Project Abacus от Google: биометрия вместо пароля



    Соответствие процесса аутентификации пользователей различных сервисов и устройств при помощи связки логин/пароль текущим потребностям и желаниям самих пользователей — большой вопрос. Обсуждений, посвященных поиску возможных альтернатив логину и пароля в Сети тоже очень много, как среди обывателей, так и среди технических специалистов высокого класса.

    Корпорация Google решила предложить собственный метод аутентификации, где не используется привычная форма с предложением ввести свои данные. Сейчас специалисты компании работают над проектом, получившим название Project Abacus. Работает над проектом команда Advanced Technology and Projects (ATAP). В рамках проекта разработчики пытаются найти надежный способ аутентификации пользователя при помощи биометрии. И здесь имеются в виду не отпечатки пальцев, проект более универсальный.

    Для того, чтобы пройти процедуру идентификации, пользователям нужен только… смартфон. Именно это устройство считывает различные поведенческие особенности пользователя, анализируя полученную информацию, и сравнивая с эталоном (Google ведь собирает кучу данных о пользователе). Здесь и особенности набора текста, и анализ голоса, плюс изучение окружения (к примеру, наличие bluetooth-маячков, ближайших к пользователю устройств с bluetooth, которые встречаются в одном и том же месте долгое время — на работе например, смартфоны коллег). После анализа информации телефон в алгоритмом Abacus выводит «баллы доверия». Чем выше оценка, тем вероятнее, что смартфон находится именно в руках владельца. Максимальный балл — 100, минимальный — 1.

    Кроме названных критериев для определения аутентичности пользователя, могут использоваться и дополнительные данные. Это изображение лица пользователя, анализ особенностей его походки и некоторые другие данные.



    Если аутентификация прошла успешна, пользователя пускают в ту либо иную программу. При этом для каждого приложения «балл доверия» свой. Так, банковское приложение требует очень высокого балла, а игровое приложение или соцсеть может удовлетвориться несколько меньшим по значению результатом.

    Разработчики утверждают, что такой способ в 10 раз безопаснее дактилоскопического сканера.

    К сожалению, пока что неизвестно, когда Google подробнее расскажет о технологии, тем более неизвестно, когда (и если) Project Abacus станет реальностью. Возможно, о новом проекте расскажут на Google I/O 2016.
    Поделиться публикацией
    Комментарии 23
      +4
      Разработчики утверждают, что такой способ в 10 раз безопаснее дактилоскопического сканера.

      Не утверждают. Судя по тексту, надеются и верят, не более.

      А технология не вызывает доверия. Какие-то мутные алгоритмы, эвристики, анализы, чтобы попасть в аккаунт. В сравнении с двухфакторной авторизацией, не нужно получается даже пароля. Заполучил телефон=заполучил доступ к аккаунтам. Ведь информация не успеет так быстро измениться до той степени, что перестанет пускать.
        0
        Здесь и особенности набора текста, и анализ голоса, плюс изучение окружения [...] могут использоваться и дополнительные данные. Это изображение лица пользователя, анализ особенностей его походки
        Трудно, наверно, будет попасть в платёжное приложение в состоянии подпития — морда у меня красная!
        +7
        Честно сказать, «я фигею, уважаемая редакция».

        Сначала нам говорили — «ерунда эти ваши пароли, RFID-метки — наше всё!»

        Потом говорили «фигня эти ваши RFID-метки, биометрия — наше всё!»

        Теперь давайте посмотрим:

        Пароль: хранится в голове; спереть без ведома владельца невозможно; менять можно хоть каждые 5 минут.

        RFID-метка: хранится в кармане; транслируется в окружающий эфир, где может быть считана кем угодно в радиусе 0.5...200 метров (в зависимости от типа метки, и считывателя на вооружении у мошенника); менять нужно метку целиком (покупать/получать новую)

        Биометрия: хранится на теле; [некоторая] остаётся везде, где человек побывал, на протяжеиии длительного времени (отпечатки пальчиков элементарно снять с брошенной бутылки); менять… хрен поменяешь (во всяком случае, преступники уже второй век мечтают научиться менять отпечатки).

        И после этого всего как эта ваша биометрия — «шаг вперёд в безопасности»?
          –3
          Биометрия глаз будет по-лучше. И таки дает шаг вперед. Даже пальчики в сравнении с суровой реальность простых паролей и одинаковых везде тоже шаг вперед. + удобство пользователя.
            +8
            Нет, «пальчики», ни «глазки» — это огромный шаг назад, причём именно из-за невозможности сменить. Предположим, вы авторизовались на устройстве с бэкдором (хакерским, правительстенным, вендорским — неважно). Ваш цифровой отпечаток «ушёл» злоумышленнику. И всё, ваша учётная запись потеряна безвозвратно. Более того, все ваши прошлые и будущие учётки уже заранее скромпрометированы.
            Вы не хотите жить в таком мире, где на письмо «в вашу учётку зашли из Гондураса» вы ничего не сможете сделать.
              –1
              Это вы идеальном мире смена пароля что-то там решает. Что мы имеем в мире реальном? Простые пароли 123 на всю жизнь на все сервисы. Поэтому здесь это шаг вперед в безопасности и удобстве пользования.
              +6
              Пароль имеет то достоинство, что его можно сменить. В ряде ситуаций есть возможность использовать «двойное дно» — дать альтернативный пароль, который откроет доступ к другим данным, или иным способом поможет предотвратить утечку важных данных.

              Как такое реализовать средствами одной только биометрии? «Замените, пожалуйста, глаз и повторите попытку аутентификации»?

              Не очень понимаю, куда именно этот шаг в смысле обеспечения безопасности.
                0
                Биометрия глаз будет по-лучше.
                Да-да. Никаких 300 метров, как в случае с RFID. Получить снимок Вашей радужки можно всего-навсего с расстояния в каких-нибудь несчастных двенадцать метров.

                  0
                  а каким образом получается сигнал RFID метки с 300 метров то? она ж, по-идее, излучает 0,01 Вт…
                    +1
                    Узконаправленные антенны с усилителями умеют много гитик. Была т.н. «хакерская снайперская винтовка» с антенной, узконаправленной до того, что её направляли на объект через оптический прицел, вот она облучала метку нестандартно мощным возбуждающим полем и снимала сигнал за 300 метров.
                    0
                    Вы читали ссылку то? Цель исследования достичь идентификации на расстоянии. Это значит компромиссные решения, высокая степень ошибки и т.д. Нет никаких причин, чтобы система идентификации не работала в таком разрешении, что расстояние для работы с ней нужно намного намного меньшее. Я не знаком конечно с темой, но есть подозрения, что оно именно так и есть. Если вы найдете ссылку, что с 12 метров получили снимок, который дает доступ в топовую систему безопасности, вот тогда да, это будет уместный пример.
                      0
                      Ну, не получили надёжный с двенадцати, получат с трёх, делов-то. «Что пнём об сову, что совой об пень» (с)
                        0
                        Получать они могут что угодно и сколько угодно. Вопрос о надежность системы. Вот пусть кто-то систему и взломает с копией глаза с 12 или 3 метров. Пока что это мимо темы все.
                +1
                мда…
                ну вот я например пользуюсь какими то программами на работе, рядом у меня коллеги, wifi… все ОК, коэффициент доверия будет 90…
                потом банально поехал в отпуск… и все ?!!!

                ИМХО совсем сырая идея… совсем, совсем сырая… которая скорее всего скатится до банального сканирования лица (уже есть в андроид), сетчатки глаза (со всеми замечаниями, что уже написаны в комментариях выше), отпечатков пальцев (для телефонов в которых сканер отпечатков есть)…
                  +1
                  потом банально поехал в отпуск…
                  А нефиг в отпуске по банкам шариться :)

                  Кстати, подумалось, что загоревшую после отпуска физиономию с рассосавшимися мешками под глазами и офисная система безопасности не узнает!
                    0
                    Находясь на работе, рядом с коллегами, wifi… Предположительно, у вас будет больше 90%. Т.к. вы находитесь в обычном вам месте, возле вас обычные вам устройства, вы используете свой смартфон, находясь в знакомой сети wifi.

                    Поехали в отпуск? Отлично! Согласен, ни один из выше сказанных доверенных данных не прокатит. Но, скорей всего, вы искали путёвки в гугле или заходили на сайты тур-агенств с залогиненным аккаунтом в гугл. И информация о вашей возможной поездке уже имеется в базе.
                    К тому же, если у вас снизился бал доверия, то кто мешает это выдать сообщением и перейти к стандартной аутентификации?
                      0
                      просто мне бы очень не хотелось чтобы кто-то обосновывал мою подлинность на основании данных о фактах которые ко мне лично никак не относятся…

                      а если я работаю в клиентском отделе, и у меня за стойкой в день по 150 человек проходят?

                      а если работа носит разъездной характер?

                      а если кому то понадобиться меня «заменить» — то отсканировать блютуз устройста в моем окружении, и wifi сети — сможет ВООБЩЕ ЛЮБОЙ ПЕРВОКЛАСНИК! причем потом в телефоны друзей запишет нужные (отсканированные) имена телефонов, в роутер — имя точки доступа — и что ???? — точность 90% говорите ?!!!

                      помоему гугл уже «воспитывали» не тему сканирования сетей wi-fi (к сожалению не знаю чем закончилось), — они теперь хотят еще этот процесс делать на телефоне каждого пользователя?

                      тогда фактически это система контроля за моим положением, моими перемещениями, контроль за тем с кем я общаюсь… вы тут переживаете за то что большой брат за вами следит? по сравнению с гуглом — слежка большого брата это детские игры в шпионов!

                      Пароль, пароль, и еще раз пароль…

                      а все остальное — это баловство!
                        +1
                        Видите ли, я уже 15 лет работаю с американцами, и я могу сразу сказать, что в этом принципиальное различие наших мышлений.

                        Американец: «Вот так вот это будет работать: если есть то, то и вот это, то всё просто офигенно зашибись будет.»

                        Русский: «А если вот этого нет, вот то через жопу, а вот это изолентной подмотано, то как оно у тебя работать будет-то, а???»

                        Иными словами, они концентрируются на том, как великолепно система будет радовать глаз в тепличных условиях, а мы — на том, как сделать систему неубиваемой, пусть даже за счёт удобства. (Что, кстати, лучше всего наблюдается в военной технике — в частности, в тех же самых M-16 vs АК-74).
                          0
                          :-)
                          ну это понятно…

                          но ведь это вопросы безопасности — а значит нужно всегда рассматривать самый крайний с точки зрения негатива случай…
                            0
                            Так я и говорю: это особенности мышления — рассматривается только случай «Всё хорошо, прекрасная маркиза»; негативные случаи рассматриваются исключительно при их возникновении. :(
                    0
                    >>Если аутентификация прошла успешнА

                    очепяточка

                    PS: спасибо за статью
                      +1
                      Так и вижу будущее:

                      «Это — защищенная секция веб-сайта.

                      Пожалуйста, доведите роботу, что у вас — добрые намерения и удовлетворительные умственные способности быть администратором.»
                        +2
                        — Монастырь Квайзон, — произнёс робот, — был осажден 3 апреля 1582 года солдатами Ода Нобунага. Какие мудрые слова изрек аббат?
                        Бользано отреагировал легко и быстро:
                        — Одиннадцать, сорок один, слон, объёмистый.
                        Роберт Силверберг. Вот сокровище...

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое