21.02.2024

Биометрия не такая надежная, как многие утверждают

Биометрия должна быть одной из основ современной системы аутентификации. Но многие биометрические реализации (будь то сканирование отпечатков пальцев или распознавание лиц) могут быть крайне неточными, и единственный положительный момент, который можно сказать о них, это то, что они лучше, чем ничего.

Кроме того — и это может оказаться важным — того факта, что биометрические данные ложно воспринимаются как очень точные, может быть достаточно, чтобы предотвратить некоторые попытки мошенничества. 

Существует множество практических причин, по которым биометрия не работает должным образом в реальном мире, и недавний пост специалиста по кибербезопасности из KnowBe4, поставщика тренингов по безопасности, добавляет новый уровень сложности к проблеме биометрии.

Роджер Граймс, евангелист по обороне в KnowBe4 объяснил: «Любой поставщик биометрических данных или создатель алгоритма может представить свой алгоритм на рассмотрение. NIST получил 733 заявки на проверку отпечатков пальцев и более 450 заявок на проверку распознавания лиц . Цели точности NIST зависят от обзора и тестируемого сценария, но NIST ищет цель точности около 1: 100 000, что означает одну ошибку на 100 000 тестов.

«Пока что ни один из представленных кандидатов не приблизился к этому, — написал Граймс, резюмируя выводы NIST. — Лучшие решения имеют коэффициент ошибок 1,9%, что означает почти две ошибки на каждые 100 тестов. : 100 000 и, конечно, далеко не цифры, рекламируемые большинством поставщиков. Я участвовал во многих масштабных развертываниях биометрических данных, и мы видим гораздо более высокий уровень ошибок — ложных положительных или ложных отрицательных результатов — чем даже то, что NIST видит в своем лучшем случае. Лабораторное тестирование условий сценариев Я регулярно вижу ошибки в масштабе 1:500 или ниже».

При независимом тестировании многие биометрические данные просто не соответствуют своим обещаниям. Вдобавок ко всему, многие поставщики, в том числе Apple (iOS) и Google (Android), делают маркетинговые выборы в своих настройках, где они выбирают, насколько строгой или мягкой будет аутентификация. Они не хотят, чтобы многие люди неправомерно блокировали свои телефоны, поэтому они решили сделать это менее строгим, фактически давая зеленый свет доступу к устройству большего числа неавторизованных людей.

Помните те видеоролики, в которых телефоны пропускают детей или братьев и сестер пользователя телефона при использовании распознавания лиц? Это большая причина, почему.

Еще одним ключевым фактором является теоретическая точность по сравнению с реальной точностью. Рассмотрим два популярных метода аутентификации телефона: распознавание лиц и отпечатков пальцев. Теоретически распознавание лиц гораздо более проницательно, потому что оно может учитывать большее количество точек данных. Однако на практике этого часто не происходит.

Вы видели, чтобы дети или братья и сестры получали доступ к телефону с помощью отпечатков пальцев? Распознавание лиц связано с освещением, косметикой, сменой прически и десятками других факторов. Ничего из этого не используется при использовании распознавания отпечатков пальцев.

Также есть проблема с расстоянием. При распознавании лиц устройство должно находиться на точном расстоянии от лица, чтобы точно прочитать его — не слишком близко и не слишком далеко. Я лично использую iPhone с Face ID и обычно вижу сбои в 60% случаев. Затем я немного регулирую разницу, и, если мне повезет, мой телефон разблокируется. (Опять же, это не проблема с отпечатками пальцев.)

Примечание: почему многие банковские приложения обрабатывают сканирование чеков (да, некоторые компании все еще используют чеки) более изощренным способом? Приложение обычно говорит вам «поднести телефон ближе» или «отойти назад», прежде чем сфотографирует контрольное изображение. Почему распознавание лиц не может сделать то же самое? 

Не забывайте также, что с точки зрения аутентификации многие биометрические развертывания являются шуткой. Почему? Потому что при сбое биометрической аутентификации доступ по умолчанию осуществляется через PIN-код телефона. 

Другими словами, если вор хочет обойти биометрические данные, все, что ему или ей нужно сделать, это ошибиться один или два раза, а затем иметь дело с более легким для взлома PIN-кодом. В чем смысл? Понятно, что основные производители телефонов используют биометрию не столько для аутентификации или кибербезопасности, сколько для удобства. Это способ получить доступ к устройству без ввода PIN-кода.

Поэтому часть пользователей выступают против биометрии. Если же она есть, то нужно чтобы была защита и с помощью традиционных методов — паролей либо двойной аутентификации.

Как бы банально это ни звучало, Граймс утверждает, что ситуация, вероятно, еще хуже. «Тесты NIST — это наилучшие сценарии. Все они чудовищно неверны. Обещания безопасности преувеличены практически в любой ситуации», — сказал он в интервью  . 

Граймс также выразил обеспокоенность по поводу неизменности биометрии. Если пароль или PIN-код скомпрометирован, можно легко сгенерировать новый пароль или PIN-код. Можно заменить даже физический токен. Так что же произойдет, если биометрические данные будут скомпрометированы? Вы не можете легко изменить свое лицо, сетчатку, голос или отпечаток пальца. 

«После кражи, как вы их возвращаете?» Граймс сказал, добавив, что реверс-инжиниринг биометрических данных вполне возможен. 

Суть проблемы здесь заключается в восприятии и характеристике. Эти биометрические усилия в том виде, в каком они реализованы в настоящее время, не более чем удобство.