Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 70
Вспомнилось шутка из журнала "Максим* где в техподдержку банка звонит мужчина и жалует что их банкомат " зажевал" его детородный орган. А засунул его туда он, что бы показать своё отношение к банку, так сказать - клал болт...
Улыбка, вены, ладонь.. Когда язык будет? Или детородный орган...
Главное они упорно гнут свою линию.
Например, в нашем образовательном учреждении они мотивировали директора попытаться ввести для детей оплату ладошкой. Родители стали горой и отказались. По моему в целом по России так.
Теперь вторая итерация?
Это стратегия Продать будущее - обкатывают технологию на самых беззащитных сегментах - школах, госучреждениях - с целью не столько заработать сейчас, сколько создать привычку и собрать огромную биометрическую базу на вырост
А почему отказались? У нас тоже вводили и это вполне себе адекватное решение. Потому что дети регулярно теряют карты и обмениваются ими. А расхлебывать этот бардак потом должна администрация школы. Никто из родителей же не войдёт в положение когда украденной Васиной картой оплатит свой обед Петя. Только жалобы везде настрочат.
Оплата по рисунку вен ладони вполне себе адекватное решение. Тем более что с возрастом рисунок меняется. Дети как никак растут.
Т.е. в какой-то момент Петя не сможет оплатить свой обед?
Почему отказались?
Почему кот лижет яйки? Потому что может!
Возможно потому, что попросили их об услуге, но сделали это без должного уважения.
Возможно потому, что все они скрытые неолуддиты.
А может просто не смогли договорится и 10% особо упертых свели на нет весь прогресс.
Они не должны оправдываться за свои решения.
Вопрос именно в том, ПОЧЕМУ так упорно внедряют биометрию, когда она в массе своей не популярна?
я могу сказать почему у нас в школе делали упор на ладошки. Потому что это единственный реальный способ избежать постоянных проблем с забытыми и потерянными картами. Никакого заговора нет.
А что до родителей. Это да. Им удобнее всего принести наличкой или переводом. Желательно в конце недели/месяца/года. Чем больше возможный срок тем им лучше. Ну а кормить их детей должны всегда по первому требованию. И не дай бог они увидят, что деньги списывают, а ребенок не поел. Скандал будет знатные. Или например утром сделали заказ (для многих открытием оказалось, что еду надо готовить), а к моменту обеда ребенку стало плохо/резко забрали домой/придумай причину сам и оказывается приготовленная еда обратно в ингредиенты не хочет превращаться.
Ну и вечная проблема с постоплатой, это заставить родителя таки заплатить за съеденную еду. Нередко они забывают карту пополнить и просят классного вложиться, а то что потом деньгу надо вернуть забывают.
Потому что это единственный реальный способ избежать постоянных проблем с забытыми и потерянными картами.
Логику притянули за уши. Видимо, с целю продажи этой самой системы.
Потому что многие десятки лет школьники (и заметно больше - просто дети) таскают с собой ключевой артефакт по доступу в собственное жилище. Иногда забывают и теряют. Но существенной проблемой это, вроде, никогда не было. Единственное, что нужно было - это не карту использовать, а 'таблетку', повесив ее на ту же связку ключей.
Еще лучше - несколько. Повесив по одной штуке на каждый часто используемый элемент одежды.
вы очевидно не работаете в школе. Ключи попадают в портфель сразу после покидания квартиры и достаются оттуда по приходу. А карты школьники таскают в столовую и бывает не по разу. Суют потом её в карман откуда она и вываливается. Если бы я в школе не работал, я бы так не говорил. У меня пачками эти карты от проходной системы лежат. Каждое утро штуки 3-5 приносят потеряшек. Среди этих карт и банковские тоже. Ну ещё за потерянные ключи мамка наругает. А за карточку, особенно пропускную - нет. Родителям на это пофиг. Не пустить детей в школу мы не можем.
Благо сейчас с питанием наконец устаканилось. Началка ест и так бесплатно, а все остальные за свой счёт. Тут претензий к школе быть не может. Потерял карту - остался голодным.
Вообще все эти системы оплаты питания сейчас уже не актуальны. Банки наконец сделали вменяемые тарифы на терминалы и посредники не нужны.
вы очевидно не работаете в школе.
Я учился в школе. Ключи всегда были в кармане одежды (обычно штанов) и на шнурке. Поскольку забыть надеть штаны, когда выходишь из дома - затруднительно, они никогда и не терялись.
карты школьники таскают в столовую и бывает не по разу. Суют потом её в карман откуда она и вываливается.
Так форм-фактор неудачный. Надо такой, который не 'cуется' а постоянно при себе. На шнурке, да. Сильно желательно - чтобы не мешался при этом. Или можно вообще пришивать.
Пришивать? Штрих-код на одежде? Рядом с красным ромбиком? А если форма в стирке, то на затылке набить? )))
Да тут родители не просто просто будут, они вас за такие идеи ночью в лес вывезут и сожгут. Возможно привязав к вышке 5g.
Не понимаю чем плоха биометрия по ладони.
По лицу не очень безопасно - понимаю. Камера может в очереди выдернуть не того человека, были такие ролики из Китая. Ну и фото лица сделать можно, не школьный кейс, но если упороться, можно завести фейкового мерчанта, поставить терминал с оплатой по лицу, пройтись по улице, сделать много фото или видео прохожих и показывать их в терминал. Потом с награбленным нужно будет быстро свалить, но сценарий в целом рабочий. Надеюсь разработчики оплаты по лицу это уже если и кроме камеры есть ещё датчик глубины, и проверка что лицо движется/моргает...
А ладонь то чем плоха? Сфоткать ее бесполезно, украсть/потерять - сложнее чем забыть дома штаны, скопировать без очень сложных технических решений не получится, незаметно этого вообще не сделать (если только обманом заставить приложить руку к фейковому терминалу, но потом этот рисунок сосудов надо будет ещё как-то отпечатать... не уверен что есть такие принтеры)
Я лично был бы за. Я уже отказался от кошелька и карт (про наличку вообще молчу), так как могу платить телефоном, в том числе в маршрутках/автобусах. Если мне для оплаты ещё и за телефоном лезть не надо - вообще огонь. Только вопрос с санитарными нормами порешать, и готово. Ну а если я в варежках - Окей, достану телефон.
Пришивать? Штрих-код на одежде?
Ну шьют же в некоторых местах эмблему школы и нечего.
Да тут родители не просто просто будут, они вас за такие идеи ночью в лес вывезут и сожгут.
И бейджики носят даже. Это то же самое, только постоянно пришитое.
скопировать без очень сложных технических решений не получится
Зато когда получится - жертва ничего сделать не сможет.
Уже ниже писал - биометрия сама по себе применяться не должна. Нужно смешивать с чем-то, что сменить можно.
С идеей совмещения биометрии с кодом/пинком/росписью я очень даже согласен. Это хорошее сочетание.
всё зависит от уровня ответственности системы. Понятное дело, что вводить пин на школьной проходной это уже овер защита. Так же как и пин для оплаты в школьной столовой. Ведь там прекрасно можно ограничить круг лиц которым такая оплата в принципе доступна.
Так же как и пин для оплаты в школьной столовой.
Так же как и ладонь в этой столовой с наверняка не очень дешевым сканером. Раздать пачку контактных или бесконтактных 'таблеток' (даже без криптозащиты, а просто номерных) - и пускай на веревочке в грудном кармане таскают.
ну так не таскают. Теряют и обмениваются картами. А разгребать весь этот бардак будет администрация школы, которая зачастую вообще не при чем. Организация оплаты на аутсорсе.
ну так не таскают.
Потому что неудобно. Сделать карты поменьше, сделать не картой, проделать дырочку, выдать чехольчик с дырочкой, запроектировать петельки рядом с карманами на школьной форме, прилагать шнурки сразу при выдаче этого токена оплаты.
Но нет, будут рассматриваться overengineered решение проблемы 'часть детей теряют карточки'.
Хотя, если уж не то пошло, это надо рассматривать 'Так и надо. оно тренировка для взрослой жизни, где эти карточки пачками таскать придется и лучше бы научится их не терять'.
опять всё упирается в вопрос "а за чей счёт банкет". Конечно можно придумать уйму вариантов. Но кто за это будет платить? Родители? Не хотят. Они хотят бесплатно. Школа не может себе позволить такие траты. Это не говоря уже о том, что школа сама не организует оплату. Тупо в школе нет таких специалистов, чтобы это обслуживать. Это делается через аутсорс. А там уже как получилось. Подстраиваться под конкретную школу редко кто хочет. А тем более выискивать для неё уникального вида карты.
А тем более выискивать для неё уникального вида карты.
"Товарищи из банка, карты слишком большие. Давайте стикеры, у вас они все равно уже есть. И скажите, пожалуйста, где в них дыроколом дырку сделать можно, чтобы не сломались"
Я вижу проблему не в том, что дети теряют карты. А в том, что у школы нет никаких рычагов воздействия на детей и родителей. Ну потерял и потерял. Родителю как то пофиг. Гос-во же нам гарантировало беспрепятственный доступ к образованию и бесплатное питание. Вот школа пусть и парится. А родитель тут не при чем. А то что в школу очередью стоят проверяющие начиная с росгвардии которые приходят и с порога. Давайте посмотрим как вы детей запускаете по камерам. И найти там с утра, что охрана пропустила без карты ученика не проблема. А как не пропустить? Закон у нас же гарантирует. Но росгвардию это не парит. Сражу штраф за нарушение пропускного режима. А не пропустишь выговор за то жалобу от родителя и нарушение законодательства об образовании.
В начале обсуждения контекст(как он был описан) был не про пропускной режим. А про оплату еды. Что в этом контексте потерянные/забытые карты представляют проблему, которую вообще решили решать. Но вместо Low Tech, что описана парой сообщений выше - почему-то рассматривали сканнер ладони как решение.
еда отпала сама собой потому что с 1 по 4 класс и так едят бесплатно. А все кто старше платят сами за себя картой. Школа им тут не обязана. Огромный пласт проблем сразу исчез. Осталась пропускная система. Но тут никто из мне известных ладони не предлагает. Всё по старинке с картами.
ну вы серьезно хотите обсуждать личный опыт ношения ключей? Если вы в кармане таскали вовсе не значит, что и все остальные в кармане таскают. А карты на шее носят только в началке. Как только ребенок взрослеет ему как то не можно уже становится с бейджом ходить на шее.
Они перебирают все части тела в поисках той, которую люди еще не боятся им отдавать
С лицом не очень получилось, теперь прощупывают почву с ладонями
С лицом не очень получилось
а есть статистика?
Тут например, если Вы реально интересуетесь :)))
в пресс-релизе не указаны относительные суммы био/не-био. в статистике же вобще ни слова про био нет. или я слепой?
перебирают все части тела
Не так давно учёные выяснили, что людей можно различать по отпечатку ануса...
Нет. Они честно позаимствовали идею Амазона с оплатой в wholefoods. Карту приложить не глядя проще чем совместить два кружочка на экране двигая ладонь над камерой
Пользователи могут спокойнее относиться к передаче биометрии ладоней, чем к передаче изображений лиц
Спорное, лицом мы и так светим везде, а вот уникальный рисунок вен это куда более интимная биометрия
Если эта база утечет, сменить ладонь уже не получится
в базе хранится хеш. По этому хешу невозможно восстановить изображение вен. Вся обработка идёт аппаратно в устройстве.
Вся обработка идёт аппаратно в устройстве.
Сбер где-то это официально заявил? Я бы не был так уверен.
я в руках держал этот самый считыватель и базу открывал. Она в терминале хранилась в MSSQL. Там только хеши были. Всё это относится к их проекту оплаты еды в школах - Ладошки.
Там хранится не хеш, а эмбеддинг сетки. Вопрос восстановления легко решается Ганом, вопрос в доступе к движку.
я говорю про то что сам лично видел. В базе был точно хэш. Слишком короткое значение для чего то другого.
Слишком короткое - это сколько?
https://pages.nist.gov/frvt/html/frvt1N.html - это сайт, сравнивающий разные технологии распознавания по лицу (да, не по ладони, но не суть).
На вкладке "Resources by Algorithm" можно найти размеры векторов. Есть такие, кому 128 байт достаточно (это 16 значений типа double)
в базе хранится хеш. По этому хешу невозможно восстановить изображение вен.
Про 'база утечет и потом плохо будет' - это, конечно, страшилка в значительной мере как раз по этой причине. Да и то есть сомнения, что функция там настолько уж односторонняя.
Проблема в том, что утечь может сами данные биометрии, после чего делается дубликат.
Вот как в обсуждаемой новости - там же ну ни разу не спец-сканер, ультразвуковой, рентгеновский и так далее. Просто камерой смарфона пользуются. Хватай (спящего) за руку, аккуратно фотографируй и потом начинай эксперементировать с ладошкой из силикона или что-то похожее. Или, как водится - с ролика на ютубе, где жертва размахивает руками и показывает ладони, снять.
А утекшая база поможет проверить, что дубликат - пройдет проверку, т.е. свернется в тот же хэш.
Если бы этот хэш хотя бы солили с пином, что человека вводит. Который можно сменить и тем самым сделать все ранее снятые образцы/хэши непригодными к авторизации.
Но нет, в подавляющем числе случаев упорно считают, что только совпадения биометрии - достаточно.
то что я видел в проекте "Ладошки" это именно спец сканер, конечно наверняка там IR камера. Но он как то определял, что перед ним живой объект, а не фото. Насколько я помню эта было японское устройство и довольно специфичное. На то время их было всего 2 варианта от разных производителей и не совместимы между собой.
это именно спец сканер, конечно наверняка там IR камера.
А то что нам в ролике показывают в статье выглядит как просто смарт. Даже если если он не 'просто' а с спец-камерами -- то просто за счет массовости внедрения можно считать, что злодей могут такой добыть и научиться читать то, что он там читает.
вполне очевидно, что прочесть рисунок вен довольно простая задача. Небольшая доработка вебки и наверняка можно получить неплохой результат. Весь секрет в алгоритме преобразования рисунка в хеш
Весь секрет в алгоритме преобразования рисунка в хеш
Который в общем случае не нужен, а просто упрощает проверку на то, 'Достаточно хорошая' копия у нас или уже нет. И когда ее получается изготовить - жертва ничего не может сделать. Вот, спрашивается, зачем? PIN добавить нельзя что ли?
Ну да, там есть соревнование насчет того, что считать 'достаточно хорошей копией', но это не отменяет тезиса, что биометрия сама по себе ничего авторизовывать не должна.
Только чип под кожу поможет. У него сразу 2 плюса. Сложно потерять и можно заменить.
Сложно потерять и можно заменить.
Но можно вытащить и использовать без ведома владельца. Или прямо с владельцем, пока он без сознания (Эквивалент 'деточка приложила палец родителя к смартфону, пока тот спал').
Сказано же - фактор знания надо добавлять. Уж не знаю, почему это идея такое сопротивление вызывает.
потому что люди не могу запомнить даже пин код. А пароль от госуслуг помнят единицы.
потому что люди не могу запомнить даже пин код.
А не надо делать его цифровым. Надо позволять использовать то, что человек лучше запоминает. Я тут уже где-то предлагал (почти в шутку) - надо изобрести специальный язык жестов и просить человека отсигналить его нужную последовательность.
Или что-то похожее, что конкретный человек лучше запоминает.
из опыта единственное, что относительно запоминается это графический ключ. Всё остальное забывается весьма успешно. Зачастую сразу после ввода.
Ну забыл - это теперь проблема человека. Сейчас если от обычной карты пин задачи тоже ничего не оплатишь. Да и телефоны без пина не открыть. Так что в целом то идея продажа хорошая. Есть ладонь, она моя и у меня. Снять копию очень сложно. Использовать без моего ведома - тоже. Есть ещё пароль/пин, который можно поменять в любой момент и который все старые сохраненные хеши превращает в тыквы. Можно этот же пароль реализовать вообще в виде движения, продолжая идею с графическим пинкодом. Будет что-то типа росписи. То есть не просто ладонь приложить, а ещё подвигать ей как-то. Роспись подделать сложно, но поменять и обнулить странные сохраненные - вполне.
Зачем его помнить? Мне как-то попадался админ, утверждавший, что помнит 35 сложных паролей. Титан мысли. Я помню три, и один из них - от хранилища всех остальных. Зачем больше?
Я вас прекрасно понимаю. Когда вас лично это не касается каждый день можно говорить, что всё это проблемы людей, что они не помнят пароли. Но люди существа такие, что не хотят оставаться крайними. Сейчас вот наше любимое гос-во всячески пропихивает авторизацию через госуслуги. Например доступ к оценкам ученика родитель может получить только через авторизацию на госуслугах. И как вы думаете к кому они идут с вопросом "я не могу получить доступ в электронный журнал". Хотя на сайте всё написано со всеми ссылками и в картинках. Приходят они к ответственному человеку в школе и конечно же никто не помнит пароля от госуслуг. А гос-во же всё сделало для максимального удобства. Сейчас чтобы сбросить пароль на госуслугах нужно ждать 10 минут. А ещё нужно не попасться и не подключить себе вторым фактором МАХ иначе в условиях порезанного наглухо интернета ты этот второй фактор не получишь. Да даже если и интернет нормальный попробуйте сами ради интереса. Там такой увлекательный квест с вопросами каждый раз.
А ещё нужно не попасться и не подключить себе вторым фактором МАХ иначе в условиях порезанного наглухо интернета ты этот второй фактор не получишь.
Остался только вопрос, как в таких условиях доступ к самим Госуслугам удалось получить.
Про квест - ну так это 'by design', связанный с недостатком этих кодов (что из макса, что из приложения, что из телефона). Который состоит в том, что их продиктовать можно злодею. Пытаются бороться.
я как то пытался дозвониться в ТП Госуслуг когда человек продиктовал мошеннику код и его Госуслуги увели. О. Это нечто. Мало того, что фиг дождешься, так мне там прямым текстом сказали, что не могут заблокировать аккаунт. А звонил я с привязанного к Госуслугам номера. Ну вот нет у них такой функции. И посоветовали идти в МФЦ. У мошенников была схема когда они ставили контрольный вопрос. Большинство вообще не подозревает, что он в принципе есть, потому им легко было. Ставят контрольный вопрос и всё. Доступ не сбросить. Только путь в МФЦ.
Получается через госуслуги можно всякого понаделать, а легкого и быстрого способа заблокировать аккаунт нет. Пока ищешь МФЦ мошенники могут никуда не торопиться.
Получается через госуслуги можно всякого понаделать, а легкого и быстрого способа заблокировать аккаунт нет.
Практически любой такой способ будет возможностью мошеннику заблокировать доступ для законного владельца.
А уж как из этого пользу для себя извлечь - эти товарищи придумают.
банки же как то справляются
банки же как то справляются
Да не очень, как я понимаю. По сути, любую карту может заблокировать приблизительно кто угодно, просто позвонив.
Другое дело, что как из этого пользу извлечь - непонятно, ее возможности все-таки ограничены деньгами.
У учетки Госуслуг возможности шире и поэтому, наверняка, и возможность получения выгоды от блокировки чужой записи больше.
Вы полностью извратили мою мысль. Я говорю "зачем помнить много паролей", а Вы рассуждаете о проблемах тех, кто их не помнит. Мы на одной строоне. Вместо некоторых совершенно идиотских прндметов ми уроков "для галочки" лучше бы компьютерный ликбез по безопасности. И, разумеется, сначала обучить обучающих. А потом детишки уже щаймутся родственниками. Всей проблемы - на год максимум.
А так да, у меня среди ближайшего круга один я занимаюсь безопасностью, выставлением правильных доступов и т.п. А среди тех родственников, до кого я могу только словами дотянуться, как у всех - тихий ужас с забыванием паролей и никаких вторых факторов. И я могу понять, у них нет понимания, что это критически важно. Вот протекающий кран на кухне, или успеть на работу во-время, это важно. А Госуслуги - это ерунда какая-то.
Ну вы сами всё и сказали. Людям все эти ваши пароли-шмароли не интересны. Они не хотят заморачиваться, какой то там безопасностью. Самый частый ответ "да кому я нужен, пусть смотрят, что там у меня в телефоне". Давече вон приходила одна дама. Не ставятся у неё приложения из апстора. Пароль какой то от айклауда хочет. Спрашиваю, а кто вам собственно учетку то делал в телефоне. Да, говорит, продавец в магазине. Купила и мне тут же всё настроили. Ну тут кроме как рука-лицо у меня других эмоций нет. У человека есть около 100К руб., на айфон, а вся безопасность висит на тонкой ниточке доверия случайному продавцу в магазине.
Или более приземленный случай. Недели не проходит, чтобы мы в школе не напоминали всем о мошенниках. Что звонят и спрашивают коды из смс. Что не надо разговаривать с генералами ФСБ по ватсапу. И что толку. Недели две назад мне звонят и говорят спасай. Мошенники угнали госуслуги.
Ну вы сами всё и сказали.
Да, и я с самого начала это говорил. Я не совсем понимаю Ваш тезис - Вы спорите или соглашаетесь, но как будто спорите?
Недели не проходит, чтобы мы в школе не напоминали всем о мошенниках
То, что превратилось в рутину, просто пропускается мимо ушей. Ведь не нами сказано "То, о чём так долго врала большевистская пропаганда, оказалось правдой". Поздне-советская пропаганда навязла всем в зубах, и её игнорировали, просто не принимали во внимание. Сейчас по тем же граблям в пропаганде идёт РФ.
выглядит как просто смарт
Это терминал Kozen P10
У нас нынче такие тоже есть, например, BioSmart
Вот один из их патентов: https://share.prosyst.ru/index.php/s/MFFLFDtKBfMWMr2
Там подсветка из нескольких ИК-светодиодов, излучающих на волнах 850нм и 940нм.
Но он как то определял, что перед ним живой объект, а не фото
https://bio-smart.ru/support#!/tab/812771243-2 - тут есть патент на девайс с датчиком температуры.
Использование биометрии для аутентификации - зло. Вот для идентификации - нормально.
Но все упорно пытаются совместить.
Вы скопипастили из Коммерсанта всякую ерунду, не потрудившись проверить факты.
Чтобы использовать биометрию ... банкам нужно ... приобрести векторы у Центра биометрических технологий
Это невозможно, ЕБС не продаёт векторы.
Вот список документов, там нет такой услуги. Самое близкое это услуга по передаче векторов с целью аутентификации. Но она оказывается не всем подряд, а аккредитованным госорганам и организациям, и в документе еще есть куча всяких условий.
Новая система не требует специальных инфракрасных датчиков и может работать на терминалах, которые уже принимают оплату по лицу.
...
Независимый эксперт Максим Митусов поясняет, что при этом анализируется капиллярная сетка ладони, которая сложнее и разнообразнее отпечатка пальца
А Вы не спрашивали у этого "эксперта", как в видимом диапазоне, да ещё и без подсветки можно увидеть капиллярную сетку?
Вот несколько датасетов, можете сами поискать
https://sites.google.com/view/11khands
http://english.ia.cas.cn/db/201611/t20161101_169937.html
https://www.kaggle.com/datasets/mahdieizadpanah/birjand-university-mobile-palmprint-databasebmpd
Если капиллярная сетка видна сквозь кожу, это называется телеангиэктазия и является признаком варикозного расширения кровеносных сосудов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
СМИ: «„Сбербанк“ тестирует оплату по отпечатку ладони»