Биометрия

Что такое биометрия?

Биометрические данные - это физические или поведенческие характеристики, которые уникальны для каждого человека и используются для аутентификации человека для получения доступа к приложениям и другим сетевым ресурсам. Примерами биометрических идентификаторов являются отпечатки пальцев, лица, движения пальцев, ритм набора текста или голос. Биометрическая аутентификация является популярным компонентом многофакторной аутентификации (MFA), поскольку она сочетает в себе надежную проверку подлинности с минимальными ограничениями для пользователя.

Согласно Википедии, "биометрические идентификаторы часто делятся на физиологические и поведенческие характеристики. Физиологические характеристики связаны с формой тела. Примеры включают, но не ограничиваются отпечатками пальцев, венами ладоней, распознаванием лиц, ДНК, отпечатками ладоней, геометрией руки, распознаванием радужной оболочки глаза, сетчатки глаза и запаха/ощущения". Поведенческая биометрия связана с поведением человека, например, с ритмом набора текста или с тем, как он держит телефон или проводит по нему пальцем.

Биометрические данные все чаще используются в мобильных банковских приложениях, помогая клиентам легко войти в систему и добавляя еще один уровень безопасности. Биометрические системы не зависят от того, что биометрическая информация, например, изображение вашего лица, является секретом. В отличие от паролей и PIN-кодов, биометрические данные нельзя забыть или передать, их сложнее скопировать или украсть.  

Как работают биометрические данные?

Биометрическая система состоит из трех различных компонентов. Должен быть датчик для записи и считывания вашей биометрической информации, например, отпечатка пальца. Когда вы используете свою биометрическую информацию для доступа к мобильному телефону, должен быть компьютер, надежно хранящий биометрическую информацию для сравнения. Третий компонент - программное обеспечение для подключения компьютерного оборудования к датчику

Статическая биометрия и поведенческая биометрия: в чем разница?

Статическая биометрия

Статическая биометрия использует физические особенности, такие как сканирование отпечатков пальцев или распознавание лица, для разблокировки мобильных телефонов, входа в банковские счета или совершения транзакций.  

Вот основные типы статических биометрических данных, используемых для подтверждения вашей личности:

  • Программараспознавания лиц анализирует расстояние между глазами и расстояние между подбородком и носом, чтобы создать зашифрованную цифровую модель вашего лица. При аутентификации программное обеспечение для распознавания лиц сканирует ваше лицо в режиме реального времени и сравнивает его с цифровой моделью, надежно хранящейся в системе. Системы распознавания лиц с "активным определением живости" требуют, чтобы вы двигали головой, моргали или совершали другие движения. Обнаружение жизни также может быть пассивным, работая за кулисами с помощью алгоритмов для анализа биометрических образцов на наличие признаков того, что они не от живого человека, например, обнаружение бумаги, цифровых экранов или вырезов в 3D-печатной маске. Сильное обнаружение "живости" позволяет убедиться, что именно реальный клиент предъявляет системе свой биометрический образец, а не злоумышленник, пытающийся выдать себя за него в так называемой атаке представления.
  • Распознавание отпечатков пальцев - одна из самых популярных форм, если не самая популярная, биометрической аутентификации, используемой на мобильных устройствах. Первоначально он был популяризирован Touch ID компании Apple. Считыватель отпечатков пальцев анализирует гребни и узоры вашего отпечатка и сравнивает их с сохраненной цифровой моделью вашего пальца во время аутентификации. Распознавание отпечатков пальцев может измениться, если палец мокрый или грязный. Злоумышленнику сложно воспроизвести отпечаток пальца человека, если система распознавания отпечатков пальцев имеет сильную детекцию живости, что помогает предотвратить презентационные атаки, в которых может использоваться 3D-модель или поддельное изображение.
  • Распознавание радужной оболочки глаза: Существует два метода сканирования глаз для удостоверения личности человека. При сканировании сетчатки глаза свет на короткое время попадает в глаз, чтобы показать уникальный рисунок кровеносных сосудов в глазу. Сопоставив этот шаблон, инструмент распознавания глаз может сравнить глаза пользователя с оригиналом. При сканировании радужной оболочки глаза сканируются цветные кольца, расположенные в радужной оболочке. В некоторых случаях распознавание по глазам может быть таким же быстрым и точным, как распознавание лиц, но при солнечном свете, когда зрачки сужаются, получить образец для сравнения может быть сложно. Распознавание по радужной оболочке глаза также может быть менее надежным, если клиент носит очки.  
  • Распознавание голоса анализирует уникальный звук голоса человека, который определяется длиной голосового тракта и формой носа, рта и гортани. Анализ голоса человека является надежным методом аутентификации, но простуда, бронхит, другие заболевания и фоновый шум могут исказить голос и нарушить аутентификацию.
  • Распознавание геометрии пальца использует 3D-геометрию пальца для проверки личности

В целом, статическая биометрия считается надежным способом аутентификации клиентов, и она должна включать в себя обнаружение живости для борьбы с поддельными отпечатками пальцев или фотографиями при атаке с использованием презентации

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Поведенческая биометрия

Поведенческая биометрия анализирует ваши уникальные привычки и движения, чтобы создать модель поведения, которую можно распознать, когда вы печатаете или как держите телефон. Как и статические биометрические данные, поведенческие биометрические данные добавляют еще один уровень безопасности для подтверждения вашей личности. FinancialIT.net пишет: "Эта передовая технология использует датчики движения и искусственный интеллект для определения уникальных манер, таких как манера держать телефон. Его многие считают последним рубежом в области безопасности"

Вот основные типы поведенческой биометрии:

  • Ритм нажатия клавиш анализирует манеру и скорость набора текста, чтобы определить характерные особенности. Степень давления пальцев при наборе текста также может быть сведена к узнаваемому шаблону.
  • Как вы держите телефон " анализирует угол, под которым вы держите телефон, и доминирующую руку, которой вы пользуетесь при использовании телефона. Поведенческая биометрия также включает в себя то, как вы проводите пальцем по телефону и какой рукой.    
  • Ваша походка, или то, как вы ходите, также является поведенческим признаком, который можно изучить на предмет выявления закономерностей. Кроме того, ваше обычное время и место входа в систему и совершения транзакций также можно отнести к поведенческой модели.  

Поведенческая биометрия - это беспроблемный опыт для клиентов, но сложный для мошенников, поскольку каждый человек имеет особый профиль своих привычек и движений. С помощью поведенческой биометрии сессия пользователя постоянно отслеживается, поэтому если в какой-то момент она прерывается или может быть перехвачена, система может распознать это и принять соответствующие меры для предотвращения мошенничества до того, как оно произойдет.

Как биометрия защищает от финансового мошенничества

Биометрические данные используются финансовыми учреждениями для следующих целей

  1. Для цифровой проверки личности при удаленном открытии клиентом нового счета
  2. Для аутентификации клиента (при входе в систему или для непрерывной аутентификации в течение всего банковского сеанса)
  3. Для аутентификации транзакций (чтобы убедиться, что законный владелец счета действительно является лицом, инициирующим транзакцию)

Потребителям становится все удобнее пользоваться биометрическими данными, и многие из них предпочитают использовать отпечаток пальца или распознавание лица, например, в качестве средства аутентификации и подтверждения личности в своем финансовом учреждении. Биометрические данные добавляют еще один уровень безопасности и помогают повысить уровень доверия клиентов к своему финансовому учреждению. Touch ID от Apple, представленный в 2013 году, способствовал росту биометрии в мобильном банкинге, поскольку он предоставляет финансовым учреждениям технологию на базе устройства, которую они могут использовать для защиты своей мобильной банковской платформы.  

Аналогичным образом, Android Fingerprint ID позволяет пользователям подтверждать свою личность с помощью отпечатка пальца на некоторых устройствах Android. Компания Javelin утверждает, что потребители требуют выбора аутентификации. Для более чем трети пользователей три метода аутентификации, которые они хотели бы, чтобы их финансовые учреждения поддерживали, - это биометрические методы. Javelin также отмечает, что, хотя обычно ожидается, что потребители, желающие иметь биометрический выбор, как правило, сосредоточены среди более молодых клиентов, около 40% из них старше 55 лет

Как биометрия обеспечивает надежную аутентификацию клиентов

Биометрические данные являются частью процесса многофакторной аутентификации (MFA), в котором для подтверждения личности человека при входе в банковскую сессию или совершении финансовой операции могут использоваться несколько технологий. Для достижения многофакторной аутентификации (MFA) необходимо использовать как минимум два различных фактора аутентификации. Факторы аутентификации включают:

То, что ты знаешь

Обычно это пароль, PIN-код, парольная фраза или вопросы с соответствующими ответами.  

То, что у тебя есть

Это может быть одноразовый PIN-код или ваш смартфон с приложением аутентификатора в качестве устройства, которое генерирует одноразовый код за кадром.

То, чем ты являешься

Это может быть что угодно: отпечатки пальцев, сканирование сетчатки глаза, распознавание лица, распознавание голоса или поведение клиента (например, как сильно или быстро он набирает текст или проводит пальцем по экрану), которые могут быть использованы для проверки уникальности клиента.

В результате, использование PIN-кода с распознаванием лица является многофакторной аутентификацией, поскольку сочетает в себе то, что вы знаете, и то, чем вы являетесь, в то время как использование PIN-кода с паролем не будет считаться многофакторной аутентификацией, поскольку это просто две вещи, которые вы знаете.

Как биометрия помогает защититься от финансового мошенничества

Использование биометрии в рамках строгой аутентификации клиентов (SCA) или MFA может помочь смягчить различные виды мошеннических атак. Когда мошенники взламывают банковский счет, чтобы завладеть им, они часто используют такую тактику, как фишинг, чтобы убедить людей непреднамеренно раскрыть свои учетные данные. В результате происходит захват счетов, что является главной угрозой для финансовых учреждений и их клиентов из-за финансовых потерь и усилий по их устранению. Биометрия может помочь остановить злоумышленников в точке доступа (входа в систему), запросив сканирование отпечатков пальцев или лица. Злоумышленник не сможет успешно пройти аутентификацию и будет лишен возможности попасть в чужой аккаунт. Кроме того, надежное обнаружение "живой" информации и обнаружение подделок еще больше усложняют задачу злоумышленников. Злоумышленник не сможет сымитировать биометрические данные законного клиента и будет лишен доступа к счету.  

Как биометрия помогает предотвратить мошенничество при удаленном открытии счета

Биометрические данные также играют определенную роль в предотвращении мошенничества с личными данными в процессе дистанционного открытия счета. Сегодня, благодаря COVID-19, многие потребители избегают ненужных визитов в отделение банка. Даже если новый заявитель не встречается лицом к лицу с представителем банка, банк все равно должен проверить, что удаленный заявитель действительно является законным владельцем документа, удостоверяющего личность, такого как паспорт или водительские права. Это необходимо для борьбы с мошенничеством при подаче заявлений.    

Биометрические данные являются частью этого процесса. Например, сравнение лиц используется для проверки личности, чтобы убедиться, что удаленный заявитель является тем, за кого себя выдает. После проверки подлинности водительских прав, паспорта или другого удостоверения личности, выданного правительством, заявителя просят сделать селфи с помощью мобильного устройства. Когда селфи используется для распознавания лиц, для подтверждения подлинного присутствия человека можно применить детектор живости.  

Существует два типа обнаружения живости для определения того, принадлежит ли биометрический признак реальному человеку или является цифровым или изготовленным представлением. Для активного определения "живости" требуется, чтобы человек моргнул или повернул голову, а пассивное определение "живости" работает за кадром и использует алгоритмы для обнаружения признаков потенциальной подделки. Технологии сравнения лиц используют передовые алгоритмы для изучения биометрических данных, полученных из черт лица человека. Например, положение и размер глаз человека относительно друг друга можно использовать для определения того, принадлежат ли селфи и удостоверение личности одного и того же человека

Как биометрия улучшает клиентский опыт

Использование биометрии позволяет клиентам быстрее и проще взаимодействовать со своим финансовым учреждением. Биометрия является более надежным средством аутентификации, чем пароли, которые часто крадут или забывают. Биометрия может повысить доверие клиентов к их финансовому учреждению, поскольку мошенникам гораздо сложнее добиться успеха, используя поддельный отпечаток пальца или селфи. Положительный опыт использования биометрии для подтверждения личности при удаленном открытии счета и для аутентификации клиента при входе в систему также может повысить лояльность и доверие клиентов к своему финансовому учреждению.   

Стоит отметить, что биометрические модели могут обучаться со временем, поэтому изменения в чертах лица, вызванные старением, учитываются и не аннулируют совпадение. Если пользователь проходит аутентификацию регулярно, небольшие изменения во внешности не будут достаточно значительными, чтобы признать совпадение недействительным. Вместо этого математическая модель человека будет обновляться по мере распознавания изменений во внешности.

Что говорят аналитики о биометрии

Согласно Gartner, "биометрическая аутентификация не может зависеть и не зависит от секретности биометрических признаков, вместо этого она зависит от сложности выдать себя за живого человека, предъявляющего признак устройству захвата ("сенсору") - т.е. от атаки презентации". Gartner добавляет, что этот момент не является широко известным, что приводит к некоторым распространенным заблуждениям, которые усиливаются ограниченным обнаружением атак презентации (PAD) в потребительских устройствах и рекламой успешных атак на Apple Touch ID, сенсоры Samsung, распознавание лиц в Android и т.д. Преимущества биометрической аутентификации для клиентов, по мнению Gartner, привели к росту числа приложений мобильного банкинга за последние несколько лет.

По оценкам компанииJuniper Research, аппаратные средства распознавания лиц, такие как Face ID на последних моделях iPhone, станут самой быстрорастущей формой биометрического оборудования для смартфонов. Ожидается, что в 2024 году этот показатель достигнет более 800 миллионов человек по сравнению с 96 миллионами в 2019 году. В новом исследовании "Аутентификация мобильных платежей: биометрия, регулирование и прогнозы на 2019-2024 годы", однако, отмечается, что большая часть распознавания лиц на смартфонах будет основана на программном обеспечении, и к 2024 году такая возможность появится у более чем 1,3 миллиарда устройств

MarketResearch.com отмечает, что для борьбы с банковским мошенничеством в цифровом мире нужны более надежные технологии. "Биометрия - это мощное оружие для борьбы с растущей угрозой финансовых мошенничеств. Поэтому эта технология находится в центре внимания благодаря таким преимуществам, как простая и надежная аутентификация на основе уникальных физических символов, которые трудно воспроизвести или дублировать, например, распознавание голоса, сканирование радужной оболочки глаза, отпечатков пальцев и лица; устранение необходимости запоминать пароли и управлять одноразовыми паролями (OTP); повышенная безопасность, невосприимчивая к стратегиям кибервзлома; непревзойденное удобство; значительное снижение риска кражи личных данных; более высокое качество обслуживания пользователей; минимальный или нулевой пользовательский интерфейс; экономия времени и снижение нагрузки на бэк-офис при аутентификации и т.д.". MarketResearch.com сообщает, что мировой рынок биометрии для банковских и финансовых услуг достигнет 10,8 млрд. долларов США к 2025 году.

Компания Javelin утверждает, что хранение биометрических шаблонов локально на устройстве человека снижает риски, связанные с компрометацией данных при их передаче или при атаке злоумышленников на централизованное хранилище биометрических данных. "В сочетании со стандартами аутентификации, например, разработанными FIDO Alliance, локальную биометрическую аутентификацию практически невозможно подделать или неправомерно использовать перехваченные данные". Javelin также отмечает, что "если злоумышленник сможет успешно занести свои собственные характеристики в биометрический аутентификатор, то даже самый сложный метод аутентификации все равно позволит ему пройти через вызовы безопасности. Поэтому многие поставщики предлагают дополнительные инструменты оценки рисков, встроенные в их платформу, такие как отпечатки пальцев устройств и геолокация. Другие инструменты, такие как сканирование документов, предлагают естественные дополнения к биометрическому сканированию, которое позволяет в определенной степени сравнить снятый пользователем биометрический вход с изображением на документе, удостоверяющем личность."

Биометрия и соблюдение нормативных требований

Биометрия помогает организациям соответствовать требованиям по строгой аутентификации клиентов (SCA) Второй директивы Европейского союза о платежных услугах (PSD2), которая представляет собой правила предоставления услуг электронных платежей. Согласно требованиям SCA, аутентификация должна быть основана на двух или более из следующих факторов: знание (например, пароли или PIN-коды), владение (например, токены или мобильные устройства) или присутствие (биометрия).

Согласно Общему регламенту ЕС о защите данных (GDPR), двухфакторная аутентификация является обязательным условием соответствия требованиям. Это означает, что простая комбинация имени пользователя и пароля уже не обеспечивает достаточную безопасность для защиты данных, поскольку пароли могут быть легко украдены, переданы или использованы. Вместо этого двухфакторная аутентификация, или 2FA, используется для идентификации человека, когда для предоставления доступа к веб-сайту или приложению сочетаются два из трех возможных факторов аутентификации: что-то, что человек знает, что-то, что у человека есть, или что-то, чем человек является, что предполагает использование биометрических данных, таких как отпечатки пальцев или сканирование лица.

В США крупнейший государственный регулятор, Департамент финансовых услуг Нью-Йорка, выпустил постановление под названием "Требования к кибербезопасности для компаний, предоставляющих финансовые услуги". Он требует использования многофакторной аутентификации, которая включает биометрические данные, "для защиты от несанкционированного доступа к непубличной информации или информационным системам". Непубличная информация - это частная информация человека

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности

Контакты