Статья состоит на 99% из воздуха и на 1% из всем известного факта, что любой физиологический или поведенческий признак можно использовать для установления личности с определенной вероятностью.
Ни эксплуатационных характеристик разработанной нейросети, ни зависимости их от длины набираемого текста.
Очень несерьезно для компании, придумавшей слово видеоаналитика.
От участников хакатона требовалось научиться генерировать фейковые портреты, которые смогут обмануть систему (или, говоря более строго — построить атаку на биометрическое представление).
Атака на биометрическое предъявление подразумевает взаимодействие с подсистемой сбора биометрии. Это другой тип атаки
Вы переживаете, что ваши данные попадут к мошенникам из системы Ростелекома, но у вас ФИО и фотография на сайте Хабра в открытом доступе. Кому нужно красть их у Ростелекома?
Статья не соответствует духу Хабра. Выглядит даже не анализом, а копипастой из открытых источников. И вот почему:
Не существует термина "биометрическая аутентификация". Перечитайте 572-ФЗ (определены термины аутентификация и идентификация) или ГОСТ (определены термины биометрическая верификация и биометрическая идентификация).
Вы не различаете биометрический образец и биометрический шаблон.
Программный алгоритм обрабатывает полученный биометрический образец, и система сохраняет его в качестве биометрического шаблона в базе данных.
В дальнейшем для доступа к информации или услуге пользователь проходит проверку своей биометрической характеристики с помощью регистрирующего устройства. Система сравнит эту биометрическую характеристику с имеющимся биометрическим шаблоном с помощью алгоритма сопоставления.
Биометрический образец не используется в качестве биометрического шаблона, иначе точность алгоритмов биометрического распознавания значительно бы зависела от условий сбора пар образцов.
Всё в этом мире - статистическое, но не всё - статическое.
...статистические и динамические методы биометрической аутентификации
Статические, а не статистические.
Если вы думаете, что современные алгоритмы все еще используют контрольные точки, у меня для вас плохие новости. Самое забавное, что в конце статьи вы пишите про сверточные нейросети.
На полученном с камеры изображении выделяются контуры бровей, глаз, носа, губ и другие характерные для человека черты лица. Далее вычисляется расстояние между ними и создается двумерный или трехмерный образ лица.
Существуют разные методы лайвнесс. iPhone, например, разблокируется и без поворота головы.
Сейчас для устранения этой уязвимости используют несколько разных снимков, сделанных с небольшим промежутком. Именно поэтому разблокировка смартфона по лицу происходит не мгновенно: нужно едва заметно покрутиться перед экраном. А еще алгоритмы проводят проверку на свечение и пиксели, характерные для цифрового изображения.
Пассивный однокадровый лайвнесс:
Настолько популярны, что никто не видел ни одного вендора и ни одного внедрения.
Все большее распространение приобретает анализ динамики подписи. Большую популярность набирает метод анализа клавиатурного почерка.
Тоже самое касается ЭЭГ: почему ЭКГ - экзотика, а ЭЭГ - нет?
Зачем передавать на датчики, если можно передавать в канал?
Сигналы ЭЭГ генерируются ионными токами в нейронах мозга, а не основаны на внешних особенностях человека. Невозможно тайно получить ЭЭГ-сигналы в физической форме или синтезировать их, а затем передать на датчики.
Для того, чтобы обмануть биометрию, нужно либо обладать знаниями для кибератаки, либо надеяться, что в системе нет лайвнесс (алгоритмы проверки подлинности биометрии). Так что общедоступная биометрия - не гарант успешной атаки
Face ID - это тоже биометрическая система распознавания лиц.
Название статьи не соответствует тексту. Единственное отличие, которое указано в статье, это где производится биометрическое распознавание (на телефоне или сервере Заказчика).
В результате, это не сравнение биометрических систем, а реклама FaceNeuroVision, которая разработана вашей компанией. Причем плохая реклама, т.к. никаких данных, подтверждающих эксплуатационные характеристики вашего решения, не приводится.
Хочется обратить внимание на несколько ложных/спорных посылок в вашей статье:
1. делается заключение о превосходстве точности биометрической верификации по рисунку вен в ближнем ИК-диапазоне над биометрической верификацией по изображению лица. При этом ваше заключение основывается на сравнении вероятностей ошибок, одни из которых (для изображения лица) измерены Институтом метрологии (а значит, они воспроизводимы и проверяемы), а другие (для рисунка вен) - приведены разработчиком алгоритма.
Замечу, что для измерения FAR = 1Е-7 потребуется не менее 30 млн независимых сравнений свой-чужой, а, как вы пишете, открытых баз, состоящих даже из 1000 образцов рисунка вен в ближнем ИК-диапазоне, не существует. Соответственно, вывод о превосходстве точности не имеет достоверных доказательств;
Хочется также заметить, что результаты алгоритмов биометрической верификации по изображению лица по данным NIST FRVT (FNMR=0.03 при FMR<0.00001), которые вы привели, получены на тестовой базе WILD, которая собрана в некооперативном режиме и имеет большие углы поворота, наклона и отклонения, а также перекрытия, т.е. не так уж и обязательны идеальные условия;
2. статья называется "... в биометрической идентификации", при этом сравниваются эксплуатационные характеристики алгоритмов биометрической верификации и про идентификацию в статье ни слова;
3. в защиту лицевой модальности стоит отметить, что согласно ГОСТ Р 54412 биометрическая характеристика должна обладать универсальностью (наблюдаться у всех людей), люди без рук - есть, живых людей без головы никто еще не видел.
Согласно ГОСТ Р 58624.1 лайвнесс — это свойство или состояние живого индивида,
подтверждаемое анатомическими характеристиками, непроизвольными реакциями,
физиологическими функциями, произвольными реакциями или поведенческими
характеристиками индивида.
Так как мне не хотелось превращать статью в курсовик и промтоперевод, я не приводила это определение явно:
Именно для обнаружения и пресечения таких попыток атак на биометрическое предъявление и предназначен лайвнесс.
Статья состоит на 99% из воздуха и на 1% из всем известного факта, что любой физиологический или поведенческий признак можно использовать для установления личности с определенной вероятностью.
Ни эксплуатационных характеристик разработанной нейросети, ни зависимости их от длины набираемого текста.
Очень несерьезно для компании, придумавшей слово видеоаналитика.
Атака на биометрическое предъявление подразумевает взаимодействие с подсистемой сбора биометрии. Это другой тип атаки
Я не работаю в Ростелекоме. Вы не обидели меня, а просто написали заметку с очевидными ошибками
Вы переживаете, что ваши данные попадут к мошенникам из системы Ростелекома, но у вас ФИО и фотография на сайте Хабра в открытом доступе. Кому нужно красть их у Ростелекома?
Вопрос не в терминологии, а в том, что часть написанного - некорректна
Статья не соответствует духу Хабра. Выглядит даже не анализом, а копипастой из открытых источников. И вот почему:
Не существует термина "биометрическая аутентификация". Перечитайте 572-ФЗ (определены термины аутентификация и идентификация) или ГОСТ (определены термины биометрическая верификация и биометрическая идентификация).
Вы не различаете биометрический образец и биометрический шаблон.
Биометрический образец не используется в качестве биометрического шаблона, иначе точность алгоритмов биометрического распознавания значительно бы зависела от условий сбора пар образцов.
Всё в этом мире - статистическое, но не всё - статическое.
Статические, а не статистические.
Если вы думаете, что современные алгоритмы все еще используют контрольные точки, у меня для вас плохие новости. Самое забавное, что в конце статьи вы пишите про сверточные нейросети.
Существуют разные методы лайвнесс. iPhone, например, разблокируется и без поворота головы.
Пассивный однокадровый лайвнесс:
Настолько популярны, что никто не видел ни одного вендора и ни одного внедрения.
Тоже самое касается ЭЭГ: почему ЭКГ - экзотика, а ЭЭГ - нет?
Зачем передавать на датчики, если можно передавать в канал?
Выводы делайте сами.
Так и здесь биометрия - второй фактор. Первый - логин и пароль от госуслуг.
В чем дыра? Биометрические системы так и работают: вычисляют степень схожести и сравнивают ее с порогом для принятия решения о соответствии
Для того, чтобы обмануть биометрию, нужно либо обладать знаниями для кибератаки, либо надеяться, что в системе нет лайвнесс (алгоритмы проверки подлинности биометрии). Так что общедоступная биометрия - не гарант успешной атаки
И что вы будете делать с воспроизведенными лицом и голосом?
Голосовая биометрия может быть и текстонезависимой (тем более в колл-центре), для биометрии не обязательно нужны цифры
на Хабр полно действительно стоящих статей по биометрии и, прочитав их, вы сразу поймете, почему эта статья к ним не относится
Face ID - это тоже биометрическая система распознавания лиц.
Название статьи не соответствует тексту. Единственное отличие, которое указано в статье, это где производится биометрическое распознавание (на телефоне или сервере Заказчика).
В результате, это не сравнение биометрических систем, а реклама FaceNeuroVision, которая разработана вашей компанией. Причем плохая реклама, т.к. никаких данных, подтверждающих эксплуатационные характеристики вашего решения, не приводится.
В БашГУ разработали то, что ЦРТ разработал в 2016 году
Хочется обратить внимание на несколько ложных/спорных посылок в вашей статье:
1. делается заключение о превосходстве точности биометрической верификации по рисунку вен в ближнем ИК-диапазоне над биометрической верификацией по изображению лица. При этом ваше заключение основывается на сравнении вероятностей ошибок, одни из которых (для изображения лица) измерены Институтом метрологии (а значит, они воспроизводимы и проверяемы), а другие (для рисунка вен) - приведены разработчиком алгоритма.
Замечу, что для измерения FAR = 1Е-7 потребуется не менее 30 млн независимых сравнений свой-чужой, а, как вы пишете, открытых баз, состоящих даже из 1000 образцов рисунка вен в ближнем ИК-диапазоне, не существует. Соответственно, вывод о превосходстве точности не имеет достоверных доказательств;
Хочется также заметить, что результаты алгоритмов биометрической верификации по изображению лица по данным NIST FRVT (FNMR=0.03 при FMR<0.00001), которые вы привели, получены на тестовой базе WILD, которая собрана в некооперативном режиме и имеет большие углы поворота, наклона и отклонения, а также перекрытия, т.е. не так уж и обязательны идеальные условия;
2. статья называется "... в биометрической идентификации", при этом сравниваются эксплуатационные характеристики алгоритмов биометрической верификации и про идентификацию в статье ни слова;
3. в защиту лицевой модальности стоит отметить, что согласно ГОСТ Р 54412 биометрическая характеристика должна обладать универсальностью (наблюдаться у всех людей), люди без рук - есть, живых людей без головы никто еще не видел.
Антиспуфинг: как системы распознавания лиц противостоят мошенникам?
Face Anti-Spoofing или технологично узнаём обманщика из тысячи по лицу
Внимательно читаем одну статью по liveness detection (или не одну)
ВООПБП — вероятность отсутствия ответа на подлинное биометрическое предъявление.
подтверждаемое анатомическими характеристиками, непроизвольными реакциями,
физиологическими функциями, произвольными реакциями или поведенческими
характеристиками индивида.
Так как мне не хотелось превращать статью в курсовик и промтоперевод, я не приводила это определение явно: