читайте также
Споры о том, являются ли вторжением в нашу личную жизнь новые технологии — например, приложения, отслеживающие местоположение, разгораются с новой силой. И тем не менее очевидно, что подобные технологии так или иначе войдут в широкий обиход, ведь их применений все больше.
Экспертов по безопасности в британской компании Specops Software заинтересовал вопрос: как люди относятся к такому распространенному действию, как аутентификация (подтверждение личности), с помощью технологий, в том числе биометрических. Мы идентифицируем себя каждый раз, когда надо, например, разблокировать свой телефон или войти в личный кабинет на сайте банка. Сколько людей без опасения пользуются биометрическими методами аутентификации, а сколько скорее выберут что-то традиционное? Чтобы разобраться в этом, Specops Software проанкетировала 3740 британцев.
Исследование показало, что люди отдают предпочтение не биометрическим, а традиционным методам аутентификации. 78% опрошенных говорят, что самый удобный метод аутентификации — пароль. Следом идет аутентификация на основе токенов, которая внушает максимальное доверие 72% людей.
Более высокотехнологичные меры безопасности, такие как аутентификация по радужной оболочке глаза и по сетчатке, вовсе не пользуются таким доверием: только 11% опрошенных пользуются ими, не испытывая дискомфорта.
Хотя распознавание отпечатков пальцев становится все более популярным способом аутентификации и многие производители телефонов внедряют такую функцию, только 42% респондентов спокойно используют этот метод.
Атаки хакеров — одна из главных причин, по которым люди боятся использовать некоторые методы аутентификации. Компания Specops Software дает несколько рекомендаций по защите своих устройств от хакерских атак при аутентификации и по безопасному хранению вашей личной информации.
Не подключайтесь к публичным сетям Wi-Fi для входа в личный кабинет и прочие места, где вы оставляете личные данные. Используя общественный Wi-Fi, вы подвергаете себя риску атаки «человека посредине» (MITM). Хакеры без труда могут встроиться между вашим устройством и сервером, что сделает вас легкой добычей.
Используйте многофакторную аутентификацию везде, где возможно. Это дает существенную прибавку к вашей безопасности, значительно усложнив злоумышленникам доступ к вашим данным, так как им нужно будет обойти несколько уровней защиты. Возможны такие сочетания видов аутентификации: пароль и одноразовый код, пароль и текстовое сообщение, пароль и отпечаток пальца.
С умом выбирайте пароль. Наверное, многие устали это слышать, но правильно подобранный пароль — один из главных способов защиты вашей информации. У хакеров есть много способов подбора слабого пароля: от атак методом полного перебора до атак с использованием словарей. Так что проявите свою креативность и придумайте что-нибудь получше, чем «пароль1234».
Обновляйте операционную систему на вашем устройстве — если вы хотите, чтобы ваша информация хранилась в безопасности, регулярно устанавливайте обновления на всех своих устройствах, особенно если вы пользуетесь биометрической аутентификацией: распознаванием отпечатка пальца или лица. Благодаря обновлениям вы будете защищены от хакеров, которые взламывают устаревшие системы без патчей безопасности.
НА ПРАКТИКЕ: «В магазине не нужно будет проходить через кассу»
Максим Белоусов, член правления Российского союза ИТ-директоров, до недавнего времени занимавший пост зампреда банка «Уралсиб», рассказал «HBR Россия» о том, где и как применяют биометрическую аутентификацию. Ниже отредактированные выдержки из этого интервью.
Почему банки с некоторых пор активно предлагают посетителям офисов сфотографироваться и записать голос?
Законодательный акт 2018 года требует от всех банков обеспечить в отделениях возможность собирать биометрические данные. Прежде их собирали в государственных учреждениях, в основном в МФЦ, а теперь у человека появилась возможность составить свой «биометрический портрет» и при посещении банка. И где бы мы ни оставили эти данные, в итоге все они стекаются в государственную базу биометрической информации (ЕБС), где в закодированном виде хранятся цифровые «образы» голосов и лиц. Для сбора и обмена этой информацией разработаны стандарты, регулирующие, какие микрофоны, телекамеры, протоколы передачи надо использовать. Всем этим занимается Ростелеком.
Что это дает банкам?
На первом этапе сбор биометрии — просто издержки для банковской системы, но в перспективе это даст банкам возможность без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит, дистанционно подтверждая его личность. Компании, которые, получив доступ к этой информации, найдут способ ее как-то монетизировать, будут в плюсе.
Насколько быстро идет прогресс в системах биометрической аутентификации?
Сама по себе биометрия — не новая история. Но до недавнего времени ее использовали не массово, а в основном на режимных объектах, для доступа к секретной информации и т. д. Сейчас технология стала доступнее: любой гендиректор может купить себе устройство для считывания отпечатка пальца или сетчатки глаза, которое можно интегрировать в информационную систему предприятия. А для финансовой отрасли биометрия уже давно стала стандартом аутентификации. Мы привыкли сканом пальца либо лица подтверждать транзакции — например, в системе Apple Pay. Некоторые автомобили уже умеют считывать лицо своего водителя, причем он обязательно должен двигаться или моргать, чтобы нельзя было подставить под камеру статичное «лицо». На рынке все больше доступного ПО с Face ID: например, для оплаты товаров на выходе из магазина не нужно будет проходить через кассу.
Есть ли в этой сфере отечественные разработки?
Наши технологии стали развиваться, когда в связи с санкциями был взят курс на импортозамещение. Первыми заказчиками систем биометрии были госпредприятия, такие как Федеральная миграционная служба, а затем отработанные ими технологии перешли в частный сектор. Думаю, что скоро отечественные продукты станут такими же массовыми, как токены, которыми пользуется любой бухгалтер, чтобы отослать платежное поручение в банк. Причем чаще всего у него в руке отечественное устройство «Аладдин». Есть компании, которые занимаются облачными ключами в российском сегменте интернета для подписывания документов. А в банковской сфере мы в принципе обязаны применять отечественное ПО. В биометрической аутентификации я могу сходу насчитать примерно 20 российских стартапов. Они представляют рынку готовые аппаратно-программные комплексы — скажем, позволяющие идентифицировать работника по лицу, просто поставив камеру у входа. Карточки для прохода на работу становятся ненужными.
Что мешает повсеместному внедрению биометрии?
Во-первых, мы привыкли пользоваться паролями, а биометрия — непривычная и не вполне удобная для многих вещь. Во-вторых, системы Face ID и прочие не всегда нас узнают — например, если вы надели маску или просто у вас лицо опухло. В фильмах о суперагентах человеку достаточно на секунду подставить глаз камере, и двери перед ним откроются. В реальности же считывание сетчатки — довольно длительный и сложный процесс. С пальцем тоже все непросто: приходится снимать перчатки и иметь чистые руки. Но ко всему привыкаешь. Помните, как вначале нас раздражало требование вводить код подтверждения, пришедший по СМС, а теперь все к этому привыкли. Недавно мы с другом подсчитали, сколько раз надо пройти аутентификацию, чтобы купить что-либо в интернет-магазине. Начиная от открытия ноутбука и заканчивая оплатой, простейшая покупка требует четырех действий, связанных с проверкой личности: вас проверит ваш компьютер, ваш банк и сам магазин с программой лояльности.
Но чем больше степеней защиты, тем больше усилий хакерское сообщество предпринимает, чтобы ее обойти. У них тоже неплохой технологический инструментарий. В случае биометрии речь вряд ли идет о «краже пароля» — вашу внешность, отпечаток пальца или сетчатку никто не подделает. Но надо помнить, что в базу попадает некий цифровой код, который система генерирует на основе вашей биометрической информации: это просто нолики и единички. Задача хакеров — заставить систему воспринять чужой код как только что считанный с клиента. Но все это сложно и дорого, и потому подобный вид хакинга пока не распространен.
Пока биометрия является опцией, например, для банковских клиентов, есть ли статистика по числу согласившихся/отказавшихся среди посетителей?
У меня такой статистики нет. В одном из крупнейших банков, где я работал несколько лет, за время после запуска было собрано всего 2 тыс. пакетов биометрических данных. Всего же, по разным источникам, в ЕБС было собрано порядка 150 тыс. данных. Причина? Вам предлагают что-то сделать, обещая некую пользу в будущем, но вы не знаете, кто и как воспользуется этой информацией. Страх потери денег или квартиры сильнее, чем ожидание выгоды. В других странах, например в Финляндии, биометрия обязательна уже много лет и соединена в государственной базе со множеством других сведений о человеке. Все мы делимся биометрической информацией, скажем, когда получаем загранпаспорт. Чем чаще биометрия будет требоваться, тем охотнее люди станут ее сдавать, в том числе в банках, почтовых отделениях и других местах.
А как обстоит дело с безопасностью этих данных?
В свое время мы с коллегами из кибербезопасности банка ранжировали биометрические данные по безопасности. С точки зрения защиты от хакеров, самое безопасное — это сетчатка глаза. Ее сложнее подделать, но и считывать и обрабатывать тоже сложнее. На втором месте биометрия лица, а на третьем — отпечаток пальца. В фильмах показывают, как подделывают лицо и отпечатки, но это больше из области фантастики. Четвертое место я отдам голосу, потому что есть много программ для редактирования голосов. Сначала с их помощью развлекались, делая всякие пранки, а сейчас симуляцию стали использовать в противоправных целях. Вообще я бы не советовал использовать один способ биометрической аутентификации: минимум два, а лучше три. По сравнению с более привычными способами подтверждения личности биометрия выигрывает даже у двухфакторной идентификации (пароль и СМС). Все знают о случаях дискредитации пароля и перехвата СМС посредством копии сим-карты.
Вообще же серьезные хакерские атаки на предприятия чаще всего осуществляются с помощью человека внутри самой компании, который содействует проникновению в систему безопасности. Просто прийти со стороны и взломать компанию вроде «Сбера» сейчас не получится.
Многие не желают делиться биометрией, полагая, что государственная база используется в полицейских целях.
Я могу говорить только про себя и свое отношение к этому. Бояться «полицейского следа», наверное, должны те, кто не чист перед законом. Остальным, наоборот, нужно подумать о положительной стороне: если случится что-то плохое, то, возможно, по биометрии человека найдут и спасут. В этом я вижу для себя смысл нахождения этих данных в государственной системе. Некоторые люди отказываются предоставлять государству какие бы то ни было данные, боясь, что они будут потеряны, слиты или попадут не в те руки. Конечно, риск есть, но когда вы оплачиваете покупки на непонятных сайтах, риск гораздо выше. Любители конспирологии думают, что государство хочет за всеми следить. Но на это не хватит никаких вычислительных мощностей. Государство может и должно следить за теми, кого оно подозревает в терроризме, и за уголовными элементами. Когда удается предотвратить теракт, в этом всегда задействованы информационные технологии. И что касается меня лично, я не против даже вставить чип под кожу, чтобы чувствовать безопасность.