Биометрические данные
Технология биометрии может быть разделена на три области: идентификация, верификация и аутентификация. Идентификация используется, когда система хочет знать, кто является пользователем. Проверка заключается в использовании этой биометрической информации для определения, связана ли с пользователем какая-либо другая информация. Наконец, цель аутентификации - понять, верна ли личность, за которую себя выдает пользователь, и разрешено ли ему получать доступ к услугам и данным, которые они запрашивают.
Пример биометрической идентификации может быть использован для определения личности пользователя по базе данных лиц. Базы данных распознавания лиц правоохранительных органов в значительной степени используют эту технологию и могут помочь исследовать видеозаписи с камер наблюдения с большей точностью, чем у человека. Проверка полезна для обеспечения соответствия пользователя и информации, хранящейся в базе данных о них. Аутентификация, пожалуй, является наиболее важной из трех, позволяя авторизованным пользователям получать доступ к конфиденциальной информации, ограничивая доступ неавторизованных лиц.
Один из наиболее важных выводов для любого бизнеса, рассматривающего методы биометрической безопасности, заключается в том, что не всегда разумно полагаться только на одну форму биометрической технологии, то есть на одномодальную. Вместо этого, мультимодальный подход, который использует более одного типа биометрии, намного более безопасен.
Безопасны ли биометрические данные?
В некоторой степени. Биометрическая верификация и биометрическая аутентификация широко распространены, но это не означает, что они являются основой и завершением онлайн-или офлайн-безопасности. Важно отметить, что ни компаниям, ни частным лицам не следует ожидать, что биометрические данные невозможно подделать или взломать.
На самом деле, именно такое самодовольство часто открывает дверь мошенникам – другими словами, неправильное представление о том, что если система использует биометрию, то у кого-либо с гнусными намерениями нет возможности обмануть.
Учетные данные для аутентификации, такие как сканирование отпечатков пальцев или записи голоса, могут просочиться с устройств, серверов компании или программного обеспечения, используемого для их анализа. Также существует высокая вероятность ложных срабатываний и ложноотрицательных результатов. Система распознавания лиц может не распознать пользователя с косметикой или в очках, а также больного или уставшего. Голоса также различаются.
Люди выглядят по-другому, когда просыпаются, или когда пытаются воспользоваться телефоном в людном общественном месте, или когда они сердиты или нетерпеливы. Системы распознавания могут быть обмануты с помощью масок, фотографий и голосовых записей, копий отпечатков пальцев или членами семьи или доверенными коллегами, когда законный пользователь спит.
Эксперты рекомендуют компаниям использовать несколько типов аутентификации одновременно и быстро наращивать, если они видят мошенничество. Например, если отпечаток пальца совпадает, а лицо - нет, или доступ к учетной записи осуществляется из необычного места в необычное время, возможно, пришло время переключиться на резервный метод аутентификации или второй канал связи. Это особенно важно для финансовых транзакций или смены пароля.
Можно ли взломать биометрию?
Да, биометрические данные можно взломать несколькими способами. На самом деле, слово “взлом” для начала может относиться к нескольким методам, хотя в данном контексте оно, скорее всего, описывает способность так или иначе обходить биометрические проверки.
Например, кто-то может взломать биометрические проверки с помощью:
- использование поддельной / синтетической личности с сгенерированными биометрическими данными
- использование технологии глубокой подделки для обмана некоторых проверок
- кража чьих-либо биометрических данных из баз данных
- воссоздание чьей-либо биометрии
- поиск способа обойти проверку биометрии – дыра в системе
- социальная инженерия (путем убеждения жертвы авторизовать их)
Можно ли украсть биометрию?
Да, биометрические данные могут быть украдены. Биометрические показатели, собранные от различных лиц – будь то сотрудники, клиенты или другие пользователи – хранятся в базах данных. Утечка данных в любой из этих баз данных может предоставить хакерам все необходимые маркеры, чтобы выдавать себя за всех, кто в них содержится.
Другой способ “украсть” биометрические данные включает в себя захват их подобия с помощью видео, фотографий или аудиозаписей, чтобы затем воссоздать его, чтобы обмануть биометрическую систему.
Биометрическая подмена и обнаружение живучести
Биометрические системы используются сейчас шире, чем когда-либо прежде. Если вы не знакомы с тем, что такое биометрическая система безопасности, то это метод аутентификации безопасности, который использует уникальные характеристики человека, такие как отпечатки пальцев, голосовые паттерны, распознавание лиц или рисунок радужной оболочки или сетчатки глаза.
Существует бесчисленное количество повседневных ситуаций, в которых вы, скорее всего, столкнетесь с такой системой, от входа в помещения и доступа к компьютерным сетям до разблокировки вашего мобильного телефона и даже во время проверок пограничной и иммиграционной служб. Наиболее часто используемый режим биометрической системы - сканирование отпечатков пальцев. Это потому, что это невероятно безопасная, точная, удобная и экономичная система безопасности, с которой знакомо большинство пользователей.
Однако, как и любая технологическая система, биометрические системы могут стать уязвимыми для атак и взломов, если не будут приняты соответствующие меры безопасности.
Что такое определение живучести?
Обнаружение живучести - это любой метод, используемый для обнаружения попытки подделки путем определения того, является ли источником биометрического образца живой человек или поддельное изображение. Это достигается с помощью алгоритмов, которые анализируют данные, собранные с биометрических датчиков, чтобы определить, является ли источник живым или воспроизведенным. Существуют две основные категории обнаружения живучести:
Активный: Предлагает пользователю выполнить действие, которое не может быть легко воспроизведено с помощью подделки. Она также может включать в себя несколько методов, таких как анализ нажатий клавиш или распознавание говорящего. Последняя может анализировать движение рта для определения живучести.
Пассивный: использует алгоритмы для обнаружения признаков неживого изображения без взаимодействия с пользователем. Получение высококачественных биометрических данных во время регистрации повышает производительность алгоритмов сопоставления и определения живучести.
Один или другой может быть предпочтительнее в определенных сценариях, но обычно они лучше работают вместе.
Обнаружение биометрической живучести и подделки
Биометрия использует уникальные биологические идентификаторы человека для проверки его личности. Эта аутентификация на основе принадлежности представляет собой идеальное дополнение к аутентификации на основе владения (что-то, что есть только у вас) или на основе знаний (что-то, что знаете только вы). Тем не менее, биометрическая аутентификация подвержена “атакам представления”, таким как подделка, которые пытаются обойти процесс биометрической проверки или идентификации. Выполнение презентационной атаки будет варьироваться в зависимости от биометрического способа; то есть, использует ли биометрический метод отпечатки пальцев, лицо, радужную оболочку, голос или биометрические данные нажатия клавиш.
Некоторые методы подделать сложнее, чем другие. Кроме того, мошенники будут использовать разные методы подделки для каждого способа. Следовательно, механизмы, необходимые для обнаружения подделок и других атак на презентацию, также должны быть специально разработаны для данного способа.
Обнаружение живучести полезно не только для аутентификации, но и для проверки личности. Если биометрическая аутентификация включает в себя проверку того, что пользователь является тем же лицом, которое первоначально зарегистрировалось, проверка биометрической личности может быть выполнена как часть процесса регистрации, чтобы убедиться, что заявитель действительно является реальным человеком. Примером может служить использование приложения мобильного банкинга для подачи заявки на новую учетную запись. Данное лицо неизвестно банку, поэтому определение живучести может быть использовано для подтверждения того, что заявитель не пытается открыть мошеннический счет.
Как происходит взлом биометрических данных?
Существуют различные способы взлома биометрических данных, которые варьируются от взлома преступниками баз данных до копирования и воспроизведения чьего-либо лица в виде маски, использования глубоких подделок для копирования отпечатка голоса или копирования стиля набора текста.
То, что они пытаются сделать, по сути, это обойти подкатегорию проверки подлинности - и они попытаются использовать аналогичную методологию.
Давайте взглянем на некоторые реальные методы, о чем свидетельствуют исторические взломы и исследования:
- Взломы баз данных: Во-первых, это тот факт, что информация о биометрических показателях хранится в базах данных. Это фундаментальная часть системы аутентификации, поскольку текущие данные пользователя должны сравниваться с данными, хранящимися в базе данных. А базы данных могут быть взломаны, утечка информации и скомпрометированы из-за плохо реализованной системы безопасности.
- Поддельная / синтетическая биометрия: Биометрия также может быть синтетической. Примером может служить 2013 год, когда Apple, как известно, подверглась взлому отпечатков пальцев. Всего через два дня после того, как фирма выпустила iPhone 5S, немецкий Chaos Computer Club опубликовал в Интернете видео, в котором показано, как они обошли экран блокировки смартфона, используя поддельный отпечаток пальца.
- Глубокие подделки, созданные искусственным интеллектом: общие состязательные нейронные сети (GAN) и другие технологии успешно использовались как преступниками, так и исследователями для убедительного воспроизведения чьего-либо облика в обход проверок. Это может включать в себя глубокие подделки голоса и видеоконтента.
- Украденные биометрические данные: В зависимости от используемого биометрического маркера может оказаться возможным создать копию чьих-либо биометрических данных, например, взяв их отпечаток пальца и повторно используя его, или используя маркеры из украденных фотографий или видео с ними.
- Обход проверок: Иногда опытный мошенник находит лазейки для обхода биометрических проверок, введенных для улучшения доступности или просто по ошибке. Например, они могли бы выбрать “альтернативный” метод аутентификации видеозвонку для пользователей, у которых нет работающей камеры, которую было бы легче обмануть – например, это могло бы дать им возможность использовать бумажную документацию вместо этого.
Методы подмены
‘Подделка’ относится к преступному представлению искусственных копий части биометрических данных в биометрическую систему с целью попытаться получить доступ.
Биометрическая технология настолько безопасна, потому что она использует уникальные данные, которые тесно связаны с человеком, что означает, что будут распознаны только лица, зарегистрированные в системе. Однако в некоторых случаях злоумышленники создают искусственный объект (например, силиконовую копию отпечатка пальца, запись голоса, маску и т.д.) И пытаются скопировать данные человека, чтобы ‘обмануть’ систему.
Мошенники используют различные методы, основанные на используемой биометрической системе; такие как распознавание лиц, сканирование отпечатков пальцев или радужной оболочки глаза.
‘Поддельные пальцы’ могут быть созданы с использованием различных материалов; например, желатина, силикон, латекс и даже клей для дерева, обычно это делается путем снятия оригинального сохраненного отпечатка пальца и нанесения его на "поддельный палец’. Оригинал мог быть предоставлен самим человеком или по незнанию взят с отпечатка, оставленного на стеклянной поверхности методом извлечения. Затем отпечаток будет преобразован в объект для отображения биометрическому считывателю с использованием одного из вышеупомянутых материалов. Затем запрещенный пользователь предъявляет поддельный палец считывателю для попытки доступа.
Этот метод обмана включает в себя представление фотографий и масок читателю для имитации человека, чьи биометрические данные хранятся и распознаются. Это может быть сделано независимо от того, идет ли речь о распознавании ладоней, вен, лица или радужной оболочки. Подобно методу подделки отпечатков пальцев, это может быть сделано независимо от того, согласен на это человек, чьи биометрические данные хранятся, или нет. Этот метод немного менее совершенен, чем другие методы подмены, однако некоторые технологии биометрического распознавания лиц все еще подвержены этому.
Этот метод относится к изображению, сохраненному биометрической системой, которое обрабатывается для соответствия характеристикам лица запрещенного лица с помощью программного обеспечения для преобразования лица. Ранее этот вид обмана был обычным явлением, потому что помещения обычно обслуживались персоналом (с доступом, предоставляемым администратором или охранником), а человеческий мозг не способен распознавать особенности так тщательно, как это может биометрическая система. На сегодняшний день это очень сложный метод подделки, когда дело доходит до ‘обмана’ технологических систем. Это может быть сделано либо путем манипулирования сохраненным изображением, либо с помощью профессионального макияжа со специальными эффектами, чтобы лицо запрещенного лица выглядело похожим на лицо, сохраненное в системе.
Интересно, что идентичные близнецы могут служить подделками друг для друга. В некоторых случаях система распознавания лиц не способна различать лица идентичных близнецов, что теоретически означает, что они могли бы использовать эти системы взаимозаменяемо. Хотя это не всегда обязательно представляет угрозу, это означает, что в определенных ситуациях одна сторона может извлечь выгоду из получения доступа к вещам, которые, возможно, недоступны ей, но их близнецу доступны. Однако некоторые датчики отпечатков пальцев способны различать различия между набором идентичных близнецов, используя усовершенствованные датчики для анализа данных.
В системах распознавания голоса запрещенное лицо может просто использовать запись выступления авторизованного лица. Это можно сделать с помощью телефона или ноутбука. Подобно программному обеспечению для изменения лица, запрещенное лицо может использовать программное обеспечение для изменения голоса для создания транскрипции, распознаваемой читателем, или перенастроить голос другого живого человека, чтобы он звучал как у человека, которого распознает биометрическая система.
Как защитить бизнес от взлома биометрии
Эффективное предотвращение взлома биометрических данных требует многостороннего подхода. Это неудивительно, учитывая совершенно разные используемые маркеры, а также методы, практикуемые мошенниками, и разнообразие стратегий, систем и рабочих процессов биометрической проверки и аутентификации.
Тем не менее, мы все еще можем обсудить некоторые лучшие практики, которые следует учитывать тем организациям, которые рискуют стать жертвами взломов биометрии - а таковыми, к сожалению, являются почти все, кто использует биометрию.
- Рассмотрим искусственный интеллект и машинное обучение: исследователи снова и снова обнаруживали, что ИИ может эффективно выявлять подделку биометрических данных. Фактически, исследование ID R & D, проведенное в феврале 2022 года, показало, что модули искусственного интеллекта более искусны в выявлении подделки биометрических данных, чем люди, с 0% против 30% ложноотрицательных и положительных результатов в целом. Машины также были быстрее в этом.
- Не полагайтесь только на биометрию: Биометрия может быть относительно простым методом аутентификации пользователя, но она гораздо более надежна в качестве одного из факторов в системе многофакторной аутентификации (MFA), чем автономный однофакторный рабочий процесс.
- Собирайте больше данных без лишних сложностей: В дополнение к информации, которую возвращает биометрический датчик – будь то подпись, радужная оболочка глаза, голос и т.д. – убедитесь, что вы также собрали больше данных. В зависимости от настроек, это могут быть дополнительные биометрические метки, настройки компьютерного оборудования и программного обеспечения, информация об IP-адресе или даже цифровые отпечатки ног. Используйте это для создания более полных профилей человека, чтобы предотвратить ложноотрицательные результаты.
- Внедрите программное обеспечение для предотвращения мошенничества: Сложное программное обеспечение для обнаружения и предотвращения мошенничества сочетает в себе несколько подходов к пониманию того, является ли кто-то тем,за кого он себя выдает, собирая все данные, включая биометрию и другие результаты, для оценки риска, отражающего, насколько опасным может быть человек. Более рискованные случаи могут быть запрошены для дальнейшей проверки или рассмотрены вручную человеком.
- Повышайте осведомленность пользователей: даже лучшие алгоритмы машинного обучения не подходят для мошенничества в области социальной инженерии, и многие взломы биометрии основаны на них – как на уровне убеждения субъектов предоставить доступ к их характеристикам, так и для обмана привратников. Убедитесь, что ваши клиенты, персонал или другие пользователи осведомлены о рисках и типичных схемах в вашей организации.
Как защитить от взлома биометрических данных личность
Для частных лиц эффективная профилактика взлома биометрических данных основывается на четырех ключевых принципах:
Во-первых, защитите свою личность. Для этого необходимо помнить о том, где вы храните конфиденциальную личную информацию и официальную документацию, такую как паспорта и удостоверения личности. Кража личных данных в электронной коммерции, банковском деле и других отраслях может включать биометрию, а также другие методы проверки.
Убедитесь, что вы включили MFA там, где это возможно, поэтому, даже если кому-то удастся воспроизвести ваши функции, им все равно понадобится по крайней мере еще один фактор, чтобы получить доступ к вашим учетным записям.
Будьте бдительны и используйте сложные пароли. Мошенники всегда выбирают самый прямой путь к месту назначения – самый простой способ достичь своей цели. Это означает, что они, скорее всего, попытаются использовать социальную инженерию, атаки методом грубой силы или даже серфинг с плеча, чтобы взломать ваш пароль, например, прежде чем пытаться взломать биометрию.
Будьте в курсе лучших практик. Например, если вы используете биометрию для получения доступа к своему телефону, физическому пространству или для того, чтобы подтвердить, кто вы такой, в своем банке, неплохо убедиться, что вы знакомы с советами и инструкциями, специфичными для этих систем, которые предоставили организации. Вы будете лучше защищены.
Как ИИ может улучшить системы биометрической аутентификации
Когда дело доходит до безопасности, повышение точности и эффективности систем биометрической аутентификации не всегда может быть достигнуто с помощью человеческого программирования. Искусственный интеллект и машинное обучение могут помочь нам сделать наши системы более безопасными и эффективными. Биометрические технологии можно разделить на две области: физическую и поведенческую.
Физическая биометрия включает в себя объективные характеристики человека, такие как его лицо или отпечатки пальцев, ДНК и многое другое. Это должно быть преобразовано в данные, которые могут быть проанализированы системой ИИ и сравнены с базой данных для целей аутентификации.
Один из случаев, когда AI и ML оказываются наиболее полезными, - это распознавание лиц. Широко используемый в решениях дополненной реальности, ИИ может помочь значительно упростить распознавание лиц компьютерами, анализируя черты лица и сопоставляя их с базой данных.
Одной из наиболее интересных тенденций, которые делает возможными искусственный интеллект, является поведенческая биометрическая технология. При этом используются уникальные поведенческие характеристики того, как они взаимодействуют с миром, вещи, которые пользователь может даже не осознавать о себе. Это одна из наиболее эффективных линий защиты от попыток глубокого поддельного мошенничества. Некоторые из наиболее популярных способов измерения поведенческих биометрических данных следующие:
- Активность мыши
- Движение нажатия клавиши
- Размер, площадь и нажим нажатия на сенсорном экране
- Движение мобильного устройства
Вполне возможно, что поведенческая биометрия может использоваться без ведома пользователя, устраняя необходимость в раздражающих тестах на человечность пользователя, как это делали проблемы с КАПЧЕЙ в течение многих лет. В ближайшие несколько лет пользователям, возможно, больше никогда не придется нажимать на фотографии пешеходных переходов и светофоров, чтобы доказать, что они "не робот", во время просмотра Интернета.
Важно отметить, что поведенческая биометрия может помочь в обеспечении безопасности на протяжении всего сеанса. Например, если пользователь аутентифицирует себя, а затем покидает помещение, невольно позволяя неавторизованному пользователю получить доступ к своему компьютеру, это может представлять серьезную угрозу безопасности. Однако поведенческая биометрия может обнаруживать непоследовательное поведение второго пользователя и динамически ограничивать его доступ.
Выводы по биометрии
Подводя итог, биометрия остается растущим способом проверки личности в системах кибербезопасности. Комбинированная защита ваших физических или поведенческих подписей с другими способами аутентификации обеспечивает одни из самых надежных известных средств безопасности. На данный момент это, как минимум, лучше, чем использование пароля на основе символов в качестве отдельной проверки.
Биометрическая технология предлагает очень привлекательные решения для обеспечения безопасности. Несмотря на риски, системы удобны и их трудно дублировать. Кроме того, эти системы будут продолжать развиваться в течение очень долгого времени в будущем.
Оставьте заявку на сайте и менеджер вам перезвонит.
Мы можем назначить видеоконференцию или приехать лично для обсуждения деталей.