Основы биометрии
Эта статья в какой-то мере является продолжением прошлой, а в какой-то её приквэлом. Здесь я расскажу про основы построения любой биометрической системы и про то, что осталось за кадром прошлой статьи, но обсуждалось в комментариях. Акцент сделан не на сами биометрические системы, а на их принципах и области действия.
Тем, кто не читал статью, или уже забыл — советую просмотреть что такое FAR и FRR, так как эти понятия будут использоваться и здесь.
Обратите внимание, статья 2011 года. С тех пор произошло пару революций в ComputerVision. Тут, конечно, более общие вещи находятся, но, наверное, если вы не археолог, вы ищете не это.
Если вам нужна биометрия сейчас — обратите внимание на лица (ссылка на статью 2018 года в 2021 тоже немного не актуальна, на все же). А так, я часто пишу на своем канале (vk, telegram) про более новые методы/подходы.
Общие понятия
Любая аутентификация человека строиться на трёх традиционных принципах:
1) По собственности. К собственности может относиться пропуск, пластиковая карта, ключ или общегражданские документы.
2) По знаниям. К знаниям относятся пароли, коды или информация (например девичья фамилия матери).
3) По биометрическим характеристикам. Подробнее о том, какие бывают биометрические характеристики я говорил в предыдущей статье.
Эти три принципа как могут использоваться по отдельности, так и использоваться в группах. Эта методология и порождает два основных направления биометрии.
Верификация
Верификацией называется подтверждение личности человека через биометрический признак, где первичная аутентификация прошла по одному из первых двух методов, указанных выше. Простейшим верификатором можно назвать пограничника, производящего верификацию вашего лица с вашим паспортом. Верификации подразумевает значительно большую надёжность системы. Вероятность того, что система пропустит нарушителя, не применяющего средства преодоления равна FAR используемого биометрического метода. Даже для самых слабых биометрических систем эта вероятность ничтожно мала. Основными минусами верификации являются два пункта. Первый — человеку требуется носить с собой документ или помнить пароль системы. Всегда существует проблема потери или забывания информации. Так же верификация принципиально невозможна для скрытной аутентификации.
Работу системы доступа, основанной на биометрической верификации можно представить следующим способом:
Идентификация
Скрытная идентификация
В отличие от верификации идентификация может быть скрытной для человека. Как она возможна и стоит ли её бояться? Попробую вкратце рассказать те мысли, которые бытуют среди людей занимающихся биометрией. В прошлой статье эта мысль осталась незаконченной.
Рассмотрим технологии, которые могут позволить хотя бы в некоторых случаях скрытно от человека определить его личность. Во-первых, сразу стоит отбросить все контактные методы. Размещать сканеры отпечатков пальцев в ручках дверей не лучшая затея. Их заметно, многие не касаются ручек, контактные сканеры пачкаются, и.т.д. Во-вторых, можно сразу отбрасывать методы, где максимальная дальность ограниченна 10-15 сантиметрами (например вены рук). В-третьих, можно отбросить всю динамическую биометрию, так как там слишком низкие показатели FAR и FRR.
Остаётся всего две технологии. Это технологии, где в качестве сканеров данных выступают камеры: распознавание по лицам (2D, 3D) и распознавание по радужной оболочке.
Первую из них, распознавание по 2D лицам, уже неоднократно пытались внедрить(из-за её простоты), но всё время безуспешно. Это обусловлено низкими статистическими параметрами системы. Если в базе разыскиваемых личностей находится всего 100 человек, то каждый 10 прохожий будет объявляться разыскиваем. Даже у милиционера в метро КПД значительно выше.
Две следующих технологии очень похожи. Для обеих возможно использование на отдалении от человека, но обе должны иметь достаточное количество оборудования. Как 3D сканер лица, так и сканер радужной оболочки можно ставить в местах, где есть узкие проходы. Это эскалаторы, двери, лестницы. Примером такой системы может служить система, созданная SRI International (сейчас у них мёртвый сайт, но есть практически аналог от AOptix). Я не на 100% уверен, что система от SRI International рабочая, слишком много ошибок в видео, но принципиальная возможность создания существует. Вторая система работает, хотя там и слишком мала скорость для скрытной системы. Сканеры 3D лица работают примерно по тому же принципу: детектирование в узком проходе. В случае 3D лица и распознавании по глазам надёжность работы достаточно высокая. Если база 100 преступников, то проверять придётся лишь каждого 10000 из мирных граждан, что уже достаточно эффективно.
Ключевой особенностью любой скрытой биометрии является то, что человек не должен о ней знать. Вставить в глаза линзы, или изменить форму лица несколькими накладками можно незаметно для окружающих, но заметно для биометрической системы. Почему-то у меня есть подозрение, что в скором будущем спрос на линзы, изменяющие радужку значительно возрастёт. Возрос же в Британии спрос на банданы. А события там только первые ласточки биометрии.
Модель биометрической системы доступа и её частей
В случае, если биометрическая система используется только на одной проходной, то особо без разницы, разделена ли система на части или нет. На месте можно добавлять человека в базу и проверять его. Если же существует несколько проходных, то нерационально хранить на каждой проходной отдельную базу данных. Более того, такая система не динамична: добавление или удаление пользователей требует обхода всех сканеров.
Биометрический сканер
Биометрический сканер это часть любой биометрической системы, без которой она не может существовать. В некоторых системах биометрический сканер это просто видеокамера, а в некоторых (например сканеры сетчатки), это сложный оптический комплекс. Двумя основными характеристиками биометрического сканера являются его принцип деятельности (контактный, бесконтактный) и его скорость (количество человек в минуту, которое он может обслужить). Для тех биометрических характеристик, чьё использование уже вошло в норму, сканер можно купить отдельно от логической системы. В случае, если сканер физически разделён с алгоритмом сравнения и с базой, то сканер может выполнять первичную обработку полученной биометрической характеристики (например для глаза это выделение радужки). Это действие выполняется для того, чтобы не перегружать канал общения сканера и основной базы. Так же, в сканере, отделённом от базы, обычно встроена система шифрования данных, чтобы обезопасить передачу биометрических данных.
Алгоритм сравнения + база данных
Эти две части биометрической системы обычно живут по соседству и часто дополняют друг друга. Для некоторых биометрических признаков алгоритм сравнения может при выполнять оптимизированных поиск по базе (сравнение по пальцам, сравнение по лицу). А в некоторых (глаза), для полного сравнения ему в любом случае нужно обойти всю базу.
Алгоритм сравнения имеет много характеристик. Его две основных характеристики, FAR и FRR во многом определяют биометрическую систему. Так же стоит отметить:
1) Скорость работы. Для некоторых сравнений (глаза), скорость работы может достигать сотен тысяч сравнений в секунду на обычном компьютере. Этой скорости хватает для того, чтобы обеспечить любые нужды пользователей, не замечая временной задержки. А для некоторых систем (3D лицо) это уже достаточно значащая характеристика системы, требующая большой вычислительной мощности для сохранения скорости работы при увеличении базы.
2) Удобство работы. По сути, удобство любой системы во многом устанавливается отношением FAR, FRR. В системе мы можем немножко изменять их значение, так, чтобы сделать акцент в сторону скорости или сторону надёжности. Грубо говоря, получается примерно такой график:
В случае если мы хотим высокого уровня надёжности, мы выбираем положение в левой его части. А если пользователей мало, то неплохие показатели будут и в правой части графика, где будет высокие характеристики удобства, а значит и высокая скорость работы.
«Сделать что-нибудь»
После сравнения биометрическая система должна выдать результаты сравнения на управляющие органы. Дальше это может быть как команда «открыть дверь», так и информация «такой-то такой-то пришёл на работу». А вот что дальше делать с этой информацией должны решать установщики системы. Но и тут не всё так просто, надо учитывать возможности атаки:
Атака на биометрическую систему
Несмотря на то, что многие биометрические системы снабжены алгоритмами, способными определить атаку на них, этого не достаточно чтобы относиться к безопасности беспечно. Самой простой атакой на идентификационную систему является многократное сканирование. Предположим ситуацию: в фирме служит порядка сотни человек. Злоумышленник подходит к биометрической системе пропуска и многократно сканируется на ней. Даже для надёжных систем через пару тысяч сканирований возможно ложное определение и пропуск злоумышленника на объект. Чтобы избежать этого многие системы отслеживают неудачные сканирования и после 10-15 попыток блокируют вход. Но в случаях, когда система этого не может делать — эта задача ложится на пользователя. К сожалению, об этом часто забывают.
Второй способ атаки на биометрическую систему — подделка объекта сканирования. В случае, если система имеет алгоритмы защиты от подделки, важно правильно на них среагировать. Обычно эти алгоритмы тоже вероятностные и имеют свой FAR и FRR. Так что не нужно забывать вовремя отслеживать сигналы об атаке и высылать охранника.
Кроме атаки на саму систему возможно атаковать окружение системы. Когда-то мы натолкнулись на забавную ситуацию в этой стране. Многие интеграторы не особо запариваются над передачей данных. Для передачи они используют стандартный протокол Виганда. При этом особо не запариваясь в большинстве случаев они его даже не шифруют. Так что проще не систему обманывать, а найти провод и послать ключик через него…
Надеюсь, что мои размышления о том, какая бывает биометрия и с чем её едят — когда-нибудь вам помогут. Или для того, чтобы поставить себе такую систему, или для того, чтобы обмануть чужую)
Что такое верификация и зачем она нужна?
В современном мире все больше людей используют интернет для общения, работы или совершения финансовых операций. Однако, в сети постоянно происходят кибератаки, кражи личных данных и мошенничества. Для того чтобы защитить себя и свои финансы имеет смысл использовать процесс специальной проверки личности и контроля доступа к аккаунту — верификацию.
Верификация — это процедура проверки личности, аккаунта или информации с помощью специальных алгоритмов и ручной обработки данных. Чаще всего это нужно для совершения операций с крупными суммами денег, взаимодействия с государственными или финансовыми организациями, а также для дополнительной защиты от кибератак.
Данный процесс многократно повышает безопасность использования интернета и предотвращает мошенничество в сети. В последнее время верификация стала механизмом основных процедур в ряде секторов экономики, таких как банковское дело, онлайн-торговля и другие. Распространены различные способы верификации, от звоноков на мобильный телефон и проверки через обычную почту до использования биометрических данных.
Важно понимать, что процесс верификации помогает повысить уровень безопасности в интернете и защитить свои личные данные от мошенников и киберпреступников.
Определение верификации
Верификация — это процесс проверки подлинности и правильности данных, информации или документов, а также оценки соответствия нормам и требованиям. Другими словами, это проверка того, что информация является достоверной и соответствует определенным стандартам.
Процесс верификации важен для обеспечения точности и надежности информации. Например, верификация может происходить при подписании договора, когда обе стороны должны убедиться, что условия договора являются правильными и точными. Также верификация может проводиться в науке и исследованиях, когда проверяется точность и достоверность полученных результатов.
Процесс верификации может проходить как вручную, так и с помощью компьютерных программ. При этом используются различные методы и алгоритмы, чтобы убедиться в точности информации. Важно отметить, что верификация является необходимой частью процесса проверки и обеспечения качества информации и данных.
Отличия верификации от аутентификации
Верификация
Верификация – это процесс проверки подлинности информации. Для верификации данных используются алгоритмы и методы, которые проверяют правильность информации, ее наличие и соответствие с заданными критериями. При верификации информация не всегда связана с конкретным пользователем.
Примером верификации может служить проверка корректности банковской квитанции или результатов анализа в медицинской лаборатории.
Аутентификация
Аутентификация – это проверка подлинности пользовательских данных, привязанных к конкретному пользователю. Аутентификация часто используется для доступа к информационным системам, сайтам, электронной почте и другим ресурсам.
Примерами аутентификации могут служить ввод логина и пароля на сайте или сканирование отпечатков пальцев для входа в здание.
Главное отличие между верификацией и аутентификацией заключается в том, что верификация проверяет подлинность информации, а аутентификация проверяет подлинность пользователя, связанного с этой информацией.
Зачем нужна верификация
Подтверждение личности
Основная цель верификации – подтверждение личности пользователя. Это требуется для установления доверительных отношений внутри сообщества, повышения безопасности и предотвращения мошенничества. Без верификации участник сообщества не сможет полноценно использовать все функции платформы.
Защита от фейков
Верификация также обеспечивает защиту от создания фейковых аккаунтов. Это важно для владельцев платформ, так как фейковые аккаунты могут использоваться для распространения спама, пропаганды нелегальных товаров и услуг, а также для атак на других пользователей.
Улучшение качества контента
При верификации платформа проверяет достоверность данных, которые указал пользователь при регистрации. Это позволяет фильтровать контент, предлагать более точные рекомендации и повышать качество общения внутри сообществ.
Повышение доверия
Обязательная верификация личности помогает клиентам и партнерам воспринимать платформу как надежную, что повышает ее репутацию и облегчает заключение контрактов и взаимодействие с другими компаниями.
В целом, верификация – это не просто формальный процесс, а средство повышения доверия и безопасности для всех участников сообщества.
Примеры использования верификации в различных сферах
Банковское дело
В банковском секторе проверка клиентов на соответствие законодательным требованиям является обязательным этапом при открытии счета, оформлении кредита и т.д. Верификация включает в себя проверку личности клиента, подтверждение его финансовой возможности, источников дохода и т.д. Такие проверки помогают банкам снизить риски, связанные с мошенничеством и финансовыми преступлениями.
Интернет-торговля
В интернет-торговле верификация используется для подтверждения личности покупателей и продавцов, а также для обеспечения безопасности электронных платежей. Некоторые платежные системы требуют, чтобы пользователь подтвердил свою личность, отправив сканы документов и другие данные. Благодаря этому мошенники не смогут использовать чужие данные для платежей и других манипуляций.
Медицинские исследования
В медицинских системах верификация позволяет контролировать доступ к медицинским данным пациентов. Конфиденциальность является приоритетом в данной области, и доступ к данным пациентов может быть предоставлен только определенным лицам. Поэтому системы верификации позволяют гарантировать безопасность и конфиденциальность медицинских данных.
Онлайн-игры
В онлайн-играх верификация используется для подтверждения возраста игроков и требуется в случае продажи товаров в игре. Игрокам моложе определенного возраста запрещено играть определенные игры, поэтому системы проверок позволяют конролировать возраст пользователей. Кроме того, зачастую в играх можно приобретать виртуальные товары, и верификация показывает, что платежи будут происходить от правильного пользователя.
- Вывод: Верификация является неотъемлемой частью различных сфер. Она гарантирует безопасность и конфиденциальность личных данных, предотвращает различные мошеннические операции, а также позволяет конролировать доступ к некоторым сервисам и возможностям.
Как проходит процесс верификации и какие ошибки допускать нельзя
Верификация – это процедура проверки подлинности и достоверности данных. При этом происходит проверка данных на соответствие определенным требованиям и стандартам. Для того чтобы данные были верифицированы, необходимо провести хорошо структурированную и систематическую проверку, которая должна быть тщательной и точной.
В процессе проведения верификации возможны ошибки, которые могут привести к некорректной интерпретации данных. Наиболее распространенными ошибками при верификации являются:
- Ошибки ввода данных – неправильное внесение данных (буквенных символов, цифр и специальных символов) может вызвать ошибку.
- Некорректное форматирование данных – форматирование должно быть однородным и следовать конкретному шаблону. Некорректное форматирование может привести к неправильному считыванию данных.
- Несоответствие требованиям – при верификации требования могут отличаться в зависимости от организации или индустрии. Несоответствие требованиям может привести к ошибке верификации.
Верификация – это важный процесс, который необходим для подтверждения правильности данных. Необходимо тщательно проверять данные, чтобы исключить возможность ошибок и достоверно подтвердить их подлинность.
What is the difference between verification, authentication and access management?
A secure digital exchange starts with identity. An organization needs to know who a person is before it can interact with them, because their identity dictates what they’re allowed to see and do.
The technical terms verification, authentication and access management refer to different methods for determining who a person is. The method used depends on the context of the exchange:
- Is this the first interaction or the fiftieth?
- Is the interaction high risk or low risk?
- Is the person a customer or an employee?
- Which country are they in?
The distinction between these methods matters when you are designing or updating a digital system and determining what identity services you need.
What is digital identity?
Identity is multidimensional. You are one person with one identity, but there may be hundreds or even millions of data points that together form the full picture of who you are (depending on how finely we’re measuring). These data points are called personally identifiable information (PII) when they can be used to identify a specific person (for example, full name or driver’s license number).
Some aspects of digital identity are fixed or rarely change:
- Name
- Date of birth
- Phone number
- Biometrics such as fingerprints
- IP address
Some aspects of digital identity can be chosen and easily changed:
- User name
- Password
- Security questions
These data points could be in a database maintained by a company or a government, or they could be stored on a smartcard. They could be encrypted or randomly generated. What makes these data points part of digital identity is that they’re computer-readable and identify a single person.
What is identity verification?
Identify verification answers the question, “Are you a real person?”
Verification is usually a one-time event that happens during a person’s first interaction with a system (also called registration or onboarding).
Verification can be done digitally in two main ways:
- By comparing user-submitted identity data such as name, date of birth and phone number to third-party data sources
- By examining an identity document such as an ID card or driver’s license to make sure it is valid
The purpose of identity verification is to make sure that the person registering with the system exists.
Financial services and gaming providers use verification to help screen out people who may be trying to commit a crime or defraud the system. In these cases, verification is legally required to comply with Anti-Money Laundering (AML) and Know Your Customer (KYC) regulations. Since these regulations vary between jurisdictions, the verification method used depends on what’s demanded by the local regulations.
Online marketplaces and social networks use verification to help make sure people aren’t misrepresenting themselves to trick others, hide their activities or misuse the system. These organizations use verification voluntarily to create more user confidence in their services.
What is authentication?
Authentication answers the question, “Are you who you say you are?”
A person is authenticated regularly and repeatedly, every time they log in to a digital system. Authentication is not a one-and-done event — it’s an ongoing activity.
Authentication is done by asking the user for information and comparing it to the information associated with that identity or account:
- Something the user knows, such as a password or the answer to a security question
- Something the user was given, such as a mobile phone or security key
- Something the user has inherently, such as a fingerprint or facial recognition
A common example of authentication is an email activation link sent to a user of a digital service: if the user can’t click the link because they don’t have access to the email account, they can’t be authenticated, and they don’t get access to the service. They’re not who they say they are.
The purpose of authentication is to make sure that the person logging in has the right to access the system.
Because the average person needs to access many different digital systems (email, social networks, banks, retail stores, ridesharing, the list goes on), they have multiple digital account identities.
Low-risk systems, such as free content sites, use minimal authentication to keep the barriers to entry as low as possible. Higher-risk systems like financial institutions and email accounts use stronger authentication. For example, multi-factor authentication (MFA) involves asking for more than one “factor” or piece of information to securely confirm that the person logging in is the same person who originally registered.
A note on liveness checks: some facial recognition software requires that the user wink or move their head to demonstrate that they’re alive and that the facial image is not a static photo. Liveness checks can be part of identity verification (confirming that it’s a live image of a real person) or authentication (confirming that it’s a live image of the person claiming a certain identity).
What is identity and access management?
Identity and access management (IAM) is a framework for maintaining all of the digital account identities for a particular system. IAM answers the question: “Are you allowed to access this system?”
IAM allows administrators to set the access rules for a system, help legitimate users get in, and keep unauthorized users out. For example, IAM governs the following:
- What information does the system ask for when a user registers?
- How long does a password need to be and which type(s) of characters does it require?
- What different types of users are there and what do their roles allow them to do?
Traditional IAM systems help organizations manage access for their employees. Employee IAM governs which employees can use certain software applications, log in to certain networks, and perform certain functions within those applications and networks.
Customer IAM systems (CIAM) are designed for companies to manage customer access. CIAM manages accounts for all types of businesses, including eCommerce, entertainment and online marketplaces, as well as organizations such as governments and non-profits.
A note on OAuth: OAuth is an authorization framework that allows a member of one identity system to access another system without logging in again. When you use Facebook and an app asks if it can access your user name or email address or friends list, that’s OAuth in action. The user has granted the two systems the right to interact by clicking Yes.
Importantly, OAuth is not an authentication protocol. The person who clicks Yes to allow an application access to data may not be the person who is represented by that data.
Trulioo GlobalGateway is an identity verification platform
In the current market, there’s a wide and varied array of identity solutions, as evidenced by the 2019 OWI identity landscape: “Since 2016, the number of identity companies has exploded from 230 companies to over 2,000.” So some confusion about different types of identity solutions is understandable.
Trulioo is proud to be in the business of identity verification. Using GlobalGateway, our clients can compare user-submitted data to over 400 global data sources to determine whether those users are real people. In addition, GlobalGateway can also help verify businesses and their connected entities, such as owners and shareholders.
Clients can also use GlobalGateway to perform identity authentication by combining identity verification with ID document verification and liveness checks.
By returning reliable match/no-match results, GlobalGateway helps our clients welcome legitimate users and keep out fraudsters and criminals, in service of our mission to build trust online.
The vocabularies of digital identity verification, authentication and access management are always evolving with their respective technologies. But in the meantime, we hope these definitions will serve you well.
Download the GlobalGateway Product Brochure
Learn how Trulioo’s marketplace of identity data and services can help your company build trust online, comply with cross-border AML/KYC requirements and prevent fraud.
Что такое Аутентификация? Чем отличается Верификация от Идентификации?
Для постановки бизнес-задач по системной интеграции или адаптации программных решений с использованием биометрических систем, необходимо четко осознавать базовые особенности требуемой архитектуры и понимать разницу и смысл необходимых терминов.
Зачастую, в рамках обсуждения проекта, потребители говорят — нам необходима идентификация (1:N) (т.е. выборка 1 из множества), при этом требования архитектры проекта требуют введение верификации (1:1) (т.е. выборка один к одному).
Потребители часто не понимают различие между идентификацией и верификацией, однако при планировании
архитектуры просят использовать идентификацию, при этом легко доступен второй фактор, позволяющий ввести принцип верификации посредством второго фактора: имя, номер покупателя, номер пациента, номер прав, номер паспорта, СНИЛС, ИНН, номер ID сотрудника компании или номер телефона.