Биометрическая аутентификация: удобство или безопасность? Голосовая биометрия. Краткий обзор технологии Быстрая идентификация по ДНК

Идентификацию личности по голосу с целью предоставления доступа к данным называют голосовым замком. Каждый человек обладает уникальным голосом, который не может быть подделан.
В отличие от материального идентификатора личности (токен, смарт-карта, жетон) или пароля, которые могут быть утеряны или намеренно переданы злоумышленникам, биометрические технологии, используемые для информационной безопасности, являются неотъемлемыми. А значит, обеспечивают больший процент надежности того, что доступ к данным получит «правильный» человек.

Сотрудник «Центра речевых технологий» довольно легко сумел получить сведения о состоянии счета своей жены в контактном центре её банка. Достаточно было позвонить в банк, назвать пароль и ее паспортные данные, чтобы оператор, следуя инструкциям банка, сообщила ему секретную информацию своего клиента.

Этого бы не произошло, если бы идентификация личности владельца счета проводилась по биометрическим признакам. В данном случае, при разговоре по телефону идентификация могла бы быть проведена по голосу. При этом голосовая биометрия заметно выделяется по надежности и удобству среди других модальностей: идентификации по форме лица, отпечатков пальцев, сетчатке глаза.

Во-первых, голосовая биометрия является бесконтактной и обеспечивает возможность удаленной идентификации и верификации клиента. А это делает ее удобной при использовании в колл-центрах.
Во-вторых, для регистрации клиентов банка в базе данных контактного центра не требуется специальных устройств, чтобы получить биометрические образцы. Запись голосового пароля ведется с любого доступного устройства, снабженного микрофоном, будь то гарнитура, стационарный или мобильный телефон или смартфон.

Наконец, голосовая биометрия легко объединяется с биометрией по лицу, обе эти модальности являются бесконтактными, что удобно при удаленной идентификации. Мультимодальная биометрия обеспечивает 100% точность идентификации личности.

В настоящий момент мы проводим пилот в одном американском банке по внедрению мультимодального биометрического доступа со смартфонов клиентов. Специальное приложение банка, разработанное под Android, регистрирует клиента в системе путем фотосъемки лица на смартфон и записи парольной фразы. Далее заполняется небольшая анкета с персональными данными клиента. Для того чтобы войти в мобильный банк, клиент фотографирует себя, говорит в смартфон парольную фразу, система ищет совпадения в своей базе данных, а затем открывает доступ к страничке мобильного банка со счетом.

Способы применения идентификации по голосу в банках

Если же идентификация ведется по паролю (текстозависимая), то при регистрации в системе клиент либо говорит статичную парольную фразу, по которой будет проводиться его идентификация в дальнейшем. Или парольная фраза может быть динамичной. В этом случае клиент повторяет за системой случайные элементы в определенной последовательности, например: «34, 52, 84».

2. Электронная цифровая подпись для подтверждения сделки. Внедрение голосовой подписи (подтверждения личности клиента по голосу) в качестве дополнительной услуги контакт-центра позволит повысить безопасность платежных операций и уровень удовлетворенности клиентов. Реализация такого инструмента возможна при автоматическом вызове клиента и проведении процедуры голосовой верификации при попытке совершить транзакцию. Образец голоса абонента сравнивается с образцом из базы, в случае успешной идентификации транзакция разрешается.

3. Ликвидация угроз мошенничества. Не секрет, что существует определенный набор лиц, для которых регулярное совершение мошеннических действий в отношении банков является основным средством заработка. А поскольку личное присутствие держателя счета в офисе банка во многих случаях предоставления услуг не обязательно, то мошенники могут безнаказанно повторять свои схемы удаленно значительное количество раз в одном и том же банке. Анализ голоса в таких случаях оказывается практически единственным способом своевременно выявить потенциальные мошеннические действия, и, как следствие, сократить прямые убытки от таких действий. С помощью технологии идентификации диктора можно сравнивать голоса совершающих звонки в контакт-центр с некоторым списком потенциальных мошенников или между собой.

4. Укрепление внутренней информационной безопасности. Инсайдерские угрозы и вопросы минимизации данных рисков традиционно актуальны для руководителя службы информационной безопасности любого банка, так как несанкционированный доступ к конфиденциальным ресурсам (счета и персональные данные клиентов, финансовые отчеты, банковские приложения) и утечка корпоративной информации могут выражаться в колоссальных потерях — как финансовых, так и репутационных. Одним из самых эффективных решений данной проблемы может быть внедрение системы биометрической идентификации сотрудников.
Вне сомнений голосовая биометрия найдет свое применение во многих странах мира. Российские речевые технологии достигли такого уровня развития, что способны проводить высококачественную удаленную идентификацию по биометрическим признакам клиента банка.

Если еще недавно биометрическая идентификация держателей банковских карт считалась экзотикой, то сейчас она стала совершенно привычной для десятков и сотен тысяч пользователей в Бразилии и Индии, Польше и Саудовской Аравии, Японии и Колумбии.

Клиенты рассчитывают на многоканальность и ожидают получить удобный, знакомый и безопасный сервис вне зависимости от того, какой канал или интерфейс они используют. Банкам придется инвестировать в развитие интегрированной архитектуры и предлагать удобный доступ и высокую безопасность данных и финансовых средств клиента.

И протяжные и контактные сканеры могут использовать любую технологию описанную ниже.

Емкостные сканеры

Устройства с емкостными сенсорами - цена от 2 976 рублей

Технология емкостного сканирования, позволяет получать изображение отпечатка за счет разности электрических потенциалов на отдельных участках кожи. Данные устройства несколько дешевле, но более уязвимы по сравнению с оптическими: достаточно простого пробоя (вызванного, например, разрядом статического электричества), чтобы элементы сканирующей матрицы вышли из строя и качество распознавания ухудшилось.

Пассивные емкостные сканеры

Именно пассивные емкостные сенсоры отпечатков пальцев чувствительны к статическим разрядам, а также к сухой или поврежденной коже пальца. Но довольно хорошо справляются с различными условиями освещения.
Основное ограничение пассивных емкостных сенсоров - требования к минимальной толщине защитного покрытия, так как они основаны на анализе статических зарядов между пальцем и датчиком.




Емкостные сенсоры невозможно обмануть, просто распечатав изображение папиломного рисунка на бумаге. Более значимое преимущество емкостных сканеров заключается в том, что они более компактны и поэтому легко интегрируются в портативные устройства. Именно за счет этой их особенности они и получили в данный момент самое широкое распространение в смартфонах .
Несмотря на сложности, взлом емкостного сканера вполне возможен, достаточно распечатать отпечаток пальца в высоком разрешении на токопроводящей бумаге , также потребуется специальный принтер и токопроводящие чернила. Вот по разблокировке такого сканера встроенного в смартфон от наших друзей из мичиганского университета. Хотя конечно нужно отметить, что получить отпечаток пальца сложнее чем его распечатать. Есть два типа емкостных сенсоров: пассивные (каждая ячейка сенсора имеет лишь одну из пластин конденсатора) и активные (ячейка сенсора содержит обе пластины конденсатора).

Активные емкостные сканеры

Активный метод имеет следующие преимущества: позволяет использовать дополнительные функции обработки образа отпечатка, более высокую устойчивость к внешним воздействиям, имеет более высокое отношение сигнал – шум.

Активные емкостные сканеры менее требовательны к чистоте кожи, к повреждением эпидермиса и к загрязнениям поверхности сенсора. Несмотря на это активные сканеры позволяют получать превосходное качество изображения, даже позволяя выполнять 3D-рендеринг отпечатка пальца, который обеспечивает превосходную безопасность и устойчивость к подделке.
Все это делает активные емкостные сканеры наиболее часто используемым типом емкостных технологий сегодня.

Другим важным преимуществом активных емкостных сенсоров является то, что усиленная передача сигналов между поверхностью отпечатка пальца и сенсором позволяет размещать сенсор за толстым слоем защитного покрытия или даже за стеклом с минимальным снижением производительности.
Кроме этого активные сенсоры позволяют регистрировать электрические импульсы, возникающие при сокращении сердца, что сильно снижает риск использования муляжа. Активные емкостные сенсоры являются одной из самых распространенных технологий считывания отпечатка пальца в настоящий момент.

Оптические сканеры

Совершенное, надёжное и удобное решение – оптическое сканирование. Именно оптические сканеры формируют качественное, полномасштабное и целостное изображение отпечатка; к тому же эти средства комфортны в применении: единственное, что требуется от пользователя, – коснуться поверхности сканера.

Оптические сканеры отпечатков пальцев в настоящее время используют CCD или CMOS матрицы, такие же, как и IP-камеры. Исторически CCD матрицы были намного лучше, чем CMOS, но так как технология CMOS за последние десять лет претерпела значительные изменения, возможности технологии CMOS догнали CCD. И наиболее используемым детектором является все таки CMOS.

Устройства с оптическими сенсорами - цена от 2 484 рублей
Каталог оборудования вместе с ценами размещен на нашем сайте, все представленное оборудование доступно для заказа

Мультиспектральные сканеры имеют лучшие значения FRR < 0.01% и FAR < 0.00001% среди всех сенсоров отпечатков пальцев.

Можно ли подделать, отпечаток пальца?

Наверное самый распространенный вопрос который мне задают.
Простой ответ на вопрос: Некоторые очень просто, достаточно просто распечатать изображения на бумаге, некоторые очень сложно, некоторые невозможно например ультразвуковые. Невозможно, в том смысле конечно, что нам не известно о успешных попытках.

Самым действенным методом, подделки отпечатка пальца является создание муляжа. Для создания муляжа отпечатка пальца могут использоваться - глина, бумага, пленка, но самым лучшим материалом конечно будет силикон, он может быть как прозрачный, так и цвета кожи. Успешная подделка с помощью муляжа возможно только для самых простых сканеров, большинство современных сканеров с этой проблемой справляются.

Существуют ли люди без отпечатков пальцев?

Существуют редкие генетические мутации , при наличии которых у человека может не быть отпечатков пальцев вообще. Люди с синдромом Негели или дерматопатией пигментной ретикулярной формы могут не иметь отпечатков пальцев. Оба заболевания являются формами эктодермальной дисплазии , отсутствие отпечатков пальцев всего лишь один самый безобидный симптом.

Более интересным случаем является адерматоглифия , единственным проявлением этой генетической мутации является отсутствие папиллярного рисунка на пальцах рук и ног, на ладонях и подошвах ног. У этой мутации нет никаких сопутствующих проявлений выраженных в нарушении его нормальной жизнедеятельности или снижении продолжительности жизни. Это означает что адерматоглифия не является заболеванием. Исследование 2011 года показало, что адерматоглифия вызвана неправильной экспрессией белка SMARCAD1 . Что с учетом скорости развития и доступности технологий редактирования генома, может быть использовано как метод избавления от отпечатков.

С высокой вероятностью изменение отпечатков пальцев с помощью технологий редактирования генома станет доступно для злоумышленников в будущем. Редактирования генома человека, может быть использовано для внесения изменений в те участки ДНК которые отвечают за формирование отпечатков пальцев. Еще в 2017 году в США была произведена успешная операция по редактированию генома прямо в теле человека , в том же году американское управление по контролю за продуктами питания и лекарствами (FDA) одобрило одобрило генную терапию для лечения острого лимфобластного лейкоза.

Могут ли быть изменены отпечатки пальцев?

Лекарственные препараты могут привести к исчезновению папиломного рисунка. Отпечатки пальцев могут исчезнуть в результате побочных эффектов от приема некоторых лекарственных препаратов, например - капецитабин (выпускается под брендом Кселода ), противораковый препарат который задокументировано приводил к исчезновению отпечатков пальцев .

Отпечатки пальцев могут быть изменены в результате пластической операции - трансплантации собственной кожи, например со стопы. Следует отметить, что в результате проведенной пластической операции, могут остаться элементы старого папиллярного рисунка, например по краям пальца, с помощью которых все таки может быть проведена идентификация.

Кроме того, по такому отпечатку пальца, может быть видно что он изменен в результате пластической операции. Использование пластической хирургии для изменения отпечатка пальцев является преступлением, в том числе и для лица проводившего хирургическую операцию .

Также папиллярный рисунок достаточно часто пытаются повредить с помощью химических реагентов таких как кислота или щелочь. Джон Диллинджер был одним из самых известных преступников который пытался избавится от отпечатков пальцев с помощью щелочи. Несмотря на все старания именно по отпечаткам пальцев он был идентифицирован после смерти.
Есть и другие вещества способные нанести повреждения коже, но всех их объединяет то, что впоследствии кожа и папиллярный рисунок достаточно хорошо восстанавливаются. И такие методы, как правило, не приносят ничего своим владельцам, кроме страданий.

Физическое повреждение отпечатков пальцев , еще один болезненный способ избавится от отпечатков пальцев, который как правило ни к чему не приводит. Первый задокументированным случаем срезания отпечатков пальцев предпринял Theodore Klutas , после убийства которого полиция обнаружила что каждый его отпечаток был срезан ножом, что впрочем не помешало его идентификации так как осталось достаточно папиллярного рисунка по краям пальца для успешной идентификации.

Возрастные изменения , происходят во всей площади кожи человека, в том числе и на подушечках пальцев. С возрастом уменьшается эластичность кожи, уменьшается высота гребней папиллярного узора, и другие изменения, всего более 30.
Несмотря на это, степень возрастных изменений слишком незначительна чтобы затруднить идентификацию, об этом свидетельствуют ряд научных исследований разных лет. Одним из самых значительных является исследование профессора мичиганского университета Anil Jain . Он сравнил отпечатки пальцев 15597 человек полученные с перерывом от 5 до 12 лет, в результате не было выявлено серьезных препятствий для идентификации.
Возрастные изменения, также не представляют проблем для большинства современных автоматизированных средств сбора и обработки отпечатков пальцев.
В некоторых случаях изменение папиллярного узора могут быть связаны со спецификой работы.

Можно использовать палец мертвого человека для прохождения идентификации?

Большое количество биометрических датчиков будут могут быть с успехом разблокированы мертвым пальцем, например это касается большинства смартфонов. Кроме теории об использовании практики разблокировки смартфонов пальцем уже мертвого человека заявляют источники, близкие к полицейским расследованиям в Нью-Йорке и Огайо.

Вопрос возможности использования мертвого отпечатка пальца, может быть одним из важнейших, несмотря на то часто ему не придается какого либо значения. Если производителям биометрических устройств не удастся исключить эту возможность, это может стать источником серьезной опасности получения увечий для владельцев потенциально привлекательных для хищения активов, использование или доступ к которым заблокирован биометрической защитой.
Например, в 2005 году малазийские угонщики автомобилей, отрезали палец владельца Mercedes-Benz при попытке украсть его автомобиль .

Мифы связанные с отпечатками пальцев

Идентификация по рисунку вен

Идентификация по рисунку (Vein Recognition - по английски) вен пальца или ладони основана на получении шаблона при фотографировании внешней или внутренней стороны руки или пальца инфракрасной камерой . Для сканирования пальца или руки используется инфракрасная камера. Рисунок вен становится виден благодаря тому, что гемоглобин (красящее вещество крови) поглощает ИК-излучение и вены становятся видны в камере. Программное обеспечение на основе полученных данных создает цифровую свертку.

Сканеры венозного рисунка - цена от 16 650 рублей
Каталог оборудования вместе с ценами размещен на нашем сайте, все представленное оборудование доступно для заказа.

Распознавание вен или сосудов, как правило, выполняется на ладони или пальце пользователя.

Высокий уровень безопасности и бесконтактное распознавание делают распознавание вен хорошо подходящим для многих применений, требующих очень высокой безопасности .

Что ограничивает области применения, так это размер и стоимость сканеров. Сканеры просто слишком громоздки, чтобы быть встроенными в большинство мобильных устройств, но отлично подойдут для использования в системах контроля доступа. И даже высказывается мнение, что со временем, именно сканеры венозного рисунка, заменят считыватели отпечатка пальца.
Также, идентификация, включающая сопоставление шаблонов 1:N, может занимать значительное время, особенно если база данных содержит большое количество биометрических шаблонов. Это связано с высокими требованиями к обработке шаблонов, так как узоры вен очень сложны.
Одним из решающих преимуществ идентификации по венозному рисунку является трудность несанкционированного получения шаблона.
Достоверность распознавания сравнима с идентификацией по радужной оболочке глаза, хотя оборудование гораздо дешевле. Сейчас активно исследуется и внедряется в СКУД.

Идентификация по лицу

При распознавании лиц (face recognition - по английски) используются различные черты лица, которые вместе использоваться для построения уникального цифрового шаблона. Примерами особенностей лица, которые можно использовать для идентификации, являются форма носа или расстояние между глазами. В общей сложности более используются 80 различных черт.
В распознавании лиц используются различные алгоритмы и технологии для анализа, у нас есть подробнейший лонгридище на эту тему .

Распознавание лиц - новая эра в видеоаналитике
Подробный обзор в нашем блоге, всех нюансов технологии, и обзоры всего современного оборудования для распознавания лиц.

Исследователи зафиксировали ухудшение идентификации после приема алкоголя или ЛСД.

Видео пошагово демонстрирует все этапы создания фальшивого «глаза» и демонстрирует последующий обман Samsung Galaxy S8

Аутентификация по сердечному ритму

Еще недавно аутентификация по сердечному ритму была лишь в списке перспективных решений для биометрической идентификации, уже сегодня мы имеем готовые для коммерческой эксплуатации решения. Сердечный ритм человека характеризуется множеством измеримых параметров - частота, ритмичность, наполнение, напряжение, амплитуда колебаний, скорость пульса.

Компания Numi предлагает уникальный браслет в виде часов для высоконадежной аутентификации.

Устройство может связываться с любыми устройствами поддерживающими технологии передачи данных NFC и Bluetooth.

Считыватели с поддержкой NFC - цена от 7 500 рублей
Считыватели с поддержкой Bluetooth - цена от 3 654 рублей

Принцип работы прост - браслет снабжен двумя электродами, один из которых находится на тыльной стороне браслета, а другой - на внешней стороне. Когда пользователь электрода замыкает цепь, прибор начинает измерять сердечный ритм. Браслет имеет широкие возможности интеграции и может использоваться в информационных системах, системах контроля доступа и промышленных системах контроля.

Среди преимуществ аутентификации по сердечному ритму:
Невозможность использовать в отсутствии реципиента
То есть, если вы потеряете или забудете браслет, никто не сможет его использовать кроме вас.
Невозможность использовать после смерти

Несмотря на все преимущества браслетов для измерения сердечного ритма, один недостаток у них все таки есть. Если обратится к исследованиям в некоторых случаях точность браслетов для измерения сердечного ритма может быть недостаточной.

Компании B-secur удалось совместить идентификацию с мониторингом медицинских данных

Для целей идентификации контроль физического состояния реципиента вторичен, но существует множество применений помимо идентификации, востребован контроль биологического состояния.

Идентификация по ДНК

Анализ ДНК (DNA Biometrics - по английски) становится все более распространенной технологией биометрической идентификации и все чаще используется в криминалистике и здравоохранении.
В отличии от вышеописанным технологий идентификации, идентификация по ДНК может не просто уменьшить затраты, или сделать нашу жизнь проще и безопаснее.

Преимущества идентификации по ДНК:
ДНК является единственной биометрической технологией, которая позволяет установить родственников по не идентифицированному образцу ДНК.
Как и отпечатки пальцев, ДНК является одной из немногих биометрических характеристик человека, которые преступники оставляют, на месте преступления.
Тестирование ДНК является относительно зрелой, и динамично развивающейся технологией, которая широко используется и знакома общественности.
Устройства быстрой идентификации по ДНК, делают возможной проведение секвенирования всего за 90 минут
Возможно легко хранить большое количество результатов анализа ДНК в базах данных, это позволяет накапливать данные и быстро производить поиск автоматизированными средствами.

Повсеместное внедрение технологии идентификации по ДНК может реально спасать жизни людей , например людей несправедливо осужденных.
На самом деле нигде в Мире нет достоверной оценки данной проблемы, американские эксперты дают осторожную оценку от 2,3 до 5% всех заключенных являются невиновными. В США заключенных более 2 миллионов человек , значит речь может идти о более чем 100 тысяч невинно осужденных только в США. Сколько несправедливо осужденных в России никто даже считать не пытается, можно лишь упомянуть что Россия является лидером в Европе по числу как заключенных в целом, так и по количеству заключенных женщин. А дальше как говорит один телеведущий: - Выводы делать только вам.

На данный момент, опять таки в США, чисто технически анализ ДНК возможен в 5-10% уголовных дел. Дело в том что еще недавно процесс секвенирования полного генома был делом долгим и дорогим. Кроме того классическая ДНК-дактилоскопия не могла выявить отличия между близнецами. Современные технологии позволяют выявлять те незначительные отличия которые существуют даже у близнецов . Все это может существенно повысить процент уголовных дел в которых возможно использование анализа ДНК.

Американская некоммерческая организация « Innocence Project » специализируется на предоставлении доказательств невиновности с помощью идентификации по ДНК. На данный момент « Innocence Project » добилась освобождения 362 несправедливо осужденных , 20 из которых были приговорены к смертной казни.

Одной из широко известных история является история Стива Тайтуса, благодаря Элизабет Лофтус мы знаем душераздирающую историю Стива и знаем о причинах которые приводят к необоснованным обвинениям. И дело здесь не только в непогрешимости судебной системы, к которой тоже есть много вопросов.

Дело в особенностях работы нашего мозга, которые получили названия конфабуляция или ложные воспоминания. Люди (как правило это сама жертва) на свидетельских показаниях которых строилось обвинение не обманывают, они искренне считаю правдой то что говорят.
Самой крупной базой данных ДНК как нетрудно догадаться, обладает Китай - 54 миллиона профилей на 2016 год. На создание базы данных уже потрачен не один миллиард юаней.

Технологии анализа ДНК существенно расширяют возможности полиции по поиску преступников. Например удалось поймать серийного убийцу женщин, личность убийцы удалось установить после того как в рамках проводимых в Китае диспансеризаций был произведен анализ ДНК его дяди.

Еще один пример идентификации преступника после анализа ДНК его родственников. На убийцу двух бизнесменов на территории уезда Цяньвэй, удалось выйти после того как были собраны образцы ДНК у всех учащихся мужского пола в этом уезде.

Израильские генетики провели любопытный эксперимент, показавший, что личность произвольного гражданина США можно установить по одному образцу ДНК в 60% случаев, используя только частные геномные базы данных. Их выводы были представлены в журнале Science .

Сегодня, особенно бурно развиваются компании, такие как 23andMe, Family Tree, Ancestry и прочие их конкуренты, вычисляющие родственные связи между своими клиентами и определяющие их предрасположенность к разным болезням по образцам их ДНК.

Услугами подобных стартапов сегодня пользуются миллионы людей в США и в других развитых странах мира, благодаря чему они накопили одни из самых больших генетических баз данных в мире. Их данные сегодня используются учеными для поиска генов, связанных с редкими наследственными болезнями, а также множества других целей.

Эти оценки были взяты из Вики сравнения аутосомных ДНК ISOGG .

Быстрая идентификация по ДНК

Современные технологии быстрой идентификации по ДНК позволили сократить процесс секвенирования до 90 минут. А применение портативных устройств с автоматической обработкой, позволяет проводить анализ в полевых условиях, даже неподготовленным персоналом, достаточно предварительного часового обучения.
Самое миниатюрное устройство секвенирования ДНК MinION уже готов для коммерческого использования.

Обычно устройства для портативного анализа обычно стоят от 350 000 до 450 000 долларов США.
Дополнительные одноразовые комплекты обработки стоят от 250 до 350 долларов США за штуку.

Еще 18 августа 2017 президентом США Дональдом Трампом был подписан так называемый закон о быстрой ДНК - Rapid DNA Act of 2017 . Этот закон позволит правоохранительным органам, в соответствие со стандартами и рекомендациями ФБР, проводить анализ ДНК в режиме реального времени во время задержания, при регистрации данных в полицейских участках.

Мультимодальная биометрическая идентификация

Биометрические методы идентификации могут сочетаться друг с другом - мультимодальная идентификация значительно повышает безопасность объекта, так как количество возможных ошибок, в целом присущих биометрическим системам, снижается.

Например устройство считывания радужной оболочки глаза, может считывать радужку с одного глаза, так и одновременно считывать радужку с двух глаз.

Поведенческая биометрия

Что бы мы ни делали, имеет свой особый уникальный почерк. То, как именно вы держите смартфон, свайпаете, тапаете, печатаете, скроллите и водите мышкой, создаёт уникальную комбинацию параметров, этакий цифровой почерк. Некоторые банки используют эту технологию (behavioral biometrics) для дополнительной верификации пользователей. Это удобно - от пользователя ничего не требуется, он просто делает то, что и всегда, а система трекает, нет ли ничего необычного в его действиях. По отклонениям от обычного поведения можно предположить, что пользователь не тот, за кого себя выдаёт.

Королевский банк Шотландии использует поведенческую биометрию уже два года. Технологию обкатали на отдельных аккаунтах состоятельных пользователей, а теперь выкатывают на все 19 миллионов частных и корпоративных клиентов. Софт записывает более 2000 параметров: угол наклона смартфона, палец, которым пользователь свайпает и тапает, скорость скролла.
Для десктопных пользователей - ритм нажатия клавиш и стиль управления мышкой. Эти параметры составляют поведенческий профиль пользователя, с которым потом сравниваются его движения при каждом новом логине.

Однажды система заметила необычное поведение на аккаунте одного из богатых пользователей. Пользователь скроллил с помощью колесика мышки и печатал цифры на основной клавиатуре, чего за ним никогда раньше не замечалось. Система заблокировала операции этого пользователя и не дала ему вывести семизначную сумму. Дальнейшее расследование показало, что аккаунт действительно взломали. Интересная технология, в общем. Подробнее - в тексте NYT .

Откуда сайт знает, под каким углом вы держите смартфон в руках? Всё просто: сайты имеют доступ к гироскопу вашего смартфона. Можете сами убедиться , а заодно узнать, какую ещё информацию о вас может узнать любой сайт, на который вы зайдете.

Голосовая биометрия

Использование биометрии по голосу человека сложнее и интереснее чем использование большинства биометрических признаков. Неслучайно глава Мейл.ру Дмитрий Гришин еще в 2016 году в беседе с Тиньковым говорил, что технология распознавания голоса произведет революцию. Медленно, но верно мы движемся в этом направлении, постоянно появляются новые голосовые помощники, например, Яндекс в этом году выпустил Яндекс станцию.

Поэтому, классическая технология идентификации по голосу, возможно, не будет здесь главной скрипкой, отдельно выделяется гораздо более интересное направление распознавания голоса.

Идентификация по голосу

Метод распознавание по голосу идентифицирует личность человека по совокупности уникальных характеристик голоса. Алгоритмы анализируют главные признаки, по которым принимается решение о личности диктора: голосового источника, резонансных частот речевого тракта и их затуханий, а также динамикой управления артикуляцией.
Первый международный патент на систему идентификации по голосу был подан в 1983 году, исследовательским телекоммуникационным центром CSELT (Италия) за авторством Michele Cavazza и Alberto Ciaramella .
В мае 2013 года банковское подразделение Barclays, начали использовать систему идентификации клиентов по телефону. в течение первых 30 секунд обычного разговора. Система была разработана компанией Nuance .

Разработчики систем идентификации по голосу

Nuance , США
Nok Nok Labs
VoiceVault , американская компания с центром исследований и разработок в Великобритании
Sensory, Inc , США
Группа компаний ЦРТ , Россия
Инновационный технологический центр «Система-Саров» , Россия
BioLink , Россия
АСМ Решения , Россия
ValidSoft
Auraya Systems
Authentify
KeyLemon
Verint Systems
VoiceTrust

Общепризнанным лидером рынка является компания Nuance, их решения использует Аэрофлот , распознавание речи Siri основано на их разработках . Однако, поскольку голос человека может меняться в зависимости от возраста, эмоционального состояния, здоровья, гормонального фона и целого ряда других факторов, метод не является абсолютно точным.
Кроме этого голос может системы идентификации по голосу испытывают проблем с идентификацией близнецов, именно так корреспондентам BBC удалось обмануть систему идентификации по голосу банка HSBC. Но это все детские болячки, с которыми разработчики постепенно научились бы справляться. Но современные возможности искусственного интеллекта и специфика использования голосовой идентификаций ставят под сомнение целесообразность использования.

Журналисты из Bloomberg сделали сюжет о компании Lyrebird которая который использует искусственный интеллект для клонирования человеческих голосов с пугающей точностью. Нейросеть создает его цифровую модель вашего голова на основе 30 коротких примеров. Далее, вашим голосом можно озвучить любой текст. Вы можете создать цифровую модель своего голоса, на сайте, такая возможность доступна после регистрации на сайте компании , но только на английском языке.
Самый смешной момент в сюжете - журналист звонит своей маме и говорит с ней голосом сгенерированным искусственным интеллектом, мама не замечает подвоха. Смотрите сами.


Американская компания Pindrop Security специализирующаяся на разработке решений для безопасной аутентификации по голосу, в своем отчете указывает что количество мошеннических звонков значительно растет . В 2017 на каждые 638 звонков приходился 1 мошеннический .
График прост мошеннических звонков, данные представлены в формате 1 мошеннический на каждые N звонков.


Голосовая идентификация одна из самых притягательных для идентификации, но существующие на данный момент проблемы должны быть как минимум учтены при внедрении в работающие бизнесы. Например распознавание голоса может быть эффективно использовано как дополнительный метод, например, к распознаванию лиц.

Распознавание голоса

По прогнозам Adweek, к 2019 году рынок платформ распознавания голоса достигнет 601 млн. долларов, а к концу 2022-го - 40 млрд. Всё потому, что людям проще разговаривать, чем набирать текст, и им нужны голосовые помощники, поддерживающие привычное общение.

На рынке уже есть много помощников: Amazon Alexa, Google Assistant, Cortana, Bixby, «Алиса», SoundHound, Apple Siri, X.ai и другие. Такие инструменты расширяют возможности не только людей, но и брендов - это подтверждают примеры использования Google Ассистента.

Внедрение устройств голосового управления в автомобили - одна из тенденций, ведущих к глобальным изменениям в автомобильном секторе. Такие устройства смогут централизованно управлять большинством функций автомобиля с помощью человеческим голоса, устраняя необходимость использования кнопок, циферблатов и переключателей. Используя устройства распознавания голоса, потребители смогут легко управлять целым рядом функциональных возможностей автомобиля, что более комфортно и позволяет не отвлекаться от непосредственного процесса управления автомобилем, концентрируя внимание на вождении. Внедрение таких технологий будет расти в ближайшем и среднесрочном периоде.

Походка

Одна из самых передовых биометрических технологий, которая станет доступна в 2018 году. Если вы смотрели фильм «Миссия невыполнима 5», вы уже знаете, как это работает. Короче говоря, он сканирует, как люди ходят и двигаются. Поскольку у всех есть уникальный стиль ходьбы и движения, это новая технология, которая будет определять будущее биометрии с 2018 года.

Например, обнаружение походки или идентификация человека по ходьбе проводились десятилетиями без особого прогресса - до сих пор. Недавние достижения в точности, ставшие возможными благодаря ИИ, превратили обнаружение походки в нечто жизнеспособное. Ранее в этом году исследователи из Манчестерского университета достигли точности 99,3%, согласно статье, опубликованной в журнале « Операции по анализу образов и машинному интеллекту (TPAMI) ». Система анализирует шаги отдельных людей, используя датчики пола и ИИ, получение последнего процента точности часто является наиболее сложной задачей.

Компрометация биометрических данных

Как известно не существую систем которые бы гарантировали стопроцентную защиту от утечек, как известно хакерам удавалось проникать на объекты отрезанные от внешнего мира, например ядерные объекты Ирана и России .

Поэтому было бы самонадеянно, исходить из того что базы данных с биометрическими данными останутся не скомпрометированным, хотя конечно никто не отменяет, что к этому нужно стремится.

Особое значение компрометация биометрических баз данных будет иметь при использовании биометрических данных для аутентификации. Дело все в том что биометрические признаки неизменяемы, т.е. украденный (скомпрометированный) признак нельзя будет заменить, так же просто как скомпрометированный пароль.

В этом смысле, пароль будет иметь преимущества над биометрией, потому что пароли могут быть заменены на новые при компрометации, а биометрические признаки человека как известно неизменяемы, именно поэтому они так удобны для идентификации.

Криптозащита
Помимо криптозащиты биометрических идентификаторов, которая считается уже традиционной в хороших системах использующих биометрические признаки, существует еще множество способов обезопасить хранение биометрических идентификаторов.

Отменяемая биометрия
Метод «отменяемой биометрии » суть которого сводится к постоянному повторяемому искажению биометрического признака. Если биометрический признак скомпрометирован, характеристика искажения изменяются, тем самым мы получим новый уникальный (отличный от скомпрометированного) шаблон, который будем использоваться впоследствиии.

Использование хешей
Ну, и третий метод широко применяемый для защиты биометрических данных, сводится к тому что в базе данных хранятся только хеши биометрических признаков, и не хранится сам изображение эталон. Этот способ хорош еще и тем что не подпадает под закон о защите персональных данных. Т.к. данные отпечатков пальце хранятся в виде односторонней хеш-функции, т.е. даже имея хеш вы не сможете восстановить по нему биометрический идентификатор, например отпечаток пальца или любой другой.

Хотя нужно отметить что скомпрометированные хеши тоже могут быть использованы злоумышленниками, все зависит от настроек системы.

Распределенные системы хранения
Архитектура системы хранения сама по себе является значимым фактором. Все централизованные системы хранения данных в том числе и биометрические были скомпрометированы.

Хороший пример использования всех возможностей для защиты биометрической системы аутентификации реализовала компания Apple.

Законодательство

Гражданский кодекс РФ, запрещает использовать изображение человека без его согласия.
Федеральный закон «О персональных данных» N 152-ФЗ , является основным в сфере защиты прав субъектов персональных данных.
Приказ ФСБ РФ от 16 декабря 2016 г. N 771 , Об утверждении порядка получения, учета, хранения, классификации, использования, выдачи и уничтожения биометрических персональных данных об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющих установить его личность, получения биологического материала
и осуществления обработки геномной информации в рамках осуществления пограничного контроля.
Приказ ФСТЭК от 14 марта 2014 года N 31 , Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
Приказ ФСТЭК от 18 февраля 2013 года N 21 , Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Приказ ФСТЭК от 11 февраля 2013 года N 17 , Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
ГОСТ Р ИСО/МЭК 19794-8-2009 . Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 8. Данные структуры остова отпечатка пальца

Дьявол в деталях

Как и почти во всех направлениях - выбор производителя оборудования, это первый краеугольный камень успеха любого проекта.

Видя растущий спрос, сотни компаний устремились в эту нишу, и сотни уходят из нее через год два, срубив немного денег на волне повышенного спроса. Это и модные стартапы особенно китайские, так и OEMщики особенно российские. Прекрасный образчик такого прекрасного OEMа бренд Tantos, контроллеры которого . Они тоже имеют свою линейку биометрии . И таких сотни.
И это еще пол беды, стартап (маленькую компанию с небольшим оборотом) при внимательном изучении еще можно распознать. OEM тоже распознается средними усилиями (внимательно изучайте документацию и сертификаты).

Сложнее распознать действительно крупную и известную компанию, единственная компетенция которой пускание пыли в глаза, здесь нужно смотреть на совокупные финансовые показатели, и на качество предлагаемых решений.

Например FST Biometrics (израильская компания) закрывается через 11 лет работы. А как все громко начиналось. Компания была основана Aharon Zeevi Farkash, бывшим генерал-майором израильской разведки, с бывшим премьер-министром Израиля Эхуд Бараком в совете директоров. Только за первый квартал 2018 года компания привлекла инвестиции на сумму $3,2 млрд. долларов.

Можно еще вспомнить американскую компанию IDair, которая прогремела по всем мало мальски тематическим СМИ, даже в Popular Science засветились .
В этом случае все было тоже очень круто, и презентация на самой значимой выставке по безопасности ISC West , членство в SIA и известные основатели, и характеристики продукта впечатляли. Шутка ли, основатели заявляли о разработке сканера отпечатков пальцев - с дистанцией считывания до 6 метров. Но по факту все оказалось пшиком. Сайт мертв, твиттер

В наши дни речевые технологии из ИТ-экзотики быстро превращаются в реальность. Довольно большие успехи показывает голосовая биометрия, на основе которой реализованы различные приложения, обеспечивающие создание полезных услуг для банков, контакт-центров, поликлиник, автотранспорта, голосового управления работой средствами мобильной связи и навигации. Среди компаний, предлагающих широкий спектр популярных речевых и текстовых решений, а также приложений для работы с документами, значится и фирма Nuance Communications. Её региональный директор по продажам и развитию бизнеса Nuance Communications Мартин Весёлка ответил на вопросы обозревателя PC Week/RE Петра Чачина о современных возможностях речевых технологий и голосовой биометрии.

Мартин Весёлка: Голосовая биометрия — одна из технологий, которая развивается очень быстро и позволяет разным компаниям использовать ее решения для идентификации заказчиков. В биометрической системе для определения или подтверждения личности используют индивидуальные поведенческие, психологические и некоторые другие характеристики. Имеется множество биометрических измерений, включая сканирование радужной оболочки глаза, отпечатков пальцев, распознавание лица, голоса, подписи и т. д. Голосовая биометрия позволяет, исследуя голосовые характеристики человека, идентифицировать клиента. Она представляет собой относительно простой и экономичный способ решения ряда практических проблем.

PC Week: Чем вызван нынешний интерес ИТ-служб различных отраслей к голосовой биометрии и речевым технологиям?

М. В.: Это связано с тем, что голосовая биометрия и речевые технологии - уже далеко не игрушки, это - высокоразвитая технология, которая может быть использована для повышения качества услуги в такой степени, чтобы заказчик мог ощутить это улучшение. Предприятие должно предоставить заказчику автоматизированный сервис, и речевые технологии способны в этом помочь. Клиента никто не заставляет ждать, не переадресовывает и не предлагает пользоваться меню. Голосовые коммуникации являются удобными для заказчика.

Система понимает клиента и способна проверить его слова. Он может даже не помнить пароль или число. Голосовая биометрия, которая используется в процессе разговора, позволяет установить, кто звонит. Это сокращает время разговора. Так что клиенту не надо представляться и называть пароль. Его пароль - его голос! При этом он чувствует, что его звонок важен и компания сразу принимает решение.

PC Week: В каких отраслях наиболее востребованы приложения голосовой биометрии и речевых технологий?

М. В.: Наиболее широко они применяются в банковском секторе, в страховых компаниях, в телекоме. Авиакомпании проявляют значительный интерес. Перспективным является также рынок мобильных приложений для сотовых телефонов, где речевые технологии востребованы в полной мере. В автомобилестроении голосовые системы позволяют использовать навигационные приборы в пути, способны включить музыку, кондиционер, помогают, не отвлекаясь от управления машиной, записать и отправить SMS и т. д.

В медицине речевые технологии используются для записи информации о клиентах, создания электронных карт пациентов. Это позволяет оптимизировать работу врачей и создает явные преимущества для клиентов. Врач не использует клавиатуру компьютера, он просто диктует медицинские показатели и диагноз. Система распознавания речи переводит голос в текст и записывает его.

М. В.: Банковские контакт-центры успешно применяют голосовые технологии. Если клиенту нужна базовая информация, то она предоставляется ему свободно. Но если он хочет провести финансовую операцию или какую-то операцию со своим счетом, то его [статус] нужно проверить. Голосовая биометрия - это один из видов проверки клиента, с помощью которой возможно идентифицировать, живой ли это человек, или транслируется запись речи.

Система голосовой биометрии может выявить необходимость дополнительной проверки клиента. Можно также создать “черный список” отпечатков голосов клиентов, замеченных в мошенничестве или в попытках несанкционированного доступа к счетам других клиентов. Это позволяет обеспечить безопасность банковских операций.

PC Week: Является ли система верификации голоса клиента более надежной, чем PIN-коды и пароли?

М. В.: Сразу хотел бы отметить, что система голосовой биометрии более удобна для заказчика, чем использование PIN-кодов и паролей. Но можно также сказать, что голосовая биометрия более надежна, так как пароль может быть подслушан и украден в течение разговора. Да и PIN является большой проблемой всех контакт-центров, ведь операторы сами могут воспользоваться этими сведениями. Пароль и PIN нетрудно украсть, такая информация может уйти на чёрный рынок, но голос останется с вами! А вот комбинация голосовой биометрии и вопросов o персональной информации о вашей жизни в комбинации позволяют добиться высокой степени надежности.

М. В.: Каковы специфические проблемы контакт-центров? Они не успевают отвечать на запросы, не хватает операторов. В этом случае используются автоматические устройства интерактивного речевого ответа IVR. Но клиенты не всегда хотят работать с IVR, они предпочитают дождаться отклика оператора и теряют время обслуживания контакт-центра.

Заказчик звонит в центр обработки вызовов, мы спрашиваем его, как ему помочь. Он в свободной форме отвечает на вопрос. С помощью системы распознавания речи мы понимаем его просьбу и решаем, куда надо обратиться. Эту информацию мы или транслируем в систему самообслуживания, или направляем звонок оператору. В то же время мы можем идентифицировать клиента с помощью голосовой биометрии. Применяя данные меры, мы сберегаем очень много времени по сравнению с традиционными методами, ведь IVR не отвечает на вопросы.

В Восточной Европе и России голосовая биометрия практически не используется. А в Западной Европе и США данная технология уже широко применяется. Такая ситуация конечно изменится в ближайшие год-два. Операторские центры будут использовать речевые технологии, такие как голосовая биометрия, предоставляя лучшие по качеству услуги для всех клиентов контакт-центров.

Например, один из российских банков хочет внедрить голосовую биометрию для поддержки системы кредитных карт для всех своих клиентов. Это позволит идентифицировать пользователей. Технология инсталляции голосовой биометрии не сложная. Но заказчики должны знать о наличии нового сервиса, это важный элемент его продвижения.

PC Week: Насколько дорогостоящими являются системы голосовой биометрии? Велик ли рынок голосовых решений для контакт-центров?

М. В.: В начале каждого проекта мы рассчитываем экономическую эффективность и срок возврата инвестиций. В зависимости от пожеланий клиента, проект может делаться на базе числа портов IVR, или на базе количества отпечатков голоса, используемых в системе. Если голосовое решение хорошо отлажено, то время одного разговора может быть уменьшено на 20-40 с, а возврат инвестиций происходит за шесть-девять месяцев.

Рынок голосовой биометрии существует как в рамках контакт-центров, так и вне их. Причем каждый операторский центр может использовать голосовую биометрию. Сегодня голосовыми решениями занимаются почти все гиганты ИТ-индустрии, такие как Google и Microsoft. Но кроме call-центров есть и другие возможности использования голосовой биометрии, например для управления мобильными устройствами, предоставления безопасного доступа в определенные помещения или к определенному оборудованию, в сфере медицины и пр.

PC Week: И как используется распознавание речи в медицине?

М. В.: В медицине распознавание речи помогает высвобождению медперсонала. Разработаны приложения для диктовки и транскрипции, улучшающие качество записи, обработки и использования данных о пациенте. Это позволяет создавать медицинские архивы с голосовым управлением, которые значительно снижают эксплуатационные издержки и улучшают качество обслуживания пациентов. Использование таких систем повышает доходность лечебных учреждений за счет сокращения средней продолжительности выполнения задачи и одновременного повышения эффективности предоставления услуги.

М. В.: Системы голосовой техники быстро развиваются. Практически во всех сферах бизнеса они создают новые возможности для обслуживания клиентов, повышения точности, производительности и эффективности производства, сокращения временных и финансовых затрат. Они вторгаются в жизнь миллионов частных пользователей. Поэтому можно ожидать дальнейшего увеличения числа распознаваемых языков и расширения количества создаваемых на этой основе сервисов.

PC Week: Благодарю за беседу.

Понятие «аутентификация» характеризует проверку на подлинность, например: является ли Вася Пупкин действительно Васей или же это, возможно, Петя какой-нибудь? Является ли он тем, за кого себя выдает? Процесс аутентификации может быть выполнен одним из трех возможных способов:

• основан на том, что Вам известно, например, кодовая комбинация (пароль);
• основан на том, что у Вас есть: ключ, магнитная карта, брелок;
• то, что есть Вы: папиллярные узоры, геометрия лица, строение глаза.

Именно третий пункт заключает в себе биометрическую аутентификацию, которая с развитием технологий становится все более актуальной. Как она работает, какие существуют достоинства, недостатки и насколько это безопасно, давайте рассмотрим подробнее...

Краткая история биометрии

Упуская множество фактов, исторических событий и деталей, применение биометрических параметров человека началось еще задолго до появления технических средств. Еще 100 г. до н. э. некий китайский император ставил свой отпечаток пальца, как печать на особо-важных доисторических артефактах. В 1800-х годах, Альфонс Бертильон, разработал систему распознавания преступников по их анатомическим характеристикам.

С течением времени, полиция Великобритании, Франции, США, начали отслеживать злоумышленников и подозреваемых в преступлениях по их отпечаткам пальцев. В дальнейшем, технология нашла свое применение в ФБР. Отпечатки пальцев стали первой полноценной системой распознавания человека.

В нынешнее время, биометрия стала более обширной и являются средством дополнительной защиты для технических средств или же элементом безопасности, который применяется в , для пропуска на охраняемую территорию, помещения и т.д.

Разновидности биометрической аутентификации

В настоящее время широко используются: пальцы человека, лицо и его глаза, а также голос - это «три кита» на которых держится современная биометрическая проверка подлинности пользователей:

Существует их довольно много, однако, сегодня используются три основных типа сканеров отпечатков пальцев:

• емкостные - измеряют электрические сигналы, поступающие от наших пальцев. Анализируют емкостную разницу между приподнятой частью отпечатка и его впадиной, после чего формируется «карта» отпечатка и сравнивается с исходной;
• ультразвуковые - сканируют поверхность пальца путем звуковых волн, которые посылаются на палец, отражаются и обрабатываются;
• оптические - фотографируют отпечаток пальца и выполняют сравнивание на соответствие.

Трудности при сканировании могут возникнуть, если мокрые или грязные руки, если травма (порезы, ожоги), если человек является инвалидом (отсутствуют руки, кисти, пальцы).

1. Аутентификация по радужной оболочки глаза

Другая и довольно распространенная биометрическая форма аутентификации - сканеры радужной оболочки. Узоры в наших глазах является уникальным и не меняется в течении жизни человека, что позволяет выполнить проверку подлинности того или иного человека. Процесс проверки является довольно сложным, так как анализируется большое количество точек, по сравнению со сканерами отпечатков пальцев, что свидетельствует о надежности системы.

Однако, в этом случае, могут возникнуть трудности у людей с очками или контактными линзами - их нужно будет снимать для корректной работы сканера.

1. Аутентификация по сетчатке глаза

Альтернативный способ использовать человеческий глаз для биометрической аутентификации - сканирование сетчатки. Сканер светит в глазное яблоко и отображает структуру кровеносных сосудов, которые так же, как и оболочка - являются уникальными у каждого из нас.

Биометрическая проверка подлинности по голосу внедряется в потребительские технологии и также имеет большие перспективы. Распознавание голоса сейчас реализовано у Google Assistant на устройствах Android или у Siri на устройствах iOS, или у Alexa на Amazon Echo. В основном сейчас, это реализовано так:

• Пользователь: «Я хочу кушать»
• Голосовой помощник: «Окей, вот список ближайших кафе..»

Т.е. никакой проверки на подлинность пользователя не осуществляется, однако, с развитием технологий - кушать пойдет только подлинный пользователь устройства. Тем не менее, технология аутентификации по голосу существует и в процессе проверки подлинности анализируется интонация, тембр, модуляция и другие биометрические параметры человека.

Трудности здесь могут возникать из-за фоновых шумов, настроения человека, возраста, здоровья, что, как следствие, снижает качество метода, из-за этого он не имеет столь широкого распространения.

1. Аутентификация по геометрии лица человека

Последней в данной статье и одна из распространенных форм биометрической аутентификации - распознавание лица. Технология довольно простая: фотографируется лицо человека и сравнивается с исходным изображением лица пользователя, имеющего доступ к устройству или на охраняемую территорию. Подобную технологию, именуемой, как «FaceID» мы можем наблюдать реализованной в iPhone от Apple.

Мы немного похожи на маму, папу или более раннего поколения родственников, а кто-то и на соседа... Как бы там ни было - каждый из нас имеет уникальные черты лица, за исключением близнецов (хотя и у них могут быть родинки в разных местах).

Несмотря на то, что технология простая по своей сути, она довольно сложная в процессе обработки изображения, поскольку осуществляется построение трехмерной модели головы, выделяются контуры, рассчитывается расстояние между элементами лица: глазами, губами, бровями и др.

Метод активно развивается, поскольку его можно использовать не только для биометрической аутентификации пользователей или сотрудников, но и для поимки преступников и злоумышленников. Ряд из камер, в общественных местах (вокзалах, аэропортах, площадях, людных улицах и т.д.) устанавливают в сочетании с данной технологией, где сканер имеет довольно высокую скорость работы и точность распознавания.

Как злоумышленник может обмануть биометрическую аутентификацию?

Нужно понимать, что при сканировании определенных параметров возможно возникновение ошибок в алгоритме распознавания. И в то же время, имея определенные знания, навыки и ресурсы, злоумышленник, может уклониться от тех или иных методов проверки подлинности.

В случае со сканером отпечатков пальцев, некоторые из них можно обмануть путем:

• изготовления трехмерной модели пальца из специального материала (выбирается исходя из принципа работы сканера);
• использования пальцев спящего человека, без сознания или мертвого;

Сканеры радужной оболочки и сетчатки глаза можно, с легкостью, обмануть качественной фотографией человека распечатанной на цветной бумаге. Однако, большинство современных сканеров умеет распознавать 2D модель и отличать ее от 3D, в таком случае, на снимок необходимо положить контактную линзу, что сымитирует блик (отражение света). Посмотрите наглядный видеоролик демонстрирующий процесс обхода сканера глаза на устройстве Samsung Galaxy S8:

Голосовые сканеры также имеют свои слабые места, которые возникают вследствие существования искусственного интеллекта и нейронных сетей способных имитировать голоса людей - такие системы имеют возможность скопировать любой человеческий голос и воспроизвести его за считанные секунды.

Сканеры лица человека не уступают по степени уязвимости, поскольку некоторые из таких систем, злоумышленник может обмануть использованием фотографии человека, как, например, в случае с Samsung Galaxy Note 8:

Получить доступ через сканер лица, не составит трудностей и у близнецов, на примере Face ID в iPhone - это выглядит вот так:

Основное достоинство и недостаток биометрической аутентификации

Явное преимущество системы - удобство, по причине того, что у Вас отсутствует необходимость запоминать кодовую комбинацию (пароль) или последовательность графического ключа, думать о том,

Явный недостаток - безопасность, в силу того, что существует масса уязвимостей и система распознавания не является надежной на все 100%. В то же время биометрические параметры (отпечаток пальца или рисунок радужной оболочки) нельзя изменить, в отличие от пароля или ПИН-кода. Это существенный недостаток, поскольку, если единожды данные попадут к злоумышленнику мы подвергаем себя серьезным рискам.

Учитывая, насколько сейчас распространена биометрическая технология распознавания в современных смартфонах, есть несколько рекомендаций, позволяющих в некоторой степени повысить уровень защиты:

• большинство отпечатков, которые мы оставляем на поверхности - это большого пальца и указательного, поэтому для Вашей аутентификации на смартфоне лучше всего использовать другие пальцы;
• несмотря на наличие биометрической проверки, применения или ПИН-кода - обязательное условие для полноценной безопасности.

На днях прошла новость о том, что голланский ING стал первым европейским банком, запустившим активируемые голосом мобильные платежи. И тут я вспомнил, что тема биометрической аутентификации по голосу была не только одной из первых, о которой я писал в этом блоге 8 лет назад, но и когда я про нее в январе, то обещал сделать краткий обзор рынка биометрической аутентификации, что сейчас и делаю.

На самом деле системы голосовой биометрии решают не только задачи аутентификации, но и предотвращение мошенничества. Очевидно, что наибольший смысл имеет именно комбинация этих двух технологий. Одна идентифицирует человека, но может спасовать перед записанным голосом. Вторая позволяет отслеживать изменения голосовых характеристик в процессе общения и выявления подозрительных или аномальных голосовых последовательностей. Понятно, что, чем критичнее применение такой технологии, тем более важна становится их комбинация. Например, использование Facebook - это одно, а управление счетом - совсем другое. В первом случае достаточно и обычной аутентификации, а во втором нужно нечто большее.

У голосовой аутентификации есть очень важное преимущество - низкая цена ридера. Отпечатки пальцев у нас считываются только на iPhone. Сетчатка глаза или геометрии руки требуют точных и дорогостоящих дополнительных устройств. Микрофон же есть сейчас почти везде (в компьютерах, в мобильных устройствах) и достаточно неплохого качества. Поэтому роль голосовой биометрии будет только возрастать.

Еще одним преимуществом именно голосовой биометрии в том, что она "многоразова", если так можно выразиться. Лицо у вас одно, глаз максимум два, пальцев, если все хорошо, десять. И если эти данные украдены или скомпрометированы, то с этим ничего уже не поделаешь. Вы не можете использовать чужие пальцы, глаза, руки для своей идентификации. А кража базы "фраз" приведет только к тому, что система голосовой аутентификации может попросить вас произнести новую фразу или просто "поговорить с ней".

Наконец, если вспомнить, что системы аутентификации отличаются по тому, "кто вы", "что у вас есть", "что вы знаете" и "что вы делаете", то голосовая биометрия, в отличие от других систем биометрической аутентификации, использует все эти 4 фактора. По физическим характеристикам голоса она определяет "кто вы". Она определяет как и что вы говорите, то есть она позволяет защититься от атак на статические системы аутентификации (например, пароли). В конце концов она может определить, что вы знаете, если в качестве фразы для идентификации будет использоваться пин-код или пароль.
Системы голосовой биометрии (их лучше называть так, а не голосовая аутентификация, так как спектр решаемых ими задач шире) могут работать в двух режимах - так называемом пассивном (или независимом от текста) и активном (зависящем от текста). В первом случае система распознает собеседника по его свободной речи (похожим образом работает сервис Shazam на мобильных устройствах); во втором - по заранее определенным фразам, которые должен произнести пользователь. В активном режиме для защиты от подмены пользователя записанным заранее (или перехваченным) голосом, система должна использовать случайные фразы, которые и предлагать пользователю произнести.

Сказать, какой из двух вариантов работы системы голосовой биометрии, нельзя. У них обоих есть свои преимущества и недостатки. Активные системы более эффективны, но и требуют большего участия пользователя, которого идентифицируют. При этом отпечаток голоса занимает меньше места, чем в пассивных системах, что может быть актуально для мобильного применения или в местах, где Интернет еще не так развит или отсутствует вовсе. Например, есть решения, которые допускают проверку подлинности на самом устройстве, без подключения к внешнему серверу. С другой стороны активные системы не всегда применимы в системах массового пользования - банки, страховые, ритейл и т.п., так как пользователи могут быть недовольны необходимостью взаимодействовать с биометрической системой. И, конечно же, такие системы сложно применить для идентификации мошенников, что легко делается пассивными системами, спокойно "слушающими" звонящего/говорящего и идентифицирующие его речь, ничем себя не выдавая. Поэтому пассивные системы проще в использовании, но и требуют больших ресурсов для своей реализации.

Защита от мошенников реализуется путем использования обычных "черных списков", то есть списков голосовых отпечатков известных мошенников. Соответствующий специалист помечает голос как мошеннический и затем все звонки сравниваются с "черным списком" мошенников. В России, где отсутствует база голосовых отпечатков мошенников и преступников, этот метод будет не самым эффективным и каждый потребитель систем голосовой биометрии будет вынужден самостоятельно формировать собственную базу мошенников (соблюдение законодательства о персональных данных пока оставим в стороне). Но зато со временем организации, особенно в некоторых отраслях, смогут обмениваться такими базами, как это, например, делают антивирусные вендоры. Хорошая перспектива есть у банков (а они, наверное, самый первый кандидат на применение таких систем), у которых есть FinCERT, который сможет со временем обмениваться не только данными по IP/DNS/E-mail-адресам мошенников, но и дополнить рассылаемую информацию голосовыми отпечатками.

Бояться этой якобы редкой технологии не стоит. Сегодня весь мир стоит на пороге (круто завернул, а) UAF/U2F-революции от альянса FIDO, когда любое устройство, приложение или средство защиты сможет абстрагироваться от конкретного метода аутентификации/идентификации, возложив эту задачу на U2F/UAF-спецификацию, которая и обеспечит интеграцию с нужным методом аутентификации.

Если пытаться перевести выгоды от использования голосовой биометрии на язык цифр, то они могут заключаться в следующем:

• Сокращение времени на аутентификацию пользователя с 23 секунд в ручном режиме в центре обработки вызовов (Call Center) до 5 секунд в автоматическом.
• Повышение лояльности пользователей (и, как следствие, доходов от них) в результате отказа от необходимости запоминать всем известные ответы на "секретные" вопросы, помнить PIN-код для входа в систему или отвечать на вопросы назойливого сотрудника банка (ваши ФИО, дата вашего рождения, номер карты и т.п.).
• Снижение числа сотрудников центра обработки вызовов за счет автоматической обработки многих простых вопросов (время работы офиса в праздники, ближайший офис или банкомат, тарифы и т.п.).
• Снижение числа мошеннических операций.
• Снижение времени на ожидании правильного сотрудника, который поможет ответить звонящему.
• Рост продуктивности работников компании и центра обработки вызовов.