Comments 133
И MAX тут как бы вообще не нужен, всё то же самое можно было сделать в приложении Госуслуг, наворачивание лишних абстраций вызывает только недоумение
Это уже даже сделано в Москве: есть приложение mos id, где ровно те же самые документы
всё то же самое можно было сделать в приложении Госуслуг
По идее - как раз для того, чтобы не таскать на повседневном телефоне это самое приложение Госуслуг. Уж больно у него возможностей много.
А что разве приложение такое тяжелое, что вам трудно его таскать?
частота пользования не такая чтобы таскать
И что из этого? Вы удаляете у себя все приложения, которые редко используются? Они оттягивают вам карман? Просто очень странная аргументация у вас.
зачем держать лишние приложения - у меня из гугла только photos и хром с files да play store не загашены + операторское удаляю сразу как попользовался = контролировать их ещё
А я вот удаляю все приложения, которые не использую. Зачем они мне, если я их не использую?
Ничего подобного, совершенно нормально не забивать свой телефон магазинами, кабинетами и мессенджерами, которые не нужны постоянно. Часто пользователи предпочитают из-за этого мобильные версии приложений (которые без клиента, по ссылке работают не захламляя телефон). Установленное приложение не просто лежит в телефоне, оно может проявлять активность при пробуждении телефона, при подключении/отключении интернета и, естественно, будучи просто установленными потреблять энергию батареи и отнимать ресурсы оперативной памяти и процессора, даже, когда вы им не пользуетесь.
Уж лучше держать десяток приложений. Чем райский для мошенников Скам и опг, ломанув который те получат всю вашу жизнь.
Мало того, это уже сделано в приложении Госуслуг. Там есть раздел «Документы для предъявления», где можно показать паспорт, права, СТС, полис ОМС, СНИЛС и ИНН. И только для паспорта там нет динамического QR-кода, судя по всему, в целях пропаганды MAX'а.
Посмотрите фильм Сфера (2017), хотя бы до момента где происходит совещание, очень доходчиво там рассказывают зачем и почему
В Госуслугах уже давно есть цифровой паспорт, ИНН, Снилс, права и есть возможность добавить сканы любых документов.
max будет просто еще одним более простым и распространенным интерфейсом в госуслуги. от приложения собственно госуслуг можно будет вообще отказаться, оставив за ними только бэкэнд.
Пока ещё добровольно..
А скоро - и с песней!
Для иноагентов еще будет дополнительная услуга - "звезда Давида" на куар-коде.
Возможны цветовые гаммы для останых нежелательных эмигрантов, экстремистов и прочих предателей Родины.
Не надо будет думать, что где-то не указал степень предательства. Все будет для удобства пользователей.
Ну и стоило тратить "законсервированный" аккаунт на такой бездарный провокационный пост?)
Обратитесь к линейному майору, чтобы он отозвал ваши 15 рублей)))
Не по адресу. Но за намек спасибо - придется вставлять тег "сарказм" более систематически. Хотя ситуация «сюр» по-умолчанию.
Эккаунт, действительно, «на вынос». Уж очень у Хабра про-кремлевский алгоритм. Чем больше позитивных «лайков» на анти-кремлевские комментарии, тем ниже карма. Возможность использовать раз в сутки так себе. Использую только чтобы потроллить того самого майора или какого-нибудь идейного «патриота» в засаде.
Зачем такие сложности? Иноагентов просто обяжут носить Цак !
del
Когда уже сделают нормальный вход через ГУ?))). Из последнего. Установил авито. Вход через ГУ. И он блин перекидывает на сайт. Алло. Приложение на телефоне есть. Какого *** тебе на сайте надо.
Вместо ботов, каналов и прочих вещей сделали что-то "реально нужное"?
Вот как-то не нравятся их приоритеты!
При этом, ничего для безопасности, что бы было хорошим вариантом, так и не сделано дополнительно, когда ложь раскрылась, и оказалось, что обещанное отсутствие в Максе мошенников - вовсе даже не аксиома.
попробуй установить для начала
Как может быть использование цифрового ID безопасно, если для его создания в обязательном порядке требуется биометрия? Пароль я могу поменять, если его скомпрометируют. А как поменять лицо / голос / дактилоскопический рисунок / походку / паттерны движения / рисунок радужки глаза?
Биометрию нельзя украсть, в этом и прелесть. В случае проблем -это всегда вина сервиса, который эту биометрию недостаточно точно определил, а не пользователя
властям будет всё равно, потому что у них власть, и будут говорить они между собой: "да что они нам сделают? Мы главные"
Как это нельзя? Данные биометрии вовсе не обязательно хранятся в виде хэшей. Даже более того, при сдаче биометрии ваше оригинальное фото будет 100% храниться где-то в недрах ЕБС. Сдавая биометрию в эту систему вы разрешаете всем у кого есть доступ к её обработке её обрабатывать. Проблема тут не только с фото, но и с тем, что данные о паттернах вашего биологического тела с тех пор будут иметь право совокуплять к этой базе. Любая камера с ИИ будет за километр вас узнавать. Данные обо всех ваших передвижениях и действиях могут быть собраны с некоторой достоверной вероятностью. И всё потому же, почему биометрию нельзя украсть. Её нельзя подменить. Никак.
Биометрию нельзя украсть, в этом и прелесть. В случае проблем -это всегда вина сервиса, который эту биометрию недостаточно точно определил, а не пользователя
В бытовом оборудовании работа с биометрией по-нормальному реализована только в айфонах, где софт интегрирован с железом и все компоненты подписаны. Но поэтому все привязано к инфраструктуре Apple. В андроидах с их зоопаком устройств и сервисов нет ни каких гарантий, что вашу биометрию по пути не скопируют.
Биометрия опирается на показания датчиков. Поэтому она как минимум уязвима к двум видам атак: presentation и injection spoofing. В первом случае датчикам демонстрируют макет. Во втором - вклиниваются в канал передачи данных от датчика и имитируют сигнал. Ну и если в случае утечки пароля вы можете его заменить новым за пять секунд, то с мордой лица или отпечатками пальцев это уже сделать так просто не получится.
Биометрию нельзя использовать удаленно. Вообще. Потому что нельзя сопоставить источник волеизъявления и биометрический слепок.
В офисе банка понятно что тушка с лицом на фотке и тушка которая просит выдать кредит - одно лицо (киношные сценарии не в счет).
А если отпечаток биометрии прилетает к вам на сервер из инета то определить это невозможно концептуально.
Грим и силиконовые маски 100 лет назад придумали
Как может быть использование цифрового ID безопасно, если для его создания в обязательном порядке требуется биометрия?
Это же ID. Он приблизительно везде - биометрия. Ибо фотография, как минимум.
А если ее не будут спрашивать и показывать - то срузу вопросы будут, потому что условный ребенок сможет папин показать и выпивку купить.
А если ее не будут спрашивать и показывать - то срузу вопросы будут, потому что условный ребенок сможет папин показать и выпивку купить.
faceID/проверка отпечатка на телефоне не делится сырыми данными с приложением. достаточно ввести палец/морду ребёнка в папин телефон и будет работать
достаточно ввести палец/морду ребёнка в папин телефон и будет работать
Оно фотографию показывает. "Мальчик, ты зачем папин телефон мне показываешь?"
А вот чтобы там была именно папина фотография - к ЕБС и привязываются.
А вот смотрят ли упомянутые кассы самообслуживания на лицо того, кто там перед кассой стоит - это хороший вопрос.
Вопрос сложный. ЕБС вообще не должна видеть мальчика, только QR/хеш того, что в ЕБС. Мальчик вообще не давал согласия видеть его камерой. Мальчик вообще не мальчик, постригся неудачно и с похмелья. Да даже больше - устройство с ЕБС в принципе не имеет права работать с сырыми данными, и сравнить даже векторизованное видео с показываемым аусвайсом не может. Такое в лоб разрешено только для проверки загранпаспортов, остальным - второй фактор - NFC-карта, что угодно. Короче, отражение вектора атаки таким путем недопустимо. Надо как-то по-другому запрещать бегать папе за пивом субботним утром.
Обработка фото с бумажного паспорта кассиром и обработка скана доступных характеристик вашего тела через ЕБС не то чтобы совсем одно и то же. Это сейчас фото... Как минимум. Сюда чуть позже добавится голос. Потом отпечатки пальцев. Потом ещё что-нибудь. Всё, вы - ходячий маячок. Вас пронумеровали с удобством отслеживают.
А ещё (в порядке гипотезы) потом кто-то умный придумает эксплоит и скажем по украденному хэшу биометрии сможет восстанавливать набор цифрового шума, который генерирует для сканера положительный ответ и верифицирует. Допустим можно будет просто подсовывать смартфон, который в камеру, куда сейчас надо улыбаться будет генерировать непонятную человеку узорчатую картинку. А она будет верно считываться, как будто это лицо конкретного человека.
Или система ошибётся и по ориентировке биометрического сканера вас остановят и задержат до выяснения. И вы будете безуспешно доказывать, что вы не верблюд.
Или эта система вдруг станет основной, заменит документы. А потом ваш цифровой след в БД сотрут хакеры / подменят на другой или ещё что. Вы потеряете всё.
Сценариев, когда всё это пойдёт не по плану или будет использовано против вас можно придумать тысячи.
Это все ясно. Я про то, что почему в конкретном случае биометрию запрашивают - понятно же. Иначе это скорее всего вообще сделать нельзя.
А про 'безопасно': Если там ничего кроме 'Подтверждаем, что на фото гражданин РФ старше 18лет' нет - то технически можно утверждать, что это даже безопаснее, чем паспорт показать, в котором ФИО и паспортные данные посмотреть можно.
Собственно, вангую, что оно для такого использования и делается (ну или будет заявляться, что для такого) - в магазинах и прочих местах доказывать, что ты взрослый.
Или эта система вдруг станет основной, заменит документы.
Ну, вообще говоря. Только тогда все предполагали, что о приложении Госуслуг речь идет.
После согласия с обработкой биометрии после её сдачи безопасность этого шага будет иметь куда меньшее значение. Но да, в этом месте это удобно и безопасно. Данные уже собраны и в другом месте. Тут получается аналог TOTP. Сверка временного хэша по известному алгоритму. Я как раз про то, как этот TOTP привязать и получить, а потом как данные, собранные для получения этого TOTP можно (и они будут) использовать.
так кассы 20+ лет как работают с голосом (подтверждение использования карты) и видео - почитай про призма да тп
С помощью скальпеля, тебе и сетчатку изменят и отпечатки сотрут))
Тоесть, Цифровой ID в госуслугах, где собственно ему и место, создать не смогли, замутили его в МАХ-е.
Понадобилось как-то обратиться в ВТБ. Менеджер говорит,
- мне надо проверить вашу личность, паспорт предъявите
Достаю телефон и показываю данные паспорта из раздела мои документы в приложении гостуслуги. В ответ получаю:
- извините, но это не паспорт и такое подтверждение не предусмотрено в нашем банке.
На мой вопрос Ваш банк не признает госуслуги, менеджер смущаясь ответила:
- да, госуслуг нам недостаточно... руководитель отделения её слова подтвердил.
Дело происходило в этом году в Симферополе.
Цифрового ID им интересно будет достаточно или это просто блажь и розовые очки минцифры?
извините, но это не паспорт и такое подтверждение не предусмотрено в нашем банке.
Некоторый смысл имеет.
Он может проверить, что это настоящее приложение Госуслуги и, соответственно показывают настоящую фотографию, что паспортным данным должны соответствовать?
Вот если бы они на своих машинах из Госуслуг фотографию вытащили - тогда да, некое доверие есть.
На мой вопрос Ваш банк не признает госуслуги, менеджер смущаясь ответила:- да, госуслуг нам недостаточно... руководитель отделения её слова подтвердил.
Всё правильно. Проверять подлинность паспорта девушка в окошке умеет, а проверять подлинность приложения - нет. И в законодательстве про приложение как способ удостоверить личность наверняка ничего не сказано.
Так что лучше так, чем мошенник с левым приложением снимет деньги со счёта.
И в законодательстве про приложение как способ удостоверить личность наверняка ничего не сказано.
Ссылку выше давал. Кое что сказано. Насколько все согласовано, одобрено и разрешено к (не)использованию - это путь местные любители писать статьи 'изменения в законодательстве' объясняют.
Цифровой ID в госуслугах, где собственно ему и место, создать не смогли, замутили его в МАХ-е.
Это же прекрасное решение! Можно сразу двух зайцев убить. И цифровизация (удобно) и контроль над переписками (все потенциально опасные режиму будут выявляться автоматически)
ИМХО если бы речь шла о контроле над переписками, разработчики бы сразу регистрацию в МАХ-е через госуслуги сделали, что я считаю более правильным для государственного мессенджера.
Повторюсь ИМХО.
А потенциально опасные режиму идиоты что-ли в госмессенджере переписываться о чем-то потенциально опасном? Для этого же есть другие мессенджеры, а Мах он для чатиков государственных и бюджетных организаций и прочего такого
а Мах он для чатиков государственных и бюджетных организаций и прочего такого
И потому его предлагают устанавливать всему населению и так агрессивно рекламируют?
А где его кроме этих самых госучреждений и организаций то рекламируют? Я про него только антирекламу на всех сайтах вижу и что-то мне кажется не государство её простит, ну или по крайней мере не наше государство) слышал про рекламу у инстасамки и прочих, но я их не смотрю, поэтому тоже только читал про неё
Зайдите в Госуслуги. Если давно там не были, вам сюрприз, хоть вы и не госорганизация а физлицо. Мне например пришла в почту от mos.ru, большая портянка всех достоинств Макса и мэра Москвы с крутым пабликом в нём.
Реклама в общественном транспорте также не двусмысленно намекает, что целевая аудитория - граждане, едущие в этом транспорте.
Все прогосударственные новостные паблики в ТГ (Mash, например) регулярно пишут о том, что у них там теперь есть канал и уникальные новые плюшки, которые есть только там, заходи, узнаешь первым. Блогеры, которые есть в ТГ, Youtube (например техноблогер Wylsacom). Вот тут на хабре в данном посте. И это я только что первым вспомнил.
Пока не будет отдельного постановления правительства по этому поводу, включение всех эти цифровых побрякушек в официальный перечень документов удостоверяющих личность, ни один банк принимать их не будет. Госуслуги из телефона сейчас таковым не являются, ни для кого. Это просто справочная информация, как бы.
Когда-то мы мечтали избавиться от бумажных документов. Рассуждали об удобстве и всё это выглядело безопасно. Теперь мечтаем сохранить их и не иметь цифровых копий. Как лихо мир изменился. 10-15 лет назад казалось что когда человек говорит что предпочитает наличные это означает что он как то связан с криминалом, сейчас кажется просто попыткой остаться свободным.
тк хранение денег в банке тоже криминал - поддерживаешь роставчищество
Этот лаг в понимании очевидных вещей имеет все шансы стать эпитафией на надгробном камне цивилизации
Неистово плюсую. Это действительно переворот реальности.
Я когда-то мечтал о такой штуке:
=== начало цитаты ===
Единая федеральная база данных. Куда заносится все. Часть данных доступна всем: то, что гражданин считает возможным сообщить о себе обществу: Иванов Петр Петрович, профессор археолоогии, электронный адрес для связи такой-то, список работ: вот. Типа, визитка.
Часть - доступна тем, кому сам гражданин разрешил. Типа "вконтакта".
Часть - доступна для чтения гражданином, для записи - уполномоченными лицами: кадровик на работе и участковый в поликлинике туда пишет, а гражданин - только читает. Причем уполномоченные лица имеют настроенные права доступа: врачи имеют доступ к медицинским записям, а кадровики - к истории работы, но не наоборот. Каждую запись в базу специалист подписывает своей ЭЦП. Все мед.учреждения работают с единой медкартой, аналиизы не теряются, все подшито в одно место, многократно дублировано и доступно любому медработнику в объеме его полномочий. Ну удобно же?
Есть разделы, закрытые для гражданина: допустим, органы туда пишут оперативную информацию: "сочувствует ИГИЛ, сцуко. Не доказано, но подозреваем! И самогон гонит!".
Информация о собственности. Зарегистрированные транспортные средства. Зарегистрированное оружие. Кредиты. Животные.
Такой гибрид визитки, соц.сети, кабинета на гос.услугах, банка он-лайн, мед.карты, трудовой книжки и хз чего еще.
Rfid, понятное дело, такую прорву данных не вместит, но ссылку на профиль гражданина в единой базе данных - вполне.
Все это разбросано сейчас по сотням сайтов, баз данных и бумажных картотек, а можно просто свести все в одно место и привести к одному стандарту.
=== конец цитаты ===
А сейчас, спустя лет 15, я понимаю, что это не про удобство, а про контроль. Цифровая медкарта, цифровое ID, цифровой кошелек... социальный рейтинг. И достаточно привязать ID и цифровой кошелек к соц.рейтингу, а тот - к мед.карте с отметками об обязательных как бы медицинских процедурах, и все, мышеловка захлопнулась. Привет, тоталитарный технофашизм. И думаю: не дай бог, чтоб сбылось.
А теперь вспомним, что нам продвигают из каждого утюга последние лет пять по всему шарику.
Нафиг, нафиг...
Знаете, меня вполне устраивает бумажный паспорт, обычный счет в банке с обычной пластиковой картой, и даже наличные я вполне переживу, и бог с ними, с тремя медкартами в трех поликлиниках, что мне нужно - я сам отсканирую и сохраню, где мне удобнее. А не все вот это вот.
отшельнице агафье больше не наливать
Ну-ну. Погодите, мы еще просто не доехали.
Вы сравниваете бабку с примусом, не принимающую прогресс и боящуюся электричества от собственного невежества и человека, который по просто хотел прогресса и удобства и наконец осознал, каким именно образом новые великие возможности дают великую силу. И сила эта консолидируется в руках, которые имеют монополию на насилие. И эта цена, которую общество обязано за то удобство уплатить. Прогресс конечно не остановить. Но повернуть не туда - запросто.
Цифровая медкарта, цифровое ID, цифровой кошелек... социальный рейтинг
Беспочвенные страхи. Отсутствие такой единой базы сейчас никак не мешает арестовать ваше имущество и счета, ограничить выезд, присвоить вам статус иноагента или другого врага народа. И никакой социальный рейтинг не требуется.
В это же время, в странах где единая база есть - люди просто не тратят время на ручное заполнение миллионов бланков и заявлений, на бюрократию с лишними документами. И никакой социальный рейтинг почему-то не появляется. Это все не от технологий зависит.
Да, проблема не в технической плоскости (и в технической плоскости не решается), это уже переобговорено миллион раз.
Но всё же технические средства открывают новые вектора злоупотреблений.
Так уж беспочвенные?
>>Отсутствие такой единой базы сейчас никак не мешает арестовать ваше имущество и счета, ограничить выезд, присвоить вам статус иноагента или другого врага народа. И никакой социальный рейтинг не требуется.
Да. А наличие такой базы позволит отключить вам вообще все, буквально одним кликом мышки. И то, делать это будет какой-нибудь ИИ, и претензии предъявлять будет некому.
В Китае что-то подобное, если верить некоторым каналам в Telegram вполне себе работает.
Это мы говорим про злоупотребление государством. Для криминала тоже широчайшие возможности: утечка базы - лишь вопрос времени. Представьте, какие широчайшие возможности для подбора органов, например.
О разрешениях и прочем в Махе. Бессмысленно смотреть всякие камеры, микрофоны и прочие свистоперделки. Смотреть нужно встроенные возможности загрузки и управления в телефон пользователя. Но об этом не выгодно для продвижения говорить. Вот и упирают что такие же как и у других. А то что бекдоров напихали, и в любой момент по нажатию кнопки превратить могут в во что угодно лучше умолчать.
Извините, но бэкдоров проще было в банковских приложениях напихать т.к. любого банкира можно прижать на чём либо и он с радостью согласится помочь товарищу майору.
Банковское приложение не имеет отношения к банкиру. Как связаны бэкдоры у пользователя и банкир?
Банковскому приложению можно снести все права кроме интернета, а если начнет бухтеть, то снести совсем. Мессенджер использовать для фонового слежения удобнее и менее палевно.
Но направление мысли в целом верное - весь софт из российской юрисдикции должен быть под особым контролем.
так они все на бэкдорах и чисто доверии бэкдорщикам что код проверенный
Абсолютно нелепо обсуждать, медным или латунным будет цак. Единственное обсуждение здорового человека - о самом факте его навязывания.
Так там и напихали уже по самые помидоры. Был разбор этого Макса не по формальным признакам, а по тому, что там реально под капотом. Так там паттерн характеристик как у типичного зловреда. Разумеется всё это исключительно для нашего удобства и безопасности))
Для того что бы показать сотруднику полиции паспорт теперь придется разблокировать телефон? И это основная цель всех этих телодвижений?
По заверению Минцифры, это безопасный и надёжный способ подтвердить личность, а те, у кого её нет, могут зарегистрировать её в процессе создания Цифрового ID — по загранпаспорту нового образца.
Те, у кого нет личности?
Мы так отстранённо за этим наблюдаем, будто это не наших шеях верёвку затягивают. Каждый здесь считает себя разумным человеком, но это не поведение разумных людей.
Надеюсь опомнятся и создадут возможность создания этого цифрового ID в Госуслугах.
Надеюсь опомнятся
А можно логику этого желания? А то я как-то немного не понимаю. Оно (цитата из источника новости) для
Воспользоваться Цифровым ID можно будет при заселении в гостиницу, при покупке товаров, требующих подтверждения возраста старше 18 лет, а также статуса пенсионера, многодетного или студента.
Если предположить, что человек в принципе согласен на всю эту биометрию (а если делать в Госуслугах - оно там тоже наверняка будет) - то чем показ чего-то из приложения Госуслуг лучше, чем вот этого из месседжера? В магазинах-то?
Наоборот, выглядит более менее нормально. Для 'серьёзных' сценариев - одно. Для 'черт с ним, ничего особого страшного не случится, если обознаемся' -- другое.
Что помешает мошенникам по интернету раздавать эти QR-ы? Проверяющая сторона никак не может проверить подлинность приложения, соответственно не может знать, кем был сгенерирован QR.
Логично, что код генерируется из идентификатора человека (ну или пакета с его данными, например, только возраст для подтверждения возраста на кассе) и временной метки, шифруется ключом. Код получается или онлайн приложением, или без интернета генерируется на устройстве из предварительно запасенных и ограниченных по времени действия оффлайн ключей.
Обмен системы возможен только через провайдера кодов на ферме с телефонами с личностями возрастных бомжей, откуда через вебки или эмуляторы экранов шлются в реальном времени коды клиентам. Для покупки сигарет и алкашки подростками этот бизнес просто не окупится.
А для случая отличного от подтверждения возраста вы не сможете предьявить фейковые свои данные - только той жертвы которая добровольна отдала свою личность на публичное распространение за вознаграждение. Какой профит для обманщика (предьявителя) я пока не знаю.
В QR невозможно всунуть фотографию, из-за её размера. И как связать QR с какими-то текстовыми данными, с личностью, предъявляющей этот QR?
Рынок поддельных документов для чего-то существует. Здесь их подделать гораздо проще, дешевле и безопаснее.
В QR невозможно всунуть фотографию, из-за её размера.
А ее, собственно тут и не всовывают. Ее рядом показывают.
А в QR - скорее всего что-то вроде "Гражданин на фото <хэшь фотографии> имеет возраст больше 18-ти. Дата. Подпись сервиса"
Какой такой хэш, который можно оптически считать и сверить с куаром? Биометрический? В каждом валидаторе камера и нейросеть? Это фантастика. Да и не влезет биометрический хэш все равно, он большой.
В каждом валидаторе камера и нейросеть?
У Сбербанка всякое "Платите улыбкой" есть. Как то справляются. Скорее всего - тем, что в кассе камера, а все остальное - где-то в их облачных серверах. Это категорически неприятно и по этому поводу должна мучать паранойя, но, очевидно, как-то работает.
Да и не влезет биометрический хэш все равно, он большой.
Ну не в самом QR. А по URL/идентификатору, что там записан, где-то из недр сервиса достают. Вот проблема-то. Полностью оффлайновой работы вроде бы, никто не обещал.
Не предполагается в таких подтверждениях (возраст) использовать фотографии. Основной упор делается на то, что устройство предьявляющее этот код в единственном экземпляре и не передачу его другим людям контролирует владелец.
Например, банковская карта. Раньше во времена передачи ее кассиру тот был в праве при подозрении, что карта не принадлежит покупателю, задержать ее. Сейчас такой контроль невозможен, карта может гулять по рукам. А было бы удобно по ее данным еще и возраст проверять, если бы физически она была непередаваема.
Банковскую карту невозможно скопировать. На банковской карте выдавлены ФИО, которые совпадают с ФИО в паспорте, в котором есть фотография. Для использования карты человек вводит ПИН, что также подверждает, что он владелец карты.
QR - это просто картинка в чьем-то телефоне. Ее связь с предъявителем телефона невозможно установить. Да, в картинке может быть цифровая подпись "эту картинку сгенерировал Вася Пупкин", но проверить, что он лично стоит перед тобой, нельзя.
Значит, мошенники будут воровать аккаунты, как и раньше, и шарить эти картинки через интернет.
Значит, мошенники будут воровать аккаунты, как и раньше, и шарить эти картинки через интернет.
Дело за малым - своровать аккаунт (не на форуме каком-то, а чего-то уровня банка-госуслуг). Согласитесь, так себе бизнес с учетом доходности от услуги подтверждения возраста, пола или семейного положения.
но проверить, что он лично стоит перед тобой, нельзя.
Нельзя, если касса не смотрит на того, кто стоит. Что они, вообще говоря, умеют делать - смотри уже упомянутую "Платите улыбкой"
Я согласен, что, строго, говоря, сама фотография на экране смартфона не так чтобы нужна (все многочисленные предложения 'платить при помощи биометрии' обходятся без этого)
Но это, наверное, для повышения уровня важности(усиливает впечатление, что именно ID показываешь), облегчения поиска и для сценариев, когда экран человеку с валидатором показывают вместо показа паспорта.
При чем тут вообще касса? Мы вроде как обсуждаем Цифровой ID в мессенджере Max. Или он без кассы не работает?
При чем тут вообще касса? Мы вроде как обсуждаем Цифровой ID в мессенджере Max. Или он без кассы не работает?
Потому что если сходить по ссылкам, целевое применение этого ID (во всяком случае пока) и я его уже рядом цитировал.
Воспользоваться Цифровым ID можно будет при заселении в гостиницу, при покупке товаров, требующих подтверждения возраста старше 18 лет, а также статуса пенсионера, многодетного или студента.
С 15 сентября подтвердить возраст с помощью национального мессенджера можно в десяти магазинах сети «Магнит»: в Москве, Санкт-Петербурге и Краснодаре. Для этого достаточно отсканировать на кассе самообслуживания Цифровой ID из приложения МАХ. В текущем году список магазинов сети, где можно будет подтвердить свой возраст без бумажных документов, превысит 300 торговых точек.
И касса, соответственно - реальный пример использования технологии. Снимают ли эти кассы человека на самом деле - я не знаю. Но могут, как показывает то, что Сбербанк устроил.
Если нужно показывать и лицо, и QR - зачем тогда вообще нужен этот QR?
Если нужно показывать и лицо, и QR - зачем тогда вообще нужен этот QR?
Потому что ЕБС различает сценарии
"подтверди, что того, кого я вижу - это такой-то"(верификация)
и
"Найди мне того, кого я вижу"(идентификация)
(Например, страница 2 из презентации "Подключение организаций к сервисам аутентификации ГИС ЕБС по «транзакционной модели»" (отсюда))
Здравый смысл подсказывает, что получить разрешение на использование первого - легче, чем на использование второго.
Вместо лица и паспорта. Шанс что телефон с собой заметно выше. И автоматизировать на кассах без кассиров можно, в отличии от паспорта.
Вместо лица и паспорта.
Вопрос, как я понял, был про то, что почему просто одно лицо не показать. Что, в общем, резонно - технически возможно же. И даже, наверное, работает.
По лицу нельзя понять есть ли ему 18. Значит или биометрия в госсистеме или паспорт или qr. Кому что нравится. Выбор это хорошо.
Сегмент людей которые не хотят сдавать биометрию и которым неудобно носить паспорт явно виден и он не выглядит слишком маленьким. Qr значит нужен и полезен.
Сегмент людей которые не хотят сдавать биометрию и которым неудобно носить паспорт явно виден и он не выглядит слишком маленьким. Qr значит нужен и полезен.
Обсуждаемый QR - биометрии в госсистеме требует. Чтобы его получить - надо биометрию в Госуслугах иметь или прямо в процессе залить.
Плохо тогда. Он мог бы заменить бумажный паспорт, а так смысл становится непонятен.
Может перепридумают... Ему фото в госсистеме достаточно.
Плохо тогда. Он мог бы заменить бумажный паспорт, а так смысл становится непонятен.
Так оно и есть 'заменить бумажный паспорт' в каких-то случаях.
Но непонятно, как можно сделать замену паспорта без хоть какой-то биометрии. Тут же и выдающий и проверяющий документ (что бумажный, что электронный) хотят убедиться что предъявляет/получает его именно тот, а не этот.
Просто по фото. Паспорт сверяется с лицом по фотографии, механизм работает уже много лет. Просто ничего не менять и сделать так же. Тем более что фото можно по качественнее и побольше.
Естественно для применений вида купить алкоголь или сесть в поезд или поселиться с гостиницу. Ничего важного или сильно денежного.
Просто по фото.
Так эталонной фото (которому государство верит) должно же где-то быть оформлено. "Да-да, это фотография гражданина ФИО, номер". Бумажный паспорт именно это утверждает.
Процесс оформления эталона для онлайна называется 'сдача биометрии'.
Проблем в том, что копия фотографии остается в ЕБС (странно, кстати, что они фотографии из паспортных столов в ЕБС не заливают) или в том, что там еще голос хотят?
Да и нет одновременно.
Есть эталонное фото гражданина в паспорте. Государство ему верит. Сдача фото для паспорта не равна сдаче биометрии.
QR имеет смысл только с фото. По биометрии только лица достаточно для идентификации.
Есть эталонное фото гражданина в паспорте. Государство ему верит. Сдача фото для паспорта не равна сдаче биометрии.
Да, но это доверие должно же как-то перекочевать в онлайн? А сканировать - возни, похоже, больше, чем просто еще раз гражданина сфотографировать.
Там, где сканировать уже не надо(у человека загранпаспорт с чипом) - используют то, что есть.
Вы думаете что они не сканируются? Я не знаю точно, но практически уверен что сканируются и кладутся в архив. Просто на всякий случай.
Государство логично должно доверять фотографиям своих граждан из основного документа.
Остаются только технические вопросы. Что-то на одноразовых токенах живущих 30 секунд точно можно сделать.
Вы думаете что они не сканируются? Я не знаю точно, но практически уверен что сканируются и кладутся в архив. Просто на всякий случай.
Может и кладутся, но онлайн-доверия почему-то не создают. (Ну, может, где-то проверяют, не афишируя, соответствие новой фотографии той, что из архива)
С другой стороны - если бы в ЕБС их явно вставляли -- то шум от паники 'они нас всех посчитали' был бы невероятный.
Так если они где-то уже лежат опять остаются только технические вопросы. Ну и немного процессуальных.
Именно поэтому надо явно разделить биометрию и фото. И везде про это говорить. Тем более что технически одно не следует из другого. Биометрию посчитанную по одной фотографии слишком легко обмануть. Не надо так делать.
Именно поэтому надо явно разделить биометрию и фото.
Затруднительно. Понять, почему фотография при регистрации биометрии - это биометрия, а 'просто фото' - это уже не совсем, довольно сложно.
Вы вот, например, так и не сказали, почему на использование фотографии из паспорта согласны, а на использование той фотографии, что сделают, когда биометрию сдавать будешь - уже нет.
Процессуально разделить без проблем. Технические оно само по себе разделено. Биометрию все еще не стоит по одной фотографии делать. Не вижу проблем. Ну кроме того что надо разъяснять и обучать.
Я как обычно не за себя, а за довольно большой сегмент людей. Каждый конкретный человек в подобных вопросах не имеет значения.
О, теперь и паспорт появляется. Лица хватает, чтобы списать деньги, но не хватает, чтобы подтвердить возраст? Ну дела.
Вот прямо сейчас из десятка моих карточек ФИО только на 3х.
Есть - Сбер, ТБанк.
Нет - ВТБ, Альфа, Озон.
Только срок жизни кода в 30 секунд мешает.
А зачем лицо ? )))
Я прям вижу горожан "вынимающих" из широких штанин телефон , читайте , завидуйте, я - успешно зареганый гражданин...
А все равно не смешно.
В мессенджере Мах в пилотном режиме появился Цифровой ID