Авторизация по биометрическим данным

Есть мнение, что авторизация по биометрическим данным очень уязвима. На фоне моды и очевидных удобств на это сейчас особо не обращают внимания, но очевидность серьёзных проблем биометрической авторизации лежит на поверхности.




1. Самое очевидное — в отличие от авторизации на логин/пароле или картах с некими секретными кодами и т.д. биометрическая авторизация очевидным образом не содержит по-настоящему секретные данных. Образец лица, голоса, отпечатков пальцев, радужную оболочку получить очень несложно. В отличие от пароля, хранящегося в голове. Ну правда, чтобы выведать секретный пароль, надо очень постараться или же нужно чтобы объект разведки был сильно глуп. Пароль умного человека — практически невозможно узнать без методов терморектального криптоанализа. Кто знает, тот поймёт:)

А вот биометрические данные получить или легко или очень легко. Это вообще не проблема.

2. При всей защищенности, данные авторизации тем не менее могут быть скомпрометированы. Пароль поменять легко. А вот лицо, голос и другие биометрические данные сложно. А вообще практически невозможно. Вывод простой. Мир несовершенен, но скомпрометированную авторизацию паролем легко быстро поменять, а компрометированную биометрию нельзя. Это также снижает надёжность.

3. Биометрия — не абсолютно уникальна и не абсолютно точна. Есть очень похожие люди. Биометрическая система авторизации их может перепутать. И наоборот. Даже один и тот же человек не абсолютно одинаков постоянно. Может не узнать:) А если будет делать допущения, на изменчивость — сильно расширяет вероятность фальсификации.

4. Следствие пункта 1. Биометрические данные ЛЕГЧЕ фальсифицировать. Особенно с учётом развития нейронных сетей и других технологий. Голос можно подделать, лицо можно заметить реалистичной маской, радужную оболочку линзой, отпечатки пальцев силиконовой накладкой. А с учётом того, что алгоритм распознаёт видео по (сюрприз!) видеопотоку, то достаточно поменять вход данных на камеру. Или на микрофон. И все.

5. И наконец. Цитата: «Снять с бесчувственного тела» (с). Биометрию также легче использовать без желания субъекта. Пароль можно скрыть, даже если попал в руки врагов. Лицо и пальцы не скроешь. Могут насильно авторизовать.

Ну и т.д.

В общем, я конечно не против некоего эволюционного отбора, кому хочется поэкспериментировать — флаг в руки. Но тем не менее, скажу — очень не рекомендую делать биометрию единственным способом авторизации для серьёзных вопросов. Расплата может быть будет не скорой, но впечатляющей:) Если вы конечно того стоите.

Хорошее приложение биометрии — усиление авторизации по паролю или материальному носителю с секретным ключом. Как единственный способ авторизации биометрия просто зияющая дыра.

17 июля 2021 г.

Рекомендованные статьи