Comments 40
Из описания не ясно, как ваша система защищена от предъявления ей планшета с видеозаписью или звонком по скайпу.
0
Нафиг нафиг такие всеобщие системы слежения-идентификациии
+2
Расскажите пожалуйста как Ваш «Детектор присутствия» может понять приставлено ли дуло пистолета к затылку человека который хочет пройти авторизацию в такой системе?
Мне кажется никак, отсюда возникает закономерный вопрос о надежности такой системы.
Если в системе с классическим вводом пароля мы можем ввести спец.пароль призванный аннулировать все доступы и оповестить охрану о попытке незаконного проникновения под давлением, то как у Вас в Вашей системе решается эта задача?
Мне кажется никак, отсюда возникает закономерный вопрос о надежности такой системы.
Если в системе с классическим вводом пароля мы можем ввести спец.пароль призванный аннулировать все доступы и оповестить охрану о попытке незаконного проникновения под давлением, то как у Вас в Вашей системе решается эта задача?
+2
UFO just landed and posted this here
Кодекс параноика: любая технология внедряется для усиления контроля и слежения за гражданами.
+1
Насколько я понял, может быть произнесена любая фраза, верификация идет по анализу голоса. Хотя в статье написано «верификация по статической парольной фразе», но это бред, для этого нужно чтобы никого не было вокруг, иначе эту фразу все будут знать.
И еще попутно возник вопрос
>>в процессе произнесения парольной фразы производится детектирование присутствия пользователя на основе анализа мимических изменений лица;
Это конечно мысли вслух, но я могу шевелить губами, произнося фразу, но при этом не произносить её вслух, если при этом я включу диктофон с записью, как на это отреагирует система.
Или вариант еще проще, я подношу планшет на котором запущен скажем скайп к камере телефона с OnePass, так что камера OnePass видит только лицо на экране планшета и думает что перед ней реальный человек — что тогда будет?
И еще попутно возник вопрос
>>в процессе произнесения парольной фразы производится детектирование присутствия пользователя на основе анализа мимических изменений лица;
Это конечно мысли вслух, но я могу шевелить губами, произнося фразу, но при этом не произносить её вслух, если при этом я включу диктофон с записью, как на это отреагирует система.
Или вариант еще проще, я подношу планшет на котором запущен скажем скайп к камере телефона с OnePass, так что камера OnePass видит только лицо на экране планшета и думает что перед ней реальный человек — что тогда будет?
0
Если в Скайпе Клиент биометрической системы, и он произносит фразу своим голосом в режиме онлайн, то он явно знает, что перед ним приложение OnePass. Зачем тогда ограничивать ему доступ? OnePass должен его пустить
0
Наверно затем не пускать, что система должна пускать реально присутствующего перед ней человека, а не сферического коня в вакууме. Например OnePass защищает вход в сейфовую комнату, логично предположить, что пускать туда нужно реально того человека который стоит перед дверью и верифицируется, а тут получается что перед дверью стоит злоумышленник с планшетом, а на другом конце города реальный сотрудник, семью которого держат в заложниках и он в скайп говорит данные для авторизации и система его пустит — такого быть не должно.
+1
«Против лома нет приема», но 99.9% взломов ИТ систем происходит без использования пистолета. В этих случаях большинство сценариев довольно простые: кража мобильного телефона, фишинг, использование пароля родственниками (дети снимают деньги со счета родителей) и т.п. Во всех этих случаях биометрическая система надежнее пин-кода.
+1
Бывают ситуации, когда такая система будет срабатывать через раз. Вот пример из моей жизни — несколько лет назад я попал в аварию и испытал на себе действие подушки безопасности. Она из пластика сделана — это всё равно что получить в лицо боксёрской перчаткой циклопических размеров. Неделю моё лицо было мягко говоря, непригодно для распознавания. Опять же кто-то усы отращивает, кто-то сбривает, голос может быть хрипловат после активных возлияний накануне…
0
Да, да… в субботу утром у некоторых могут возникнуть проблемы.
0
Усы, очки и борода существенного влияния на распознавание по лицу не оказывают. Мы даже закрывали часть лица рукой (до 25% лица) — работает! Для идентификации по лицу используется движок компании Cognitec (с нашими доработками трекера лиц), который является одним из лучших в мире по надежности (отчет по тестированию Национального института стандартов и технологий США: biometrics.nist.gov/cs_links/face/frvt/frvt2013/NIST_8009.pdf)
Голосовая биометрия на нашем собственном движке, Центра Речевых Технологий, который стал лучшим в мире в этом году (результат тестирования все тем же Нац.Института стандартов: www.speechpro.ru/media/news/2014-04-23-0). Конечно, при полном «пропадании» голоса система не будет узнавать пользователя, но за счет обобщенного решения голос+лицо небольшие отклонения одной модальности (хрипотца, помятый вид) компенсируются решением по другой модальности.
Голосовая биометрия на нашем собственном движке, Центра Речевых Технологий, который стал лучшим в мире в этом году (результат тестирования все тем же Нац.Института стандартов: www.speechpro.ru/media/news/2014-04-23-0). Конечно, при полном «пропадании» голоса система не будет узнавать пользователя, но за счет обобщенного решения голос+лицо небольшие отклонения одной модальности (хрипотца, помятый вид) компенсируются решением по другой модальности.
+1
Я правильно понимаю по приведённой таблице, что при наличии видеозаписи злоумышленник проходит авторизацию в 7-8% попыток? Это ж как-то совсем ненадёжно.
0
Биометрия довольно удобна. Я сам на телефоне пользуюсь Face Unlock. Тестировал примерно на 6-7 людях, узнаёт только меня. Но для разблокировки телефона этого достаточно. А вот для интернет-банкинга как-то пока биометрию использовать боязно. Но тем не менее, было бы очень интересно увидеть результаты тестирования, если они будут публичны. Успехов. ЦРТ — делает действительно интересные вещи.
И сам вопрос: что передаётся в целевую систему, если не секрет? Если у нас есть логин/пароль — то шлётся хэш для сверки. А тут?
И сам вопрос: что передаётся в целевую систему, если не секрет? Если у нас есть логин/пароль — то шлётся хэш для сверки. А тут?
+1
Да, биометрия для интернет-банкинга требует особенный подход, в частности, высокую надежность, защиту от подделок лица/голоса, поэтому мы прорабатываем вариант с двумя слабо коррелированными модальностями и liveness detection. Спасибо за пожелание, результатами будем делиться по мере возможности!
Касательно вопроса:
В целевую систему передается биометрическая модель. Т.е. на мобильном устройстве рассчитывается математическая модель лица и голоса, которая затем отправляется в виде бинарного набора данных (килобайты) на удаленный сервер. Удаленный сервер сравнивает эту модель с эталонной и принимает решение о доступе.
Положительная особенность такой схемы в том, что, во-первых, решение принимается на сервере, а не на устройстве, во-вторых, подделать модель, скопировав её из одной из предыдущих сессий клиента, нельзя — из-за вариативности голоса и лица модели никогда не совпадают.
Касательно вопроса:
В целевую систему передается биометрическая модель. Т.е. на мобильном устройстве рассчитывается математическая модель лица и голоса, которая затем отправляется в виде бинарного набора данных (килобайты) на удаленный сервер. Удаленный сервер сравнивает эту модель с эталонной и принимает решение о доступе.
Положительная особенность такой схемы в том, что, во-первых, решение принимается на сервере, а не на устройстве, во-вторых, подделать модель, скопировав её из одной из предыдущих сессий клиента, нельзя — из-за вариативности голоса и лица модели никогда не совпадают.
0
UFO just landed and posted this here
Как я писал в комментариях выше, из-за вариативности голоса и лица модели одного и того же человека никогда не совпадают. Поэтому, сервер, получая модель и осуществляя сравнение с моделями из предыдущих сессий, детектирует такую ситуацию. Что касается смены пароля в случае его компрометации, то голосовой пароль легко поменять.
0
UFO just landed and posted this here
1. Голосовая модель — это большой набор параметров (сотни) разных типов данных, которая хранится в бинарном виде. Если просто поменять какой-то кусок данных, то биометрическая система или не «распарсит» модель (сообщит об ошибке), или эта модель в корне перестанет быть похожей на модель-эталон, хранящийся в системе. Чтобы сымитировать естественные изменения модели, не влияющие на решение системы, необходимо точно знать, какие сотни параметров из имеющихся сотен меняются и в каком диапазоне. Кроме того, надо знать структуру хранения параметров модели в памяти.
2. На сегодняшний день в мире нет нормальных синтезаторов голоса, которые оперируют только некими «параметрами голоса». Все более-менее качественные синтезаторы голоса используют т.наз. метод Unit Selection, подразумевающий использование большой базы записанных звуков, слов и предложений реального человека, комбинируя которые можно сгенерировать любую фразу голосом этого человека. Эти записи размером десятки часов делаются в студии на качественные микрофоны. Поэтому просто «узнать» параметры голоса любого человека, чтобы сгенерировать с помощью них любую парольную фразу, невозможно!
Записать конкретную парольную фразу, да, возможно, но в случае её компрометации, пользователь может её сменить!
2. На сегодняшний день в мире нет нормальных синтезаторов голоса, которые оперируют только некими «параметрами голоса». Все более-менее качественные синтезаторы голоса используют т.наз. метод Unit Selection, подразумевающий использование большой базы записанных звуков, слов и предложений реального человека, комбинируя которые можно сгенерировать любую фразу голосом этого человека. Эти записи размером десятки часов делаются в студии на качественные микрофоны. Поэтому просто «узнать» параметры голоса любого человека, чтобы сгенерировать с помощью них любую парольную фразу, невозможно!
Записать конкретную парольную фразу, да, возможно, но в случае её компрометации, пользователь может её сменить!
0
UFO just landed and posted this here
Уважаемый, fdsc, теоретически можно взломать любую систему. Это вопрос времени и стоимости. Те способы, которые Вы приводите, либо практически невозможны, либо очень дорого стоят и относятся к самому сложному классу взломов. Одна из задач биометрии — существенно усложнить взлом защищенной системы и, тем самым, снизить риски и, в конечном счете, сократить финансовые потери банков и их клиентов.
0
UFO just landed and posted this here
Сломали с использованием брата-близнеца :) А если его нет?
0
UFO just landed and posted this here
Брата не билизнеца бимодальная система уж точно отличит! Т.к. используется не только голос, как у Agnitio, но и лицо.
0
UFO just landed and posted this here
Уважаемый fdsc, Вы в который раз критикуете биометрическую систему, а я привожу контраргументы. Предлагаю поменяться местами: Вы, предложите, пожалуйста, точное описание сценария, например, взлома системы братом, а я покритикую :)
0
UFO just landed and posted this here
Я Вам с удовольствием приведу доказательства, но просто для этого нужно чуть более подробное описание сценария взлома. Сценарий с братом и поддельным лицом не совсем очевиден.
P.S. Если Вас интересуют биометрические системы, методы их взлома и защиты, приходите к нам работать! Или учиться на кафедру Речевых информационных систем (http://www.ifmo.ru/department/83/kafedra_rechevyh_informacionnyh_sistem_(bazovaya).htm). Тогда за деньги Вы сможете заниматься интересным делом.
P.S. Если Вас интересуют биометрические системы, методы их взлома и защиты, приходите к нам работать! Или учиться на кафедру Речевых информационных систем (http://www.ifmo.ru/department/83/kafedra_rechevyh_informacionnyh_sistem_(bazovaya).htm). Тогда за деньги Вы сможете заниматься интересным делом.
0
Sign up to leave a comment.
Биометрическая система на мобильном телефоне