что немного алгоритм докрутить, чтобы сбер собирал данные карточек всех клиентов, находившихся в том же помещении с другим клиентом более 30 минут и проводил оплату по случайной карте
или, например, брал все карты, которыми ты когда то платил и списывал платеж с любой из них.. ой, это же яндекс получился
Вроде про кражу был ответ, а не про дырявость распознавания по лицу. В данном случае ничем не отличается от того, что взял случайно такую-же серую карту близнеца. Умышленно кража, неумышленно просто вернуть как необоснованное обогащение.
Т.е. вы разницы вообще не замечаете между явным использованием чужих платежных данных и "дырявость распознавания", которая сама выбирает чужие платежные данные?
И собственно куда вы возвращать необоснованное обогащение собрались (в общем случае)? Бреду Питу, на которого похож плательщик?
Я вот не разглядываю свою карточку... может я прямо сейчас чужой карточкой расплачиваюсь? Получается дырявый банк выпускает одинаковые серые карточки еще и по умолчанию можно до ххх оплачивать без пин-кода. Как вот хозяин карточки будет деньги потом возвращать?
Даже круче можно и без всяких технологии - взять паспорт близнеца и получить деньги в отделении! Как вам такая "дыра" в безопасности?
Тут надо все осмысленно сделать. Вы ж наверно знаете что это НЕ ваш паспорт?
У сбера видимо было логика что пользователь знает же что он не регистрировался и не будет так оплачивать а зарегистрироватся он не сможет потому что мы это проверяем.
Кривая кстати логика — у меня вот когда то было желание все же зарегистрироваться в ЕБС. Вообщем полчаса с операционисткой банка, с усаживанием меня на ее кресло даже. Успех. У нее все показывает нормально. При возвращении домой — мне СМС что таки что-то пошло не так. Давайте еще раз. Получается с ЕБС — пользователь даже не может достоверно знать — он зарегистрирован или нет? А где гарантия что сбер не наворотил и тут ошибок?
С карточкой есть одно большое преимущество — карточка — блокируется.
А в банках которые хоть вид делают что они продвинутые — есть еще и заморозка (отличается тем что убрать ее может сам клиент там же в приложении где ставил)
А оплату лицом как?
Это ж кража получается?
Ну, я так понимаю, нет, потому что у близнеца не было умысла что-то там воровать. Ну и братья, наверное, как-нибудь договорятся (хотя всякое в жизни бывает, конечно).
Кража - если он заберет товар.
Если он увидит, что оплата прошла не с его счёта, а с чужого, но товар не заберет, то состава преступления в его действиях не наблюдается.
Года полтора назад к нам зачастили поставщики FaceID решений, доказывая что их продукт был самый лучший и самый безопасный.
Для тестирования, из базы в N миллионов записей был собран "адский датасет" - 10 очень похожих близнецов. Лучшее FaceID решение (с дефолтными настройками) определило близнецов как разных юзеров в двух случаях из 10. Остальные "прошли" идентификацию за своего брательника/сестрицу.
Как выше уже сказали, нужен просто PIN код и все, достаточно. А лицо - это поиск части ключа. PIN - остаток.
Тогда смысл торговать лицом? Поднёс QR код, карту(кольцо/браслет/часы/чип), телефон и всё.
В некоторых случаях карту даже не обязательно доставать из сумки. Если она одна и лежит с краю или во внешнем кармане, то NFC считается и так. И это точно безопасней чем оплата лицом.
Ну вот, к примеру, я с Вами соглашусь. А вот моя жена, например, придерживается точки зрения, что лицо + ПИН удобнее чем карта/телефон. Что из этого следует? Что наша точка зрения субъективна и разным людям нужны разные продукты. Не надо обесценивать то, что мы не понимаем или не принимаем.
Она так будет думать, пока её "лицо" не украдут и не используют для мошенничества/кражи.
Потом мнение кардинально меняется, на: "Я думала это безопасно и надёжно".
Я Вам еще раз повторю, видимо, Вы не можете это понять: это не ваше дело. Я с Вами соглашусь, но не надо решать за других людей как им жить и в чем заблуждаться.
Это не я решаю. Это банки всё больше снижают безопасность. И это в нашей стране, где каждому, хоть раз, но звонили мошенники.
Знаете, невозможность/нежелание справиться с телефонными мошенниками - это не проблема банков. Это проблема МВД и ФСБ, если уж на то пошло.
Проблемы утечки ПД из банков - это хоть и проблема банков, но, по факту, это следствие того, что судебная система отстойная. Если бы у жертв утечек было право получать за утечки, хоть и после расследований компенсации типа 100K USD, никаких бы утечек не было. А стоимость человеческой жизни на уровне мешка сахара позволяет нарушать закон как угодно.
В целом же, если вы считаете, что лицо + ПИН или 2FA менее безопасно, чем карта + 3D Secure, обосновывайте.
Я о чём и говорю. При таком разгуле мошенников и низкой ответственности банков, вводить подобные методы оплаты, идея так себе.
Карта уникальна. Её нельзя подделать, только физически украсть.
Сравнивать замену карты и лица и вовсе бессмысленно.
Вообще, карту можно и подделать и скопировать и просто сфотографировать. номер, ФИО, CVV2, дата и все, плати онлайн за что хочешь. С лицом куда сложнее, потому что для лиц есть алгоритмы антифрода (типа фотку подставить нельзя).
Чтобы получить полные данные карты, её нужно или физически увидеть с обеих сторон и запомнить или сфотографировать.
Или взломать банковскую систему, чтобы получить данные карты с сайта, т.к. они хранятся там не в открытом виде.
Плюс получение данных карты не достаточно, нужно ещё и телефон украсть или перевыпустить симку. Некоторые сайты позволяют оплачивать без 3dS, но банк куда проще возвращает такие платежи.
По поводу механизмов антифрода, как заявлялось и близнецов система различает, однако что то пошло не так. И с антифродом найдут как обойти. К примеру планшет с deepfake видеозаписью.
Ее сейчас сложно подделать. Потому что чип… можно считать что не копируется (если это новая карта и в банке не полные придурки — а то было — https://habr.com/ru/articles/281438/#comment_8854985 например) а транзакции по полосе можно уже слать лесом. А когда была только магнитная полоса — копировалось влет. Ну да — была проверка подписи продавцом.
Ну и для онлайна без 3dSecure — хватит фоток обоих сторон. В США и еще кое где в онлайн-операциях надо еще вводить billing address но в других странах это не работает.
это не ваше дело.
Если бы вы с банком являлись изолированной замкнутой системой, то я бы вас поддержал. Но это не так. Кто будет оплачивать ущерб? Банк разве не включит его в стоимость услуг лично мне при очередной смене тарифов? Кроме того банк уже включил разработку и содержание этой тряхомудии в мой тариф, хотя я им не пользуюсь и не буду.
В целом, вы, по сути, предлагаете легализовать мошенничество (что в ощутимой мере уже сделано в банковской сфере рф).
Точно так же у вас могут украсть карту. Или вообще наличные.
Или "я вообще не думала, впрочем как и всегда" ))
Сама по себе сделка "приватность за удобство и/или безопасность" не нова, и большинство людей на неё соглашаются.
Владельцы же технологий часто имеют свои интересы, которыми они не только не делятся, они ещё могут их менять произвольно. И мне кажется, что большинство этих сделок хорошо подсвечивают и рекламируют ту часть, которую клиент получает, и как-то размывают ту часть, которой клиент расплачивается.
Конечно, разным людям нужно разное, но наблюдение за рынком данных наводит на мысль, что большинство людей не заключают такие сделки осознанно.
Телефон может разрядиться, а карта остаться дома (зачем её носить, если телефон есть?). Это, понятно, редкая ситуация, но может случиться, и вариант с идентификацией по лицу может оказаться полезен. Но только если банк, а не клиент несёт ответственность в случае кражи или случайной ошибки распознавания. Технология, понятно, не самая надёжная, пользователь не может предпринять какие-либо разумные меры для защиты своих идентификационных данных, все незаконные списания должны компенсироваться банком.
Это вы говорите о двухфакторной аутентификации what I have и what I know. Карта + пин-код к ней. Ключ + пароль. Токен + пин от токена.
В то время как сейчас бесконтактная оплата используется до определённой суммы без пина, и заменить лицом предполагается именно эту часть, однофакторную без добавления дополнительной сложности.
И речь о том, что с картой она работает в принципе сносно, скопировать карту та ещё задачка, то с лицом распознавание "карты" хромает, проблема в самой системе.
Если ошибки — целиком проблема банка, то есть, он без проблем компенсирует ошибочные списания, то почему нет? Для клиента это получается удобно и безопасно. Риск может быть даже меньше, чем в случае потери карты. Главное, чтобы ответственность за все ошибочные списания нёс банк, это ведь не тот случай, когда клиент может что-то предпринять. Вот в случае потери банковской карты во многих случаях можно сказать, что виноват клиент, и будет несправедливо, если банк ему будет компенсировать убытки. А в случае распознавания по лицу сама технология изначально несовершенна, клиент не может предпринять разумных мер чтобы обезопасить себя от ложных списаний, но, если банк хочет предоставлять такую услугу, то пусть делает это на свой страх и риск, принимая на себя все убытки от ошибок в идентификации клиентов.
Практически возможное подтверждение известной фразы "улыбка на миллион".
Это было очень прогнозируемо. Дальше будет только хуже — чем больше людей в базе, тем выше вероятность ложноположительного срабатывания.
Можно ожидать, что затыкать дырку будут юридически, карательными мерами. Например, надписью на терминале "если ты не Василий Пупкин 1990 г.р прописка город Анапа улица Чапаева дом 8, немедленно отмени оплату, иначе сядешь в тюрьма на 20 лет"
Но не Васю потом будут в полиции искать опять же чере его похожее лицо, и Вася может присесть за него.
Дальше подставы начнутся. По банальной фотографии или маске.
Плюс будут ошибки в виде срабатывания на человека в очереди. В Китае уже давно ролики на эту тему ходят. Или ложные на фотографии в рекламе, которая попадётся в поле зрения. Тоже уже было в Китае.
Да, и это тоже. С современным софтом и 3d принтерами, создать силиконовую маску под конкретное лицо с фото, думаю, совершенно не проблема.
Если вы можете создать силиконовую маску под конкретное лицо - мне кажется, есть более интересные возможности применить эти навыки, чем покупка пакета продуктов в Пятерочке.
Устройства для того же скимминга, кто то ж создаёт. Да и врятли маской будут пользоваться для банальной покупки продуктов.
А потом найдутся товарищи кто использует ну-работающую-же-технология для покупки например смартфонов и ноутбуков в mvideo — там и сотни тысяч уже пойдут. Ведь рабоатет же? Почему тут нельзя?
Ладно еще если это будет считатся аналогом платежа по карте и будет требование НСПК что такое допустимо только в тех случаях когда допустима оплата по карте без PIN(там вроде до 5 тысяч хотели расширить лимит). А если у Сбера это считается аналогом платежа через СБП?(вот только при оплате по СБП клиент нормально авторизован хотя бы тем что у него в руках устройство с приложением банка / СБПэй и он может его разблокировать)
Но ведь можно было биометрия + пароль. Нет пароля? — Мимо. Вероятность, что внешне похожий человек угадает пароль (пусть хоть даже двухзачный) меньше, чем без совпадет лицо без пароля.
Ожидаемо. Не однократно встречал людей довольно похожих, как минимум их можно было разделить на 5..7 типажей лица, ну это моей нейросетью))
Так то у Сбера при оплате улыбкой 6 значный код для оплаты спросить должен. Хотя там указано для покупок свыше 1000р, настроить на любую другую сумму не дает.
На китайский рынок с таким качеством распознавания лучше не выходить
Вот мы и пришли к необходимости нанесения на лицо неких уникальных символов.
И он сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его.
Откровение святого Иоанна Богослова, [16] Откр. 14:11.
Так это… уже поддерживается. И внедряется.
https://habr.com/ru/news/703476/
Из документа следует, что банки-эквайеры должны обеспечить в половине POS-терминалов приём оплаты по QR-коду, сгенерированному на смартфоне держателя карты «Мир», до 25 апреля 2023 года. С 25 октября QR-оплата должна приниматься на 85% терминалов. В НПСК рассказали, что с конца октября банки получили возможность начать работу по интеграции сервиса по оплате покупок картой «Мир» с помощью сгенерированного на смартфоне покупателя QR-кода.
Правда пока QR-код надо генерировать на смартфоне.
А разве подтверждения транзакции не должно быть?
Достаточно было бы реализовать ввод пин кода. Даже если бы лица совпадали, это бы серьезно сократило количество ложных срабатываний.
Сервис «Оплата улыбкой» от «Сбера» перепутал близнецов