Каждый день миллионы компьютеров решают одну и ту же проблему, которая невероятно сложна для них. Они проверяют, что вы – это вы. Чаще всего, для этого используется пароль. Но забыть или украсть пароль проще простого. Проблемы с паролями все чаще приводят к появлению других систем идентификации пользователя. Очень простая и привлекательная идея – биометрическая аутентификация, которая позволяет просто приложить к сканеру свой палец или посмотреть в объектив или сказать кодовую фразу. Ваши пальцы, глаза и голос всегда при вас, а у других людей их нет, не так ли? Увы, и в этой удобной формуле есть свои подводные камни.
О каждом из них я расскажу подробней, а пока просто перечислю: сравнение всегда приблизительное, «пароль» сменить практически невозможно, а надежно зашифровать на его основе данные очень трудно. Есть и прикладная, но возможно самая важная проблема – подделка. Зачастую она вполне возможна, причем простыми бытовыми средствами.
Свой-чужой
Главное отличие любой биометрической аутентификации от обычного пароля в том, что полного соответствия эталона с проверяемым образцом нет никогда. Это связано как с принципом сканирования так и внешними факторами. Два разных отпечатка одного и того же пальца будут немного отличаться, внешний вид лица сильно меняется в зависимости от условий освещения, наличия шапок и очков, времени суток, того, как прошел вчерашний вечер, наличия макияжа – и это не говоря уже о старении человека. На голос тоже влияют многие факторы, взять хотя бы банальную простуду. В этих условиях трудно сделать так, чтобы законного владельца система признавала всегда, но никогда не допускала посторонних.
Поэтому любая биометрическая система сильно «вычищает» первоначальную запись образца (фото, скан отпечатка, запись голоса, и т.п.), чтобы оставить только некий скелет, содержащий лишь характерные признаки, пригодные для сравнения. Но даже после этого сравнения образца с эталоном остается вопросом вероятностей: для систем не слишком большой важности приемлемым считается ошибочно признать чужого за своего в одном случае из десяти тысяч, а заставить своего пройти проверку еще раз в одном случае из 50. Когда речь идет о мобильных устройствах, нестабильность внешних условий сильно повышает шанс на ошибку – из-за плохого освещения или тряски проверка лица на Android-смартфонах сбоит в 30-40% случаев.
Пароль на всю жизнь
Если вы забыли пароль или его украли, его можно изменить. Если вы потеряли ключ от замка, можно сменить замок. Но что делать, если доступ к банковскому счету «закрыт» рисунком вашей ладони, как это принято в Бразилии и Японии, а база этих образцов «утекла»? Сменить ладонь очень проблематично. И даже если сегодня технологий подделки ладони не существует, где гарантия, что они не появятся через пять, десять лет? Ладонь за это время не изменится. Эту фундаментальную проблему можно решить на отпечатках пальцев, используя только 2-4 вместо 10, тогда остается запас на «смену пароля». Но очень небольшой запас, на всю жизнь может не хватить. Глядя на то, как часто взламывают веб-сервисы, воруя пароли, доверять им биометрическую информацию как-то страшновато. Хотя в базах данных хранится не сам отпечаток, а его упрощенная версия, по ней можно восстановить отпечаток, который будет успешно проходить проверку.
К тому же, возникает проблема конфиденциальности. Биометрический «пароль» очень четко идентифицирует вас, как вас, и, например, завести два аккаунта в социальной сети, используя разные e-mail и пароли, невозможно – установить, что на самом деле это один и тот же человек, проще простого. Строго говоря, среди миллиарда пользователей схожий до трудноразличимости «отпечаток» может оказаться у нескольких десятков, или даже сотен, но различить их по IP-адресам и другим дополнительным данным несложно. Если распространить биометрическую аутентификацию на все популярные веб-сервисы, проблема онлайновой слежки за пользователем решится автоматически – он всегда будет под колпаком.
Цифровой сейф
Основное применение паролей и, потенциально, биометрии – ограничение доступа к устройствам и сервисам. Второе по популярности – ограничение доступа к данным, хранимым на устройстве. Вот во втором случае биометрия трудноприменима.
Когда вы прячете документы в сейф со сканером отпечатков пальцев, они неплохо защищены стенками сейфа и обойти проверку отпечатка можно только с помощью мощной дрели. Когда вы прячете документы на компьютере, роль «стенок» выполняет шифрование данных, потому что обойти сравнение пароля, равно как и любую другую проверку проще простого. И вот тут возникает трудность. Обычно когда что-то шифруется с паролем, на основании пароля создается ключ шифрования, и сменив хоть одну букву пароля, вы получите абсолютно другой ключ, которым ничего не удастся расшифровать. Биометрический «пароль» немного меняется каждый раз, поэтому напрямую шифровать с его помощью проблематично. Поэтому существующие системы для создания «цифрового сейфа» обычно задействуют помощь из «облака» – проверка биометрического соответствия проводится на сервере, и в случае успеха выдается ключ шифрования. Проблема здесь та же, что в предыдущем подразделе – при взломе могут «утечь» и биометрические данные, и сами ключи шифрования.
Биометрия на практике
Если оставить за скобками научную фантастику, военные и правительственные разработки, то биометрическая аутентификация сегодня используется в двух видах. Первый – отдельные эксперименты, преимущественно в банках. Кроме уже упомянутых банкоматов со сканером ладони, ряд банков используют голосовую аутентификацию клиентов. Второй вид «повседневной биометрии» можно встретить в ноутбуках и смартфонах. Это распознавание лица при помощи фронтальной камеры, а также сканирование отпечатка пальца. Пара систем использует еще и голосовую авторизацию. Помимо общих проблем, присущих любой биометрической системе и описанных выше, реализации на бытовых устройствах имеют свои индивидуальные недостатки. При разработке приходится учитывать многие ограничения, такие как мощность процессора, стоимость и размер сканера отпечатков, а в жертву часто приносится надежность системы. Поэтому многие сканеры могут быть одурачены мокрой бумажкой с распечаткой отпечатка пальца или желатиновым слепком. А ради наживы мошенники могут изготовить и полноценный фальшивый палец, и такие криминальные схемы уже существуют. С другой стороны, легальные пользователи порой вынуждены «прокатывать» палец по десять раз, поскольку сканеры чувствительны к чистоте и влажности рук, не любят порезов и ожогов.
Системы распознавания лиц элементарно «ведутся» на фотографию (хотя эта проблема устранима дополнительным требованием подмигнуть). Но капризность мобильных систем усложняет их использование и без подмигивания, поэтому приемлемый уровень надежности резко снижает применимость «лицевой» биометрии в качестве единственного средства доступа к данным. Проще говоря, в темноте вы просто не разблокируете свой телефон, если у вас нет запасного… правильно, старого доброго пароля.
Голосовые системы по утверждениям многих разработчиков неуязвимы к подделкам, как в форме диктофонных записей, так и в форме пародистов-подражателей. Но по факту все упирается в качество конкретной системы и в некоторых исследованиях программа, переделывающая голос, могла обмануть проверку в 17% случаев. Хорошие системы на базе анализа произвольных фраз пока сложноваты для запуска на мобильном устройстве, а «облачная» реализация делает аутентификацию процессом более медленным, завязанным на качество связи и уязвимым к дополнительным видам атак, например, «человек посередине». Кстати, именно для голосовой аутентификации этот вид атак представляет собой большую угрозу, поскольку выманить образец голоса значительно проще, чем другие биометрические пробы.
Это сочетание практических неудобств и недостаточной надежности активно препятствует широкому внедрению биометрической аутентификации взамен традиционным паролям и электронным ключам. Пока что надежная проверка личности возможна только в контролируемых условиях, таких как кабинка паспортного контроля, проходная, но отнюдь не произвольное место планеты и трясущийся в руке мобильник.