Представитель «Ростелекома» отвечает, почему в ней нет отпечатков пальцев и смогут ли её обмануть близнецы.
Зачем нужна ещё одна биометрия, если я и так всё делаю через телефон?
Идея единой биометрической системы родилась в финансовой сфере: банки хотят стать полностью цифровыми, но осталась одна преграда — идентификация клиента. Договоры по-прежнему составляют с курьерами или в отделениях: представитель банка лично проверяет, совпадает ли фотография в паспорте с посетителем.
Это принцип «знай своего клиента», который в России закреплён законодательно. Но такая ситуация банки не устраивает: идентификация занимает по 20-30 минут, и ради этой рутины приходится содержать огромный штат. Финансисты инициировали создание системы, из которой можно взять проверенные данные без личного визита.
На этом моменте у некоторых читателей могло возникнуть недоумение: пластиковые карты всё чаще лежат дома, а представителей банка видишь раз в жизни — при открытии счёта. Непонятно, почему вместо этой однократной встречи нужно сдать биометрию.
Но логика есть: любое взаимодействие впредь становится дистанционным, и при смене банка больше не нужно будет встречаться с сотрудниками. Особенно это интересно маломобильным гражданам и жителям отдалённых регионов: им нередко приходится пользоваться банком, который поближе к дому, а не тем, что предлагает выгодные условия.
Помимо финансовой и смежных областей (вроде страхования), биометрический профиль применим, например, в ритейле. Можно прийти в магазин с пустыми руками и оплатить покупки, посмотрев в камеру на кассе.
И это не какое-то далёкое будущее: на выставках мы показали вендинговые автоматы, в которых это возможно, а первые кейсы ритейла можно будет увидеть в ближайшее время — на промышленном уровне первой биометрию внедрит сеть кофеен Coffee Bean.
Заинтересовано и государство. Исторически биометрия использовалась скорее в криминалистике и расследовании преступлений, и лишь в последние пару лет сделала крен в коммерцию.
Любопытен пример Индии, в чьей биометрической системе зарегистрировано более миллиарда пользователей: стране удалось перескочить этап физических документов, и жители получают льготы по роговой оболочке глаза, а не по бумаге с печатью.
На манер банков, упростить идентификацию можно и в государственных органах — больше не понадобятся сотрудники, у которых полдня уходит на перепечатывание данных из паспортов, а посетители смогут оставлять документы, подтверждающие личность, дома.
Ещё один фактор — никаких рассылок с SMS-кодами: снимаются вопросы по перехвату и подмене сообщений. Да и мошенники, которые выманивают коды, притворяясь представителями банков, останутся не у дел.
Таким образом, и государство, и коммерция закрывают вопросы безопасности, а клиентский путь упрощается и становится дешевле. Но юридически эти процессы протекают тяжело: сперва нужно было сформулировать требования к защищённости системы, а теперь — придумать, как с появлением новых возможностей не замучить пользователей запросами на согласие.
Какие биометрические данные нужны?
Пара из голоса и изображения лица. Для подтверждения банковской операции пользователь произносит случайный набор из пяти цифр на камеру смартфона или ноутбука — получается короткое видео. Использовать сразу два фактора — уникальное решение для национальных систем: как правило, другие государства приходят к более дорогим и сложным считывателям.
Наша комбинация позволила снизить вероятность ошибки до 10⁻⁷. Мало того, что мошеннику нужно украсть пароль от «Госуслуг», ему потребуется в среднем десять миллионов попыток, чтобы выдать себя за конкретного человека. И точность системы значительно выше, чем того требует закон: по нему система должна быть уверена «всего» на 99,99%.
Куда делись отпечатки пальцев?
Отпечаток — всё ещё один из самых популярных биометрических параметров, но по данным исследований, он растерял свою надёжность. Его легко можно обойти силиконовой накладкой — мошенники наловчились воссоздавать рисунок на подушечке пальца. Достаточно одного касания к гладкой поверхности, чтобы неосознанно допустить его попадание в чужие руки.
Технологии не стоят на месте, и уже есть считыватели отпечатков, которые проверяют ток крови и капиллярный рисунок. Проще говоря, понимают, что это палец живого человека, а не резиновая имитация. Но такие технологии идут в разрез с нашей концепцией.
С вышеназванной Индией, где помимо роговицы оставляют и отпечатки, у нас значительные расхождения в целях. Для них биометрия — возможность обеспечить госуслугами очных посетителей, поэтому они закупили и расставили сканеры в свои учреждения. А нам интересно предложить решение для дистанционных открытий счетов и вкладов.
Если бы мы остановились на отпечатках, то для создания надёжной системы каждому пользователю нужно вручить гаджет, у которого есть продвинутый считыватель отпечатка — абсолютно нереальный сценарий. Даже если они уже стоят в дорогих моделях смартфонов, просить производителей раскрыть спецификации — наивно. Мало того, что такие технологии проприетарны, они ещё и отличаются у разных производителей.
Зато камеры и микрофоны есть даже в дешёвых устройствах, и пользователю не нужно никакое другое специальное оборудование. Мы начали с самого сложного кейса и следом «накручиваем» другие сценарии — те же очные госуслуги и ритейл.
Как выглядит процесс сдачи биометрии?
Биометрию можно сдать в 11 тысячах банковских отделений по России. Вскоре к ним добавятся ещё три тысячи МФЦ — сейчас это на стадии пилота. Зайти можно в любой банк, но для сдачи биометрии придётся стать его клиентом, например, подписав какой-нибудь необременительный договор общего обслуживания. Но удобнее обратиться в банк, клиентом которого уже являешься.
Следом встать в электронную очередь, взяв талончик: многие банки уже выводят на него конкретную услугу — сбор биометрии. Операционисту нужно передать свой паспорт и СНИЛС, он проверит, есть ли подтверждённый профиль на «Госуслугах». Если нет — сразу создаст и подтвердит. Таким образом, «Госуслуги» становятся окном в мир биометрии, хотя это принципиально разные системы.
Следующий этап — фотография на камеру, которой оборудовано рабочее место операциониста. И последнее — запись голоса. К ней предъявляются наиболее высокие требования, поэтому банки вынуждены закупать качественные микрофоны. Есть и альтернатива — создать мини-студию звукозаписи прямо в отделении, хотя этим никто не пользуется.
Отношение сигнал-шум для звука не менее 15 дБ.
Глубина квантования не менее 16 бит.
Частота дискретизации не менее 16 кГц.
Не допускается использовать шумоподавление.
На монитор выводятся три ряда чисел, которые нужно озвучить. На произношение каждой последовательности уходит по 7-10 секунд — в зависимости от привычного темпа.
Запись голоса и фотография сразу же преобразуются в математические модели и формулы, а затем отправляются на хранение в отдельную базу, к которой у банка уже нет доступа. Вся регистрация биометрии занимает 5-10 минут.
Процедура с банками без отделений похожа, но всё это происходит не в офисе, а дома у пользователя — курьер сам приезжает с оборудованием. Банк заранее предупредит, что требуются определённые условия: если в этот день сосед штробит стену, сдачу биометрии придётся перенести.
Как проверяется качество? А если я буду вертеться перед камерой или запнусь в микрофон?
Над этим вопросом мы ломали голову в начале этого года: за небольшой промежуток в четыре раза увеличилось количество отделений, в которых можно было зарегистрировать биометрию. Банкам удалось быстро масштабироваться, но оптимизация процессов запоздала, и иногда сотрудники не понимали, что от них требуется. Пользователи же справедливо нас критиковали, когда процедура затягивалась до сорока минут.
Мы разработали ассистента для операционистов и библиотеку контроля качества. Сотрудник банка в реальном времени получает рекомендации по сбору биометрии: «попросите клиента снять очки и чуть повернуть голову вправо». Это продолжается, пока система не убедится, что всё в порядке.
Поворот головы должен быть не более 5° от фронтального положения.
Расстояние между центрами глаз должно составлять не менее 120 пикселей.
Выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально с учётом поведенческих факторов или медицинских заболеваний.
Качественный шаблон очень важен, а примерно тридцати секунд записи достаточно, чтобы сгенерировать большой набор признаков. Затем клиент сможет подтверждать операции даже в шуме московского метро — мы тестировали этот сценарий, чтобы понять, срабатывает ли система в сложных условиях.
Нужно ли сдавать биометрию периодически, как менять паспорт?
Да. Это вопрос изученности технологий: связка из голоса и изображения лица действует только в России, и ни у кого нет опыта, на который мы можем опираться. Поэтому остаётся только терпеливо ждать статистику — меняются ли лица до неузнаваемости системой за 10-20 лет.
Пока мы перестраховываемся — биометрия действительна на протяжении трёх лет, после чего нужно регистрировать её заново. С момента появления первых пользователей прошло полтора года, так что только летом 2021 года станет понятно, падает ли точность на такой дистанции. Наша цель — отодвинуть этот порог до 10-15 лет, чтобы процедура не повторялась чаще, чем смена паспорта.
Недавно единая биометрическая система отметила 100 тысяч пользователей.
Пока я приболел, лучше не регистрировать биометрию?
Да, если голос значительно осип. Если зарегистрировать вместо привычного тембра простудный хрип, то такой визит в отделение может оказаться напрасным — система просто перестанет узнавать пользователя, когда он поправится.
Операционист вряд ли поинтересуется состоянием здоровья: это не его работа, и он не в курсе медицинской истории — откуда ему знать, является ли искажённый голос последствием хронической болезни или временной простуды. Лучше пользователей никто не знает, насколько болезнь повлияла на внешний вид и тембр, и нужно отталкиваться от собственных ощущений.
Внешний вид вряд ли что-то изменит: систему не смущают макияж и борода, так что крайне маловероятно, что она не сработает из-за синяка или припухлости лица. Простая аналогия: разблокировка смартфона по лицу происходит даже при тусклом свете прикроватной лампы, когда пол-лица в подушке.
А если я украду пароль, наклею на лицо фотографию другого человека и включу его диктофонные записи с его голосом?
Каждое подтверждение операции проходит четыре этапа проверки. И таким способом можно обойти только половину из них — система может узнать лицо и голос, но этого недостаточно. Следом проверяется, живой ли человек совершает попытку — за это отвечают технологии Liveness.
Машина анализирует микродвижения мимических мышц, текстуру падающего на лицо света, появление бликов и теней. И при первых сомнениях попросит пользователя улыбнуться, отодвинуть телефон, покачать головой. Всё это время будет проверяться плавность изображения и скорость реакции — к этому моменту уже сыпятся попытки обойти защиту с помощью простых масок.
Возможно, шедевральная работа реквизитора и гримёра позволит создать точный слепок лица другого человека, который сможет динамически менять мимику. Но голос тоже проходит проверку: сперва система выясняет, не подсовывают ли ей диктофонные записи. Динамикам свойственны определённые частотные диапазоны — при близком рассмотрении записи не похожи на «тёплый, ламповый» звук человеческого голоса.
Оценивается акустическая обстановка, переходы от одной цифры к другой, артефакты, которым грешат программы синтеза речи, и ритм дыхания.
Финальное разрешение на операцию даёт модуль поиска аномалий — он всем знаком по банковскому антифроду. Странно, если спустя два часа после последнего логина в Москве вы подтверждаете в Сингапуре кредит — это операция определённо вызовет подозрения.
У меня есть нерадивый брат-близнец, которому хочется пожить за мой счёт, как быть?
Тестирование я наблюдал воочию: у нас в офисе работает девушка, у которой есть сестра-близнец. И мы пробовали вместе с ними обмануть систему — дали пароли друг друга и пробовали подтвердить операцию. В нашем случае система зажгла красный свет при сверке голоса.
Биометрия — наиболее совершенный способ различить близнецов: они бы легко обманули операциониста в банке, а вот машине легче найти различия в стиле речи или внешности. Близнецы — обязательные участники выборки, на которой мы проверяем разработки.
На пару лет эмигрировал в Сан-Франциско, нахватался произношений и стартаперских слов, вернулся делать бизнес. Повлияет ли акцент?
Скорее всего, повлияет на степень уверенности, с которой система подтвердит личность, но не на исход. То есть, в меньшую сторону изменится точность: какая-нибудь восьмая цифра после запятой.
Округление каких-нибудь гласных — лишь единичный параметр во всём многообразии свойств голоса. Но решение, выдавать ли кредит на стартап, всегда остаётся за банком — система только отправляет ему процент схожести между человеком и шаблоном.
А если я там ещё и пластику лица сделал?
Это уже вопрос к степени хирургического вмешательства: явно ничего не произойдёт, если слегка убрать горбинку на носу. Но переделанные черты лица, скорее всего, система не узнает — имеет смысл сходить за новой регистрацией биометрии.
Причём тут «Ростелеком»?
«Ростелеком» выступает оператором этой системы, а если сформулировать менее канцелярски, то лабораторией, которая задаёт стандарты. Мы не играем на стороне каких-то конкретных банков, а воплощаем биометрию под потребности отраслей: финансовой, медицинской, торговой.
В проекте «Единой биометрической системы» участвуют ведущие разработчики в области биометрии — частные компании, которые успешно участвуют в международных тестах и соревнованиях. Запросы случайным образом попадают на несколько из примерно десяти отобранных алгоритмов — мошенники не могут приспособиться, потому что не знают, какой именно модуль в работе. Такая ротация — это ещё одна степень защиты. А если одна технология начинает проваливаться или отставать, мы её отключим от системы и заменим.
И ни слова о том, как гарантируется защита биометрических данных (спойлер: никак). Это означает, что при очередном сливе базы какого-нибудь банка все твои биометрические данные улетают в даркнет. Как их будут использовать дальше — большой вопрос...
Если вы не ходите постоянно в черных очках и общаетесь только записками, то узнать данные проще чем пароль
И они не хранятся в виде фоток и mp3 файлов. Невзламываемое за срок вашей жизни шифрование придумали даже не в этом столетии
Биометрические данные никак не защищены от сбора злоумышленником. При необходимости их соберут без вашего ведома, ведь вы их распространяете постоянно.
И главная проблема в том, что они безотзывны. Если их скомпрометировали, то все что вы можете сделать, это отказаться от использования ЕБС на 4-5 и более лет через какую-нибудь сложную процедуру.
И проблема даже не только в этом, а в некоей презумпуции непогрешимости системы. Акт согласия с чем либо нельзя верифицировать впоследствии, проверить насколько он был достоверен на самом деле.
Но как же.. квантовые компуктеры.
Хотя не спец по ИБ и не знаю, насколько уже успели внедрить шифры, устойчивые ко взлому ими.
Я так понял, что банки никакого отношения к хранению биометрии не имеют. Есть централизованное государственное хранилище. так что, как минимум банки слить ничего не смогут
Ничто на это явно не указывает
Еще как имеют. Они ее у себя дублируют, так как каждая идентификация через ЕБС предполагает оплату, а идентифицировать своей базой - бесплатно.
Да -да сдавайте биометрию , так мошенникам проще получить доступ к счетам после очередного слива данных
да сейчас уже новый вид мошенничества появился - мошенники просто за вас сдают биометрию и становятся вами для всех систем построенных на биометрии поэтому потом проходят любые проверки, слабое звено тут сотрудники или системы, которые эту биометрию собирают изначально https://lukatsky.blogspot.com/2019/09/deepfake.html?m=1
И приходим к интересному выводу, что отсиживаться со сдачей биометрии не надо, а надо бежать её сдавать..просто чтобы мошенники не успели.
Возможно, я ошибаюсь, но мне кажется, что биометрические данные хранятся в виде хэшей, цифровых слепков, по которым нельзя восстановить исходные фото/голос.
Тоже на это надеюсь. Но если бы это было так, об этом было бы сказано явно. Вообще этот момент освещён максимально расплывчато, доверия никакого нет
Не занимаюсь биометрией, но насчет хешей как математик сомневаюсь. Смысл хранения хешей в том, что при малейшем изменении оригинала хеш меняется до неузнаваемости. То есть у двух похожих паролей будут совершенно разные хеши, поэтому по хешу чужой пароль не восстановишь. НО с голосом такой подход не пройдет - немного другой тембр голоса - и всё совершенно другой хеш, который проверку не проходит. Наоборот тут будет храниться что-то, что можно запихивать везде.
В случае с биометрией, хеш - бессмыссленное понятие. Биометрия не дает статичный уникальный набор данных на вход, он постоянно меняется и поэтому хеш-функция будет давать кардинально разные наборы на выходе, которые ни с чем не сравнить.
Там используется некая свертка из собранных данных по некоторым параметрам, предполагая что параметры немного гуляют от эталонного значения, поэтому сравнение происходит в каких-то пределах и на выходе получается вероятность соответствия, например 90%. Тогда мы можем на основе какого-то критерия достоверности либо принять такую идентификацию, либо отказать.
Но это же открывает окно возможности для deepfake.
Может хранится хеш не голоса, а каких-то параметров голоса, которые для человека постоянны? Хотя с таким подходом много неясностей тогда
Комментарий недоступен
Понятно, что это нужно для тотального контроля через систему городского видеонаблюдения. Главный вопрос: нужно ли это гражданам ?
Пример с Индией доставил. Мы же помним про самую крупную утечку биометрических данных?
а можно ли как то ей воспользоваться? фото и голос есть же и в фейсбуке/инстаграмме и тп., а какого нибудь Урганта или Соловьева вообще из каждого утюга видно и слышно
Воспользоваться можно, достаточно натравить на образцы нейронную сеть типа GAN получим изображение нормальное и голос..
Нужно знать конкретику, взять данные можно, только использовать нельзя. Особенно с радужной оболочкой глаза, их снимают на специальный сканер и получают свертку, восстановить по ней исходное изображение невозможно
А если человек глухонемой?
Если вы сольёте (а вы без сомнений сольёте) биометрию клиентов в сеть и перейдете при этом на биометрию (а вы перейдете, ведь управление счётом уже возможно по код-слову, и уже не нужно показывать паспорт если вы вдруг не в курсе вашего там Ростелеком в1999г), как быть клиенту? Как ему восстановить доступ к своим материальным ценностям, если биометрия уникальна, а удалить её у злоумышленник вы не в силах?
Хорошая статья, написанная понятным языком. Видно, старались люди.
На мой взгляд, выбранный Ростелеком путь довольно сложен. Голос усложняет жизнь всем в системе, и пользователям, и агентам и бизнесу. И он изменчив. А вот современное распознавание лица + liveness тесты дают хорошую гарантию точности и защиты от фрода. Интересно, если здесь есть кто-то из разработчиков, рассматривали ли вы запуск с использованием только биометрии лица? И почему отказались?