Comments 64
Вопрос — а если быстро отрезать и сразу приложить? ))))))))
А зачем вообще пальцы отрезать?
Вроде проводили опыты, накладывается на ВАШ палец — специальный тонкий пластичный материал — на котором нужный отпечаток. и норм работает.
Разрушители мифов проводили такие опыты :)
Да причем там все было подробно показано.
1 — дешевые устройства биометрическая идентификация, такие как в ноутбуках.
Брали отпечаток, распечатываем на принтере, патом этим образцом пробивали, получите доступ к ноутбуку у них получилось )
2 — дорогие системы биометрическая идентификация, как на дверных замках.
Ни какие пальцы они не отрезали )
Делали силиконовую модель отпечатка, система их очень даже быстро пропустила, но конечно, сигнализация все ровно срабатывала, потому что они не смогли подделать температуру пальца.
Самое смешное, что даже распечатанный на принтере отпечаток их впустил )))
Советую всем посмотреть ту передачу
1 — дешевые устройства биометрическая идентификация, такие как в ноутбуках.
Брали отпечаток, распечатываем на принтере, патом этим образцом пробивали, получите доступ к ноутбуку у них получилось )
2 — дорогие системы биометрическая идентификация, как на дверных замках.
Ни какие пальцы они не отрезали )
Делали силиконовую модель отпечатка, система их очень даже быстро пропустила, но конечно, сигнализация все ровно срабатывала, потому что они не смогли подделать температуру пальца.
Самое смешное, что даже распечатанный на принтере отпечаток их впустил )))
Советую всем посмотреть ту передачу
А можете более подробно рассказать про ошибки первого и второго рода в биометрии и как их возможно минимизировать?
FRR – это соотношение отказов к общему количеству попыток, а FAR – это соотношение ложных принятий к общему количеству попыток. Они могут быть как «персонализированными» (для конкретного человека), так и общими. Их получают статистическим путем. Т.е., берутся респонденты, для каждого из них рассчитывается «персональное» значение, а потом берется «среднее» значение по всем респондентам. Когда производители говорят о том, что FAR ~ равен чему-то, это значит, что на их выборке среднее значение было «таким». Все зависит от алгоритма.
О FAR еще говорят, что это «мера безопасности» системы, FRR в свою очередь «мера комфорта» — ложный отказ больше всего раздражает. Если один показатель идет вниз, второй идет вверх. Есть «ключевая точка» ERR (Equal error rate), в которой FAR = FRR, она говорит об «общей» надежности системы. Т.е., на её основе можно судить о достоинствах и недостатках того или иного метода. Чем ниже – тем лучше.
Само соотношение одного к другому (FAR к FRR) обычно визуализируется в виде кривой в координатах ТAR (True Acceptance Rate). Кривую называют ROC (Region of operating curve). Биометрическая система работает в какой-либо точке на этом графике (порог, score), и, уменьшая вероятность ложного разрешения на допуск, мы увеличиваем вероятность ложного отказа в допуске. Т.е., во всех алгоритмах FAR и FRR связаны обратно пропорциональной зависимостью: чем лучше один параметр, тем хуже другой.
В представленных на рынке системах эта FAR колеблется в основном от 10-3 до 10-6, хотя есть решения и с FAR = 10-9. Чем больше данная ошибка, тем грубее работает система и тем вероятнее проникновение «чужого».
FRR в коммерческих системах зачастую выбирается равной примерно 0,01, поскольку считается, что, разрешив несколько касаний для «своих», можно искусственным способом улучшить эту ошибку. В ряде случаев (скажем, при большом потоке, чтобы не создавать очередей) требуется улучшение FRR до 0,001-0,0001. В системах, присутствующих на рынке, FRR обычно находится в диапазоне 0,025-0,01.
Ко всему прочему, есть люди, у которых в принципе отпечатки снять сложно. Кожа сухая, отпечатки стерты (рабочие, например), их тоже стоит учитывать. Их мало, но они есть.
Любая биометрическая система на данный момент даёт только «вероятностный» ответ. В любом случае надежнее всего использовать «дополнительные» методы. Т.е., два отпечатка, или палец с карточкой, например.
О FAR еще говорят, что это «мера безопасности» системы, FRR в свою очередь «мера комфорта» — ложный отказ больше всего раздражает. Если один показатель идет вниз, второй идет вверх. Есть «ключевая точка» ERR (Equal error rate), в которой FAR = FRR, она говорит об «общей» надежности системы. Т.е., на её основе можно судить о достоинствах и недостатках того или иного метода. Чем ниже – тем лучше.
Само соотношение одного к другому (FAR к FRR) обычно визуализируется в виде кривой в координатах ТAR (True Acceptance Rate). Кривую называют ROC (Region of operating curve). Биометрическая система работает в какой-либо точке на этом графике (порог, score), и, уменьшая вероятность ложного разрешения на допуск, мы увеличиваем вероятность ложного отказа в допуске. Т.е., во всех алгоритмах FAR и FRR связаны обратно пропорциональной зависимостью: чем лучше один параметр, тем хуже другой.
В представленных на рынке системах эта FAR колеблется в основном от 10-3 до 10-6, хотя есть решения и с FAR = 10-9. Чем больше данная ошибка, тем грубее работает система и тем вероятнее проникновение «чужого».
FRR в коммерческих системах зачастую выбирается равной примерно 0,01, поскольку считается, что, разрешив несколько касаний для «своих», можно искусственным способом улучшить эту ошибку. В ряде случаев (скажем, при большом потоке, чтобы не создавать очередей) требуется улучшение FRR до 0,001-0,0001. В системах, присутствующих на рынке, FRR обычно находится в диапазоне 0,025-0,01.
Ко всему прочему, есть люди, у которых в принципе отпечатки снять сложно. Кожа сухая, отпечатки стерты (рабочие, например), их тоже стоит учитывать. Их мало, но они есть.
Любая биометрическая система на данный момент даёт только «вероятностный» ответ. В любом случае надежнее всего использовать «дополнительные» методы. Т.е., два отпечатка, или палец с карточкой, например.
Альтернативой может быть идентификация по сетчатке глаза.
На мой взгляд, ещё менее надежная технология. Достаточно статей, в которых описывается, что идентификация по сетчатке обходится по качественно фотографии этого глаза.
Биометрия подходит разве что для фантастических фильмов и отмывания денег.
Кардинально.
Истина, на мой взгляд, как всегда, где-то рядом :)
Мне кажется, что скорее у неё очень узкая специализация и она в любом случае подразумевает вдумчивость и осознанность.
Меня одинаково удивляют как восхищенные возгласы в отношении биометрии, так и кардинальное её неприятие.
На маленьких объемах данных, в достаточно узкой специализации она успешно работает. Например, в небольшой фирме для учета приходов-уходов (вместо журналов, в которых «расписываются»). Конечно, иногда сбоит, не пускает с первого раза, или ошибочно принимает за другого, но в маленьких масштабах это не страшно. Очереди нет, а «расписываться» не надо. Удобно.
А вот когда её внедряют на крупных объектах, там где людей много и вход один (на котором всего один сканер стоит), а утром все бегут на работу — это уже не так… Приятно.
Идея с паспортами, например, мне вообще не нравится. Откровенно говоря. Слишком массовая.
Истина, на мой взгляд, как всегда, где-то рядом :)
Мне кажется, что скорее у неё очень узкая специализация и она в любом случае подразумевает вдумчивость и осознанность.
Меня одинаково удивляют как восхищенные возгласы в отношении биометрии, так и кардинальное её неприятие.
На маленьких объемах данных, в достаточно узкой специализации она успешно работает. Например, в небольшой фирме для учета приходов-уходов (вместо журналов, в которых «расписываются»). Конечно, иногда сбоит, не пускает с первого раза, или ошибочно принимает за другого, но в маленьких масштабах это не страшно. Очереди нет, а «расписываться» не надо. Удобно.
А вот когда её внедряют на крупных объектах, там где людей много и вход один (на котором всего один сканер стоит), а утром все бегут на работу — это уже не так… Приятно.
Идея с паспортами, например, мне вообще не нравится. Откровенно говоря. Слишком массовая.
В целом, поддерживаю. В небольших объемах и если данные не важные (как в примере) применение биометрии может быть разумным.
Но я не понимаю всеобщих восторгов и необдуманного продвижения на уровне губернаторов.
А как вам проект социальной карты Сбербанка? (наш регион является пилотным)
Но я не понимаю всеобщих восторгов и необдуманного продвижения на уровне губернаторов.
А как вам проект социальной карты Сбербанка? (наш регион является пилотным)
… вместо ПИН-кода (набора цифр) можно использовать ОТПЕЧАТОК ПАЛЬЦА.
При наличии технической возможности на терминальном оборудовании банка держатель имеет право подтверждать операции путем ввода биометрических данных (например, отпечатков пальцев) вместо ввода ПИН-кода. При этом биометрические данные служат основанием для формирования кодов, используемых в качестве аналога собственноручной подписи при совершении операций с картой.
Я тоже не понимаю всеобщих восторгов и необдуманного продвижения. Я за биометрию, но в обдуманных «сферах применения».
С примером — вогнало в ступор. На мой взгляд — неразумно. Т.е., скорее всего, люди просто послушали рекламные слоганы и чьи-то восторги, и не вникая глубоко в суть, не анализируя и никого не слушая решили внедрять тот «вариант» биометрии в той сфере, где это просто немыслимо. На мой взгляд. Она для этого не подходит.
В таком виде она не сможет обеспечить тот уровень безопасности и надежности, который жизненно необходим. Тем более, банку. Тем более, Сбербанку. Если использовать отпечаток вместо — это определенно снизит текущий уровень безопасности и надежности. Вот если отпечаток будут использовать вместе с пин-кодом — это повысит. Т.е., доп. контроль. Не просто пин вводить, а и подтверждать его отпечатком — тогда будет гораздо лучше. Тогда да. А вместо… На мой взгляд, это ухудшит текущую ситуацию.
С примером — вогнало в ступор. На мой взгляд — неразумно. Т.е., скорее всего, люди просто послушали рекламные слоганы и чьи-то восторги, и не вникая глубоко в суть, не анализируя и никого не слушая решили внедрять тот «вариант» биометрии в той сфере, где это просто немыслимо. На мой взгляд. Она для этого не подходит.
В таком виде она не сможет обеспечить тот уровень безопасности и надежности, который жизненно необходим. Тем более, банку. Тем более, Сбербанку. Если использовать отпечаток вместо — это определенно снизит текущий уровень безопасности и надежности. Вот если отпечаток будут использовать вместе с пин-кодом — это повысит. Т.е., доп. контроль. Не просто пин вводить, а и подтверждать его отпечатком — тогда будет гораздо лучше. Тогда да. А вместо… На мой взгляд, это ухудшит текущую ситуацию.
Да хоть экспрес-анализ ДНК — «ПАСПОРТ молодой человек дайте сюда!»
а мы наше биометрическое решение в банки ставили :) и там они вполне себе работали
без всяких отмывов денег
без всяких отмывов денег
Речь скорее даже не об «обмывании», а о разбазаривании на ненужное и иногда опасное (особенно когда технология применяется необдуманно).
К вам лично никаких претензий быть не может ;)
К вам лично никаких претензий быть не может ;)
по правде говоря биометрия обычно применяется _вместе_ с другими технологиями (например, смарт картами), повышая при этом безопасность. поэтому я не очень понимаю как коммерческая организация типа банка может разбазаривать свои по-сути деньги на такие вещи
а насчет обхода технологий… вспомним тот же RFID (если я правильно помню), который имеет кучу проблем. ничуть не биометрия, но тем не менее. опасная технология? похоже да :) ненужная? нет, вполне себе нужная.
просто любая технология имеет границы применения и определенные ограничения. и если использовать технологию неправильно, то результат может быть печален, это да.
просто в изначальном вашем комментарии было очень сильное утверждение, на которое я и среагировал. а насчет губернаторов из другого комментария… у нас в россии, к сожалению, есть много, не побоюсь этого слова, гениальных чиновников. но это не совсем та причина, по которой стоит закапывать всю биометрию :)
а насчет обхода технологий… вспомним тот же RFID (если я правильно помню), который имеет кучу проблем. ничуть не биометрия, но тем не менее. опасная технология? похоже да :) ненужная? нет, вполне себе нужная.
просто любая технология имеет границы применения и определенные ограничения. и если использовать технологию неправильно, то результат может быть печален, это да.
просто в изначальном вашем комментарии было очень сильное утверждение, на которое я и среагировал. а насчет губернаторов из другого комментария… у нас в россии, к сожалению, есть много, не побоюсь этого слова, гениальных чиновников. но это не совсем та причина, по которой стоит закапывать всю биометрию :)
А почему сканировать два пальца дороже? На обычном сканере, сначала один, потом другой? Оборудование то же, надёжность выше.
И почему верификация дороже? Не обязательно же голос распознавать, можно имя и с клавиатуры ввести.
И почему верификация дороже? Не обязательно же голос распознавать, можно имя и с клавиатуры ввести.
По поводу двух пальцев — речь была о параллельном прикладывании пальцев, а не о последовательном. Т.е., когда два отпечатка прикладываются одновременно.
Про верификацию — я не говорила о том, что она дороже. Конечно, зависит от того, какой метод выбран в качестве «предварительного». Т.е., распознавать голос будет, конечно, дороже. Но не факт, что эффективнее, т.к. это ведь тоже один и биометрических приёмов. Имя ввести, или карточку провести, или пином воспользоваться — конечно, и надежнее и эффективнее, на мой взгляд.
Про верификацию — я не говорила о том, что она дороже. Конечно, зависит от того, какой метод выбран в качестве «предварительного». Т.е., распознавать голос будет, конечно, дороже. Но не факт, что эффективнее, т.к. это ведь тоже один и биометрических приёмов. Имя ввести, или карточку провести, или пином воспользоваться — конечно, и надежнее и эффективнее, на мой взгляд.
Ну ответы на часто задаваемые вопросы меня очень порадовал. :-)) Статья лично мне абсолютно не нужна, но я не пожалел что ее прочитал. :-)) Браво! Всегда считал что толика юмора лишь украсит статью. :-)
Также ситуация улучшается, если пальцев прикладывается два. Если по одному отпечатку люди очень похожи, то совершенно не факт, что будут похожи по другому. Но технология получается гораздо дороже.
Использую ENUM авторизацию в webmoney с помощью сканера отпечатков пальцев. Могу сделать авторизацию только под одному отпечатку или по нескольким, в каком месте система становится сложнее и дороже? Разработчикам софта по барабану сколько проходов сделано если распознаются успешно. Или речь шла о том, что два пальца распознаны «нечетко» и система усреднила? Так система авторизации/аутентификации не работает с изображением, она работает с цифровой моделью отпечатка упрощенно говоря и нечеткий пальчик это «другой пальчик», а не «чуточку похожий но не тот».
Видимо, речь шла об одновременном прикладывании пальцев.
Если прикладывать пальцы последовательно, тогда — да, стоимость, вероятно, не очень будет отличаться. С несколькими проходами — ну… Я не могу сказать, что разработчикам совсем по-барабану количество проходов, или количество отказов, и т.п. С точки зрения разработки софта есть разница. Например, может возникнуть вопрос времени, т.к. в любом случае время будет увеличено. И тут уже, на мой взгляд, важен вопрос «минимизации» этого увеличения. Т.е., будем ли мы искать серию наиболее подходящих моделей, а потом среди них искать по второму отпечатку, или мы сразу будем использовать два отпечатка в самой алгоритме поиска.
Я говорила о параллельном сканировании, когда два отпечатка снимаются одновременно, и оба участвуют одновременно в алгоритме поиска.
Я говорила о параллельном сканировании, когда два отпечатка снимаются одновременно, и оба участвуют одновременно в алгоритме поиска.
Я говорила о параллельном сканировании, когда два отпечатка снимаются одновременно, и оба участвуют одновременно в алгоритме поиска.
А какая разница одновременно или последовательно? Поймите, система не работает с картинкой, она работает с «цифровым отпечатком», т.е. грубо говоря, после сканирования пальца и работы алгоритмов распознавания получается грубо говоря какое-то число, например 3455654675653454 (это грубо, на самом деле там другой принцип), соответственно с двух пальцев будет «два числа». Поэтому если теоретически, код одного пальца мог совпасть у двух разных людей, то вероятность совпадения двух уже ничтожна.
Одновременно — это либо два сканера (что уже увеличивает стоимость системы), либо один сканер, на на него прикладываются два пальца — такой сканер будет стоит еще дороже. А еще плюс СДК к нему для получения двух отдельных моделей из одной картинки. Я правда знаю, как работает система. Я «их», ну, т.е., подобные системы, пишу :) Да, там модель, а не картинка.
Представьте, что Вам нужна из одной картинки получить два отпечатка. Сканер будет стоить дорожа. А если даже два сканера стоят, но оба отпечатка участвуют в поиске, алгоритм поиска будет отличаться.
Представьте, что Вам нужна из одной картинки получить два отпечатка. Сканер будет стоить дорожа. А если даже два сканера стоят, но оба отпечатка участвуют в поиске, алгоритм поиска будет отличаться.
А зачем пальцы прикладывать одновременно? Какой плюс в том, чтоб прикладывать одновременно, а не последовательно?
Минусы вы уже расписали — дороже и сложнее. А плюсы?
Минусы вы уже расписали — дороже и сложнее. А плюсы?
На мой взгляд, время. И в плане сканирования, и в плане поиска непосредственно. Т.е., например, если большой поток людей, два пальца будет быстрее приложить, чем один. «Ожидание» — очень раздражающий фактор. Очереди, особенно когда нужно ждать, а человек торопится — обычно очень раздражают. И времени много тратится впустую. Плюс, возможно, алгоритмически будет лучше использовать параллельно два потока, чем один. Но над алгоритмом, конечно, в любом случае нужно думать очень основательно.
1. Повышение безопасности: 2 отрезанных/похожих пальца сложнее найти и приложить одновременно чем по очереди.
2. Повышение удобства: гораздо удобнее пользователю. Плюс биометрии — простота и удобство, пока вы будете 2 раза прикладывать палец, я уже наберу комплексный пароль :)
2. Повышение удобства: гораздо удобнее пользователю. Плюс биометрии — простота и удобство, пока вы будете 2 раза прикладывать палец, я уже наберу комплексный пароль :)
да, в биометрии не все так гладко, как кажется на первый взгляд. и если вопрос нсд, действительно, важен, я бы посоветовал применять несколько методов идентификации в совокупности (например, отпечаток + сканирование сетчатки глаза).
Биометрию с биометрией комбинировать смысла нет. Качество идентификации от этого не повысится, но на стоимости и надёжности функционирования системы это отразится не лучшим образом.
Там, где это действительно важно, биометрии либо нет вобще, либо она является «вторым фактором», в обязательной связке с чем-нибудь небиометрическим. Наиболее часто
встречаемая мною на практике схема — это биометрия + пароль доступа.
Там, где это действительно важно, биометрии либо нет вобще, либо она является «вторым фактором», в обязательной связке с чем-нибудь небиометрическим. Наиболее часто
встречаемая мною на практике схема — это биометрия + пароль доступа.
Грамотный подход. Если там хранятся действительно важные данные — сначала узнается пароль, потом отрезается палец :) Факт отрезания пальца свидетельствует о компрометировании системы. И доступы меняются :)
Я думаю большинство сисаадминов не отказались бы от такой системы доступа — посмотришь у кого сколько пальцев и сразу понятно нужно менять пароли или нет.
Я думаю большинство сисаадминов не отказались бы от такой системы доступа — посмотришь у кого сколько пальцев и сразу понятно нужно менять пароли или нет.
Вопрос из разряда риторических, но всё же: интересно, те, кто так старательно минусует, хотя бы раз настоящую биометрическую систему в работе изнутри видели? :)
ftp://ftp.ccc.de/pub/documentation/Fingerabdruck_Hack/fingerabdruck.mpg?language=en
Видео как какие-то чуваки сделали фейковый отпечаток пальца.
Видео как какие-то чуваки сделали фейковый отпечаток пальца.
«Я не первый год работаю в этой области» — хотелось спросить, не встречались ли Вы с альтернативой идентификации по по голосу человека?
В контроллерах которые мы используем:
Вероятность ошибочного предоставления доступа FAR
не более 0.0001%
Вероятность ошибочного отказа в доступе FAR
не более 0.001%
Существуют 2 типа сканеров:
оптические — вандалозащищенные, но их можно обмануть слепком пальца из любого материала, так как в основе у них обычная cmos-матрица.
емкостные — их обмануть пока не удалось, отрезанные пальцы не прокатят.
Вероятность ошибочного предоставления доступа FAR
не более 0.0001%
Вероятность ошибочного отказа в доступе FAR
не более 0.001%
Существуют 2 типа сканеров:
оптические — вандалозащищенные, но их можно обмануть слепком пальца из любого материала, так как в основе у них обычная cmos-матрица.
емкостные — их обмануть пока не удалось, отрезанные пальцы не прокатят.
Не доверяю я этим разработкам, например биометрический паспорт — напрочь отказался в его получений.
На четвертом этаже мне наконец нашлась работа: я погасил свет в
кельях отдела Вечной Молодости. Молодежи в отделе не было, и эти
старики, страдающие тысячелетним склерозом, постоянно забывали гасить за
собой свет. Впрочем, я подозреваю, что дело здесь было не только в
склерозе. Многие из них до сих пор боялись, что их ударит током. Они все
еще называли электричку чугункой.
Это ненадолго. У нас, в Эстонии, других теперь и не выдают.
UFO just landed and posted this here
Автор в статье путает идентификацию, аутентификацию и верификацию — такого термина в информационной безопасности насколько я знаю вообще нет.
Идентификация (в информационной безопасности) — присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов. [1] Например идентификация по штрихкоду.
Личная идентификация (в информационной безопасности) — синоним авторизации.
Авторизация (англ. authorization):
1. Процесс предоставления определенному лицу прав на выполнение некоторых действий.
2. Процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий.[1][2]
Авторизацию не следует путать с аутентификацией: аутентификация — это установление подлинности лица, а авторизация — предоставление этому лицу некоторых прав или проверка их наличия (как правило — следующий шаг системы после аутентификации).
От себя добавлю, что проблематика статьи, как раз в части установления принадлежности идентификатора субъекту, что является аутентификацией.
Идентификация (в информационной безопасности) — присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов. [1] Например идентификация по штрихкоду.
Личная идентификация (в информационной безопасности) — синоним авторизации.
Авторизация (англ. authorization):
1. Процесс предоставления определенному лицу прав на выполнение некоторых действий.
2. Процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий.[1][2]
Авторизацию не следует путать с аутентификацией: аутентификация — это установление подлинности лица, а авторизация — предоставление этому лицу некоторых прав или проверка их наличия (как правило — следующий шаг системы после аутентификации).
От себя добавлю, что проблематика статьи, как раз в части установления принадлежности идентификатора субъекту, что является аутентификацией.
Идентификация и верификация — это сам процесс получения информации, на основе которой аутентификация либо производится (вход разрешен), либо нет (вход воспрещен).
Идентификация и верификация это как раз процесс установление принадлежности идентификатора субъекту. Он является частью процесса аутентификации.
О верификации (о значении термина в принципе) можно почитать, например, в Википедии.
ru.wikipedia.org/wiki/%D0%92%D0%B5%D1%80%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F
Идентификация и верификация это как раз процесс установление принадлежности идентификатора субъекту. Он является частью процесса аутентификации.
О верификации (о значении термина в принципе) можно почитать, например, в Википедии.
ru.wikipedia.org/wiki/%D0%92%D0%B5%D1%80%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F
Не совсем права, конечно.
Идентификация и верификация это «типы» аутентификации. Т.е., как она происходит. На основе аутентификации производится (либо не производится) авторизация, верно.
Идентификация и верификация это «типы» аутентификации. Т.е., как она происходит. На основе аутентификации производится (либо не производится) авторизация, верно.
Привет,
Вы не совсем точно отражаете суть:
Идентификация — у меня есть штрих код, отпечаток пальца или просто цифра — это мой идентификатор, я его предьявляю, ввожу и т.д.
Затем следует процесс аутентификации, я доказываю, что это именно мой идентификатор, допустим ввожу пароль или предъявляю цифровой сертификат.
Затем проходит процесс авторизации — определение полномочий и уровня допуска пользователя.
Опять же повторюсь — это в терминах информационной безопасности.
ГОСТ Р 52633-2006 «Требования к средствам высоконадежной биометрической аутентификации.»
ПС. если Вы забрали карму, верните, пожалуйста, т.к. собираюсь писать статью по информационной безопасности.
Вы не совсем точно отражаете суть:
Идентификация — у меня есть штрих код, отпечаток пальца или просто цифра — это мой идентификатор, я его предьявляю, ввожу и т.д.
Затем следует процесс аутентификации, я доказываю, что это именно мой идентификатор, допустим ввожу пароль или предъявляю цифровой сертификат.
Затем проходит процесс авторизации — определение полномочий и уровня допуска пользователя.
Опять же повторюсь — это в терминах информационной безопасности.
ГОСТ Р 52633-2006 «Требования к средствам высоконадежной биометрической аутентификации.»
ПС. если Вы забрали карму, верните, пожалуйста, т.к. собираюсь писать статью по информационной безопасности.
Привет,
Я не забирала у Вас карму, на мой взгляд это было бы неправильно с моей стороны. У Вас есть точка зрения, вы обоснованно высказались, я не вижу причин лишать Вас кармы, не взирая на то, что я не совсем с Вами согласна.
Я подчеркнула, что я перенесла статью в тот блог, тематике которого, как мне показалось, статья наиболее близка.
В терминах «биометрических технологий» есть понятия биометрической идентификации и биометрической верификации.
Ключевые термины
В отличие от аутентификации пользователей по паролям или уникальным цифровым ключам, биометрические технологии всегда вероятностные, так как всегда сохраняется малый, иногда крайне малый шанс, что у двух людей могут совпасть сравниваемые биологические характеристики. В силу этого биометрия определяет целый ряд важных терминов:
* FAR (False Acceptence Rate) — процентный порог, определяющий вероятность того, что один человек может быть принят за другого (коэффициент ложного доступа)(также именуется «ошибкой 2 рода»). Величина 1 − FAR называется специфичность.
* FRR (False Rejection Rate) — вероятность того, что человек может быть не распознан системой (коэффициент ложного отказа в доступе)(также именуется «ошибкой 1 рода»). Величина 1 − FRR называется чувствительность.
* Verification — сравнение двух биометрических шаблонов, один к одному. См. также: биометрический шаблон
* Identification — идентификация биометрического шаблона человека по некой выборке других шаблонов. То есть идентификация — это всегда сравнение один ко многим.
* Biometric template — биометрический шаблон. Набор данных, как правило в закрытом, двоичном формате, подготавливаемый биометрической системой на основе анализируемой характеристики. Существует стандарт CBEFF на структурное обрамление биометрического шаблона, который также используется в BioAPI
Источник
P.S. Карму я Вам в любом случае верну, если Вам есть что сказать.
Я не забирала у Вас карму, на мой взгляд это было бы неправильно с моей стороны. У Вас есть точка зрения, вы обоснованно высказались, я не вижу причин лишать Вас кармы, не взирая на то, что я не совсем с Вами согласна.
Я подчеркнула, что я перенесла статью в тот блог, тематике которого, как мне показалось, статья наиболее близка.
В терминах «биометрических технологий» есть понятия биометрической идентификации и биометрической верификации.
Ключевые термины
В отличие от аутентификации пользователей по паролям или уникальным цифровым ключам, биометрические технологии всегда вероятностные, так как всегда сохраняется малый, иногда крайне малый шанс, что у двух людей могут совпасть сравниваемые биологические характеристики. В силу этого биометрия определяет целый ряд важных терминов:
* FAR (False Acceptence Rate) — процентный порог, определяющий вероятность того, что один человек может быть принят за другого (коэффициент ложного доступа)(также именуется «ошибкой 2 рода»). Величина 1 − FAR называется специфичность.
* FRR (False Rejection Rate) — вероятность того, что человек может быть не распознан системой (коэффициент ложного отказа в доступе)(также именуется «ошибкой 1 рода»). Величина 1 − FRR называется чувствительность.
* Verification — сравнение двух биометрических шаблонов, один к одному. См. также: биометрический шаблон
* Identification — идентификация биометрического шаблона человека по некой выборке других шаблонов. То есть идентификация — это всегда сравнение один ко многим.
* Biometric template — биометрический шаблон. Набор данных, как правило в закрытом, двоичном формате, подготавливаемый биометрической системой на основе анализируемой характеристики. Существует стандарт CBEFF на структурное обрамление биометрического шаблона, который также используется в BioAPI
Источник
P.S. Карму я Вам в любом случае верну, если Вам есть что сказать.
Жду с нетерпением интересной статьи :)
В дополнение:
Отпечаток пальца может играть роль секрета, тогда этот процесс, так же описанный в ГОСТ Р 52633-2006, является процессом аутентификации. Вот как-то так.
Отпечаток пальца может играть роль секрета, тогда этот процесс, так же описанный в ГОСТ Р 52633-2006, является процессом аутентификации. Вот как-то так.
По-моему проще и понятнее объяснить так:
Идентификация — Кто ты? (логин, номер банковской карты, биометрия)
Аутентификация — Чем докажешь что ты это ты? (пароль, пин-код/cvv, смарткарта, другие секретные данные)
Авторизация — Есть ли у тебя право на это действие? (например на вход в систему/доступ к файлу/проход в кабинет)
Идентификация — Кто ты? (логин, номер банковской карты, биометрия)
Аутентификация — Чем докажешь что ты это ты? (пароль, пин-код/cvv, смарткарта, другие секретные данные)
Авторизация — Есть ли у тебя право на это действие? (например на вход в систему/доступ к файлу/проход в кабинет)
Есть еще очень интересный способ идентификации, по геометрии ладони, он очень надежный, используется в серьезных организациях типа центробанка и региональных казначействах.
там не геометрия, а капиллярный узор.
сканеры, кстати, довольно удобные — не требуется прикладывать руку, достаточно ее поднести на некоторое расстояние.
сканеры, кстати, довольно удобные — не требуется прикладывать руку, достаточно ее поднести на некоторое расстояние.
Нет, именно геометрия, когда я тестил эту систему контроля доступа выяснилось (из мануала и на практике), что левая и правая кисти очень похожи, и можно идентифицироваться по левой руке (по кострукционным особенностям используется правая рука), если снизить порог точности и прикладывать ее тыльной стороной. Если верить производителям, то подобные системы используются в пентагоне. Если интересно, погуглите «HandKey»
Кстати, насколько будет интересна хабросообществу статья по СКД в блоге «как это работает»?
Кстати, насколько будет интересна хабросообществу статья по СКД в блоге «как это работает»?
Недавно смотрел «разрушителей легенд» по дискавери, как раз разбирали вопросы, связанные с такими сканерами.
Sign up to leave a comment.
Биометрическая идентификация: о надежности технологии