К сожалению, пароли при помощи социальной инженерии выпытываются на раз-два, а биометрию по венам, радужке или поведению – передать удалённо пока не могут.
Токен можно передать.
Вот рассказ водителя из Гатчины про отношение к внедрению биометрической идентификации водителей Яндекс-такси youtu.be/Xu9ndxLN9X0?t=323
Украсть можно всё. Вопрос какой ценой.
Из распределённой системы очень сложно украсть все данные, а вот из централизованной – можно.
Это не означает, что централизованная система хуже.
У каждого решения свои плюсы и минусы.
Что касается конкуренции, то в её отсутствие на первый план выходят амбиции. Первый космический запуск, первая высадка на Марс и т.д.
Это зависит от реализации.
ЕБС строилась с учётом ГОСТ, так чтобы можно было легко заменить одного разработчика на другого.
Строилась. как мультивендорное решение, когда участвуют и конкурируют несколько разработок независимых компаний.
А если распределять доходы от результатов (наиболее быстрое решение. наиболее точное решение и т.д., и с откатами можно будет бороться.
Кто лучше – тот и получает оплату.
Да, такой процесс наблюдается.
Хорошим примером является упомянутый дневник школьника.
Но, хочу отметить, что в случае интеграции с другими государственными системами – не надо дополнительно собирать и хранить персональные данные.
Если выходить за рамки статьи, и обсудить централизацию, то к этому вопросу надо подходить осторожно. Иначе централизация может убить конкуренцию. И это будет совсем плохо.
Нет ни чего идеального.
Если бы был 100% способ защиты, то не происходили бы постоянные утечки персональных данных.
Ошибка ориентироваться на какой-то один способ защиты.
Защита должна быть комплексной и постоянно совершенствоваться.
Законы у нас принимаются разные, важно обеспечить контроль их выполнения.
Например, что у нас с разливом нефти в Норильске? Роскомнадзор говорит, что ещёёёё в 14-м году проводили проверку, были замечания, которые должны были устранить в 15-м году.
Кто-то проконтролировал? Кто-то ответил за не выполнение? Работу приостановили?
Думаю, что дело не только в законе, хотя без соответствующего закона к ответственности не привлечь.
Сложно исправить допущенные на этапе проектирования или исторически сложившиеся ошибки.
Иногда с ними продолжают жить, а иногда исправляют не самым надёжным, но более оптимальным способом.
Уровень безопасности определяется потраченными на это средствами.
Кто-то не может себе позволить надёжную защиту, у кого-то (например, школьники) не хранят ценную информацию на своих устройствах, кто-то надеется на авось.
А если с устройства ещё и в облако синхронизируются данные, то тут надо дважды подумать об их защите.
Поддержу разработиков таких решений.
Есть способ защиты информации, когда возможно определить из какого именно электронного источника данных (персональной копии) произошла утечка.
Я верю, что будут появляться решения, которые устранят новые уязвимости.
Уязвимости есть во всех операционных системах, однако это не приводит к отказу пользоваться компьютерами и смартфонами.
Про биометрию на смартфонах – даже обсуждать не стоит. Это делается не для защиты, а для удобства, а если где-то сделано плохо, как в примере с ДНК, то это не значит, что нельзя обеспечить нормальный функционал :)
По «увести пароль пользователя или секретный ключ с аппаратного токена» – это проще сделать, чем подделать биометрию. Просто осуществляется копирование данных. Ещё работая в другой компании, мы демонстрировали заказчику, что его карты допуска легко копируются и клонируются.
Если говорить в целом, о защите данных, то они должны защищаться настолько надёжно, насколько важна их ценность.
Например, для доступа у денежное хранилище одного крупного банка была реализована схема, когда один сотрудник идентифицировался по биометрии, а потом второй сотрудник по своей биометрии – подтверждал его право войти в хранилище.
В другом случае, у ритейлера, для добавления или изменения информации в базе – администратор сам должен был подтвердить свои права при помощи биометрии.
В банке из ТОР10 – пользователи для доступа к информационной системе вводят логин и авторизуются при помощи биометрии.
И наверно, самый из известных мне сложных способов доступа к информационным ресурсам – логин с паролем и верификация по карте доступа и биометрии одновременно.
Не стоит надеяться, что без биометрии персональные данные защищены лучше.
Продать квартиру или машину, взять умопомрачительный кредит – значительно проще с помощью «своего» человека или социальной инженерии. Особенно, если номер паспорта и ИНН будут общедоступны.
А взломать, скопировать или дублировать физические носители информации – значительно проще, чем качественно подделать биометрию www.vesti.ru/doc.html?id=3270911
Постараюсь ответить на все вопросы.
1. Государство, как раз и готовит единую базу www.rbc.ru/society/21/05/2020/5ec6c2619a7947e13410b79f
правда, это не единая база идентификаторов, но и в этом направлении работа ведётся.
2. Решение не должно быть единственным. Должна быть конкуренция.
3. Персональные и биометрические данные обязательно надо защищать и этому посвящена одна из предыдущих статей «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842
И конечно будет вестись борьба по обману и выявлению обмана.
А если кто-то думает, что без биометрии сможет надёжно защитить свои данные, то там тоже не всё просто и тоже готовятся решения по обману www.vesti.ru/doc.html?id=3270911
Понятие обмана – достаточно широкое: можно обманывать, чтобы тебя приняли за другого человека, и можно обманывать, чтобы тебя не узнали.
любая идентификация должна проводиться с согласия её участников. Т.е. человек должен явно выразить желание, чтобы его узнали. И для этого можно использовать не только радужку, но и идентификацию по рисунку вен ладони или пальца. Подробно об этом рассмотрено в статье «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842
Что касается линз, то обычные прозрачные линзы не мешают идентификации (в том числе и оптические), в том числе благодаря использованию алгоритма кодирования (в отличие от других способов идентификации) полярную систему координат.
Также, классическая идентификация радужки осуществляется в инфракрасном свете. Идентификация в этом спектре не чувствительна к изменению цвета.
В случае использования других линз, например со специально нанесённым рисунком, видимым в ИК спектре – алгоритмы позволяют выявлять наличие линз.
Об этом и статья.
Зачем нужно дублировать паспорт, если я авторизовался на официально сайте правительства?
Да и во многих других случаях наши данные собирают без явной необходимости.
А как они хранятся, кому передаются – мы не знаем.
Не случайно появляются сообщения, типа, «Собянин пообещал удалить данные соцмониторинга и системы пропусков», а как это проконтролировать если нет регламента по их обработке и как это обеспечить, если они действительно хранятся на зарубежных серверах?
Мне бы подмести рассыпанные песчинки.
Устройте меня в эту компанию, и я приложу все силы к устранению этих проблем. :)
Вот рассказ водителя из Гатчины про отношение к внедрению биометрической идентификации водителей Яндекс-такси youtu.be/Xu9ndxLN9X0?t=323
Из распределённой системы очень сложно украсть все данные, а вот из централизованной – можно.
Это не означает, что централизованная система хуже.
У каждого решения свои плюсы и минусы.
Что касается конкуренции, то в её отсутствие на первый план выходят амбиции. Первый космический запуск, первая высадка на Марс и т.д.
ЕБС строилась с учётом ГОСТ, так чтобы можно было легко заменить одного разработчика на другого.
Строилась. как мультивендорное решение, когда участвуют и конкурируют несколько разработок независимых компаний.
А если распределять доходы от результатов (наиболее быстрое решение. наиболее точное решение и т.д., и с откатами можно будет бороться.
Кто лучше – тот и получает оплату.
Хорошим примером является упомянутый дневник школьника.
Но, хочу отметить, что в случае интеграции с другими государственными системами – не надо дополнительно собирать и хранить персональные данные.
Если выходить за рамки статьи, и обсудить централизацию, то к этому вопросу надо подходить осторожно. Иначе централизация может убить конкуренцию. И это будет совсем плохо.
Если бы был 100% способ защиты, то не происходили бы постоянные утечки персональных данных.
Ошибка ориентироваться на какой-то один способ защиты.
Защита должна быть комплексной и постоянно совершенствоваться.
Например, что у нас с разливом нефти в Норильске? Роскомнадзор говорит, что ещёёёё в 14-м году проводили проверку, были замечания, которые должны были устранить в 15-м году.
Кто-то проконтролировал? Кто-то ответил за не выполнение? Работу приостановили?
Думаю, что дело не только в законе, хотя без соответствующего закона к ответственности не привлечь.
Иногда с ними продолжают жить, а иногда исправляют не самым надёжным, но более оптимальным способом.
Кто-то не может себе позволить надёжную защиту, у кого-то (например, школьники) не хранят ценную информацию на своих устройствах, кто-то надеется на авось.
А если с устройства ещё и в облако синхронизируются данные, то тут надо дважды подумать об их защите.
Есть способ защиты информации, когда возможно определить из какого именно электронного источника данных (персональной копии) произошла утечка.
Уязвимости есть во всех операционных системах, однако это не приводит к отказу пользоваться компьютерами и смартфонами.
Про биометрию на смартфонах – даже обсуждать не стоит. Это делается не для защиты, а для удобства, а если где-то сделано плохо, как в примере с ДНК, то это не значит, что нельзя обеспечить нормальный функционал :)
Прочитал с удовольствием.
По «увести пароль пользователя или секретный ключ с аппаратного токена» – это проще сделать, чем подделать биометрию. Просто осуществляется копирование данных. Ещё работая в другой компании, мы демонстрировали заказчику, что его карты допуска легко копируются и клонируются.
Если говорить в целом, о защите данных, то они должны защищаться настолько надёжно, насколько важна их ценность.
Например, для доступа у денежное хранилище одного крупного банка была реализована схема, когда один сотрудник идентифицировался по биометрии, а потом второй сотрудник по своей биометрии – подтверждал его право войти в хранилище.
В другом случае, у ритейлера, для добавления или изменения информации в базе – администратор сам должен был подтвердить свои права при помощи биометрии.
В банке из ТОР10 – пользователи для доступа к информационной системе вводят логин и авторизуются при помощи биометрии.
И наверно, самый из известных мне сложных способов доступа к информационным ресурсам – логин с паролем и верификация по карте доступа и биометрии одновременно.
Продать квартиру или машину, взять умопомрачительный кредит – значительно проще с помощью «своего» человека или социальной инженерии. Особенно, если номер паспорта и ИНН будут общедоступны.
А взломать, скопировать или дублировать физические носители информации – значительно проще, чем качественно подделать биометрию www.vesti.ru/doc.html?id=3270911
1. Государство, как раз и готовит единую базу www.rbc.ru/society/21/05/2020/5ec6c2619a7947e13410b79f
правда, это не единая база идентификаторов, но и в этом направлении работа ведётся.
2. Решение не должно быть единственным. Должна быть конкуренция.
3. Персональные и биометрические данные обязательно надо защищать и этому посвящена одна из предыдущих статей «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842
И конечно будет вестись борьба по обману и выявлению обмана.
А если кто-то думает, что без биометрии сможет надёжно защитить свои данные, то там тоже не всё просто и тоже готовятся решения по обману www.vesti.ru/doc.html?id=3270911
любая идентификация должна проводиться с согласия её участников. Т.е. человек должен явно выразить желание, чтобы его узнали. И для этого можно использовать не только радужку, но и идентификацию по рисунку вен ладони или пальца. Подробно об этом рассмотрено в статье «Как защитить биометрические данные пользователей от криминального использования» habr.com/ru/post/502842
Что касается линз, то обычные прозрачные линзы не мешают идентификации (в том числе и оптические), в том числе благодаря использованию алгоритма кодирования (в отличие от других способов идентификации) полярную систему координат.
Также, классическая идентификация радужки осуществляется в инфракрасном свете. Идентификация в этом спектре не чувствительна к изменению цвета.
В случае использования других линз, например со специально нанесённым рисунком, видимым в ИК спектре – алгоритмы позволяют выявлять наличие линз.
Зачем нужно дублировать паспорт, если я авторизовался на официально сайте правительства?
Да и во многих других случаях наши данные собирают без явной необходимости.
А как они хранятся, кому передаются – мы не знаем.
Не случайно появляются сообщения, типа, «Собянин пообещал удалить данные соцмониторинга и системы пропусков», а как это проконтролировать если нет регламента по их обработке и как это обеспечить, если они действительно хранятся на зарубежных серверах?