Комментарии 25
Главное чтоб это не было добровольно-принудительно.
Опора любых сервисов на биометрию - большое зло!
Утечки будут обязательно.
И что людям делать после этого?
Почта, телефон, логин, пароль могут быть изменены.
А биометрия?
Если я всё правильно помню, то очень грубо говоря в случае с биометрией у вас тоже хранится не сама биометрия, а только какой-то хэш. Если этот хэш утёк и это стало известно, то просто меняется алгоритм генерации и вы получаете новый хэш, а от старого с этого момента нет никакого толку.
По крайней мере так это нам в своё время объясняли в универе. Но конечно не факт что это везде так применяется.
Хэш к биометрии не применим, так как это неточные данные, измерение которых имеет большие порешности.
То что из биометрии нельзя восстановить исходную биометрию - совершенно неважно. Важно, что саму биометрию можно скопировать, потому что то, что пытаются использовать - человек постоянно демонстрирует всему миру. А утекший хэш - позволит проверить, насколько удачно копия получилась.
То что из биометрии нельзя восстановить исходную биометрию - совершенно неважно
Вообще-то примерно об этом и шла речь в комментарии на который я ответил.
Важно, что саму биометрию можно скопировать, потому что то, что пытаются использовать - человек постоянно демонстрирует всему миру
Поэтому биометрия ни в коем случае не должна быть единственным фактором.
Но при этом если её добавляют в качестве дополнительного фактора, то она вполне себе добавляет безопасности.
Поэтому биометрия ни в коем случае не должна быть единственным фактором.
Но при этом если её добавляют в качестве дополнительного фактора, то она вполне себе добавляет безопасности.
Да. В этом и проблема - банки пытаются заменить логин/пароли/пины, а не добавляют к ним.
В тех же госуслугах, кстати, если я правильно понимаю интерфейс, возможность именно добавить - есть.
Но, вообще, то что в новости - почти анекдот. Потому что
Чтобы банки могли использовать данные, хранящиеся в ЕБС, клиенту нужно зарегистрироваться в каждом и в каждом дать согласие. Единая платформа позволит регистрироваться один раз.
А когда эту ЕБС внедряли - аргумент как раз был, что оно нужно в том числе и для того, чтобы настраивать использование биометрии в индивидуальном порядке.
В этом и проблема - банки пытаются заменить логин/пароли/пины, а не добавляют к ним.
Я бы сказал что тут стоило бы вмешаться закондательным органам. Но понимаю что в данном случае это звучит слегка саркастично :)
В этом и проблема - банки пытаются заменить логин/пароли/пины, а не добавляют к ним.
Отнюдь. Никто не заставляет оплачивать вас по биометрии(в сценариях с заведомо ограниченной стоимостью), например. Можно использовать ее только в сценариях где она выступает доп. фактором.
Если же хочется платить биометрией - тут только ваш личный опыт в помощь.
Отнюдь. Никто не заставляет оплачивать вас по биометрии(в сценариях с заведомо ограниченной стоимостью), например.
У кого из них можно сделать так, чтобы для входа в приложение/оплату требовались и пин/пароль и биометрия одновременно? Везде, где я видел - только либо то, либо то.
Так что оно предлагается именно как замена, а не как дополнение.
По ТВ недели две уже идёт реклама зелёного банка - только улыбка в терминал и оплата выполняется.
Сценарий с ограниченной стоимостью, плюс доп факторы если у системы есть заложенные механизмы "сомнений".
И, опять же, это всё опциональный функционал. :)
А вот про то что пишут в комментарии выше, т.е. "почему нет возможности максимально кастомизировать свой опыт по аутентификации, затребовав больше факторов для своего профиля" - вопрос имеет право на жизнь; вопрос лишь в том - скольким людям он реально нужен. Всё-таки это разработка и поддержка очередного творения сомнительной полезности (с точки зрения бизнеса в первую очередь).
Посмотрел комментарии - ни один из отписавшихся так и не понял сути. Вопрос не о применении биометрии как таковой, а о платформе, которая транслирует согласие на биометрию широкому кругу желающих.
Единую платформу согласий лоббируют ЦБ и Минцифры. Платформа жизненно необходима для использования цифрового профиля и цифрового рубля. Госуслуги обещали сделать к 2025. Возможно НСПК – подрядчик. К тому же НСПК сейчас возглавит выходец из Минцифры.
Единую платформу согласий лоббируют ЦБ и Минцифры. Платформа жизненно необходима для использования цифрового профиля и цифрового рубля.
А можно подробнее мысль?
Цифровой рубль, вроде, может совершенно спокойно работать без предъявления кому-либо данных своей тушки. Наличия приватного ключа(ключей) в каком-нибудь чипе должно быть совершенно достаточно.
У платформы не технический смысл, а юридический. Суть не в ключах, а в том, чтобы дать разрешение на обработку персональных данных. Предположим у вас счет в банке А, вы хотите открыть аккаунт в банке Б. Через приложение банка А дается согласие, затем авторизуетесь в банке Б по биометрии. По закону для банка Б нужно дать согласие для ее обработки, поэтому и нужна платформа.
Вопрос обязательности биометрии - только вопрос времени. По 115-ФЗ уже принуждают к ее использованию.
Если говорить о технических аспектах, то я нигде не встречал обсуждения порядка соглашения о величине совпадения биометрических данных. Вы готовы оплачивать кредит, если его выдадут лицу, указавшему ваши персональные данные и предъявившему биометрию с совпадением 20-30% векторов?
также рекомендую поинтересоваться темой «цифрового профиля» - документ на сайте Минцифры в открытом доступе, а также почитать Типовой договор об использовании платформы цифрорубля на сайте ЦБ. И оооочень хорошо подумать прежде чем радоваться прогрессу.
Интересно, разработчики всего этого тоже с рабостью окунаются в "новый чудный мир" или они думаю, что их пронесёт?
НСПК разрабатывает единую платформу биометрических сервисов