Ідентифікація особи за допомогою біометричних даних зустрічається на кожному кроці. Ми прикладаємо палець, щоб розблокувати смартфон, а на карантині годинами крутили головою у додатку Дія, щоб мати змогу вийти в магазин. З одного боку, біометрія це швидко і зручно. Можна забути пароль від акаунту, але забути вдома голову можна було лише у дивних фантазіях ваших шкільних вчителів. З іншого боку, шахраї не втомлюються сприяти прогресу систем захисту, щоразу винаходячи нові способи його обійти.
Біометрична ідентифікація — це розпізнавання особи за допомогою аналізу анатомічних ознак та поведінки. При цьому використовуються ознаки, які суттєво не змінюються протягом життя: відбитки пальців, форма обличчя, райдужка та сітківка ока. Вибір ознаки для перевірки особи диктується складністю і вартістю устаткування та необхідною надійністю і стійкістю до злому. Звісно, існують надзвичайно стійкі до підробок способи захисту, наприклад, аналіз крові. Але доки машини не захопили людство, такі методи використовуються лише в окремих випадках і про них тут мова не піде.
Для використання біометричної перевірки необхідно, щоб перевіряюча сторона мала в розпорядженні зразки для порівняння з тим, що ви їй пропонуєте. Система зчитує дані за допомогою сенсорів, сканерів та інших пристроїв і зберігає у цифровому вигляді. Коли ви прикладаєте палець до сканера або дозволяєте камері за допомогою інфрачервоного випромінення виміряти геометрію вашого обличчя, система порівнює отримані дані з тими, які вже є у базі. Якщо вони співпали — ви можете зняти свої гроші або пограти в “Змійку”, доки їдете у метро.
Зловмисники можуть атакувати систему на будь-якому етапі процесу: внести чужі біометричні дані під час реєстрації, викрасти базу даних зі зразками, спробувати обманути підробленим фото або змінити обличчя за допомогою силіконової маски. Найпростіше атакувати систему в момент верифікації, видавши себе за іншого користувача. Такі зловживання з наміром підробити чужі дані називаються спуфінгом.
Для захисту від злочинних намірів поцупити ваші дані, система, хай як обурливо це звучить, може попросити вас довести, що ви — справжня людина. Механізми такої перевірки називаються liveness detection — перевірка того, чи ви дійсно жива людина. Вона буває двох видів: пасивна і активна. Під час пасивної система аналізує ряд параметрів у фоновому режимі, активна ж пропонує вам виконати якусь дію (pun intended) і визначає, чи гарно ви впоралися із завданням. Наприклад, просить повернути голову чи посміхнутися, і слідкує за тим, чи ви взагалі відреагували, наскільки швидко, і чи ваші рухи видавалися природними. Пасивна й активна перевірка можуть відбуватися одночасно: доки ви розминаєте шию чи мімічні м’язи, система аналізуватиме колір обличчя і зміну освітлення під час рухів. Тому якщо сама необхідність робити зарядку перед камерою змушує вас багряніти від роздратування чи напруження, варто обрати інший спосіб ідентифікації.
Будь-який алгоритм, заснований на перевірці біометричних даних, працює з імовірностями, а тому теоретично вразливий до помилок. Грубо кажучи, при перевірці система намагається відповісти на питання “з якою імовірністю відбиток пальця, що я бачу на сканері, є ідентичним тому, який вже маю у своїй базі?”. Якщо така вірогідність перевищує задане порогове значення, клієнт проходить верифікацію.
Оскільки прості й дешеві системи перевірки легше обвести круг пальця, а складні та дорогі, логічним чином, складно та дорого виробляти, застосовуються комбінації кількох способів перевірки. В такому разі, якщо ми одночасно використовуємо два способи перевірки, а шанс обманути кожен з них складає 1%, то ймовірність одночасного проходження обох перевірок становитиме вже один на тисячу.