{"id":4879,"title":"\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0441\u043f\u0435\u0442\u044c, \u043f\u043e\u043a\u0430 \u0432\u044b \u0447\u0438\u0442\u0430\u0435\u0442\u0435 \u044d\u0442\u0443 \u0441\u0442\u0430\u0442\u044c\u044e","url":"\/redirect?component=advertising&id=4879&url=https:\/\/vc.ru\/otpbank\/266952&hash=82572a4a372a00657a2afc359f19a24c0bd24be8cecbd743f0681209c07c9a3a","isPaidAndBannersEnabled":false}
Дарья Верестникова

"Подводные камни" использования биометрии

О биометрии. Part 2

Среди актуальных задач развития современных цифровых каналов обслуживания особенно выделяются две: обеспечение безопасности средств на счетах клиентов, а также повышение удобства работы пользователей. Одним из возможных путей решения этих задач является использование биометрических технологий. При этом, как продукты любой наукоемкой отрасли биометрические решения сложны, а их использование для защиты ДБО и обеспечения удобной работы содержит множество «подводных камней». И отнюдь не все одни «драгоценные».

Камень первый. Готовых «коробочных» решений для защиты клиентов ДБО с помощью биометрии нет. Необходима сложная и дорогая интеграция — внедрение биометрических технологий в вашу систему ДБО. Обычный пользователь возразит: «Как же так? На наших мобильных устройствах давно уже есть и Touch ID, и Face ID. Биометрия давно уже вокруг нас, и мы давно можем прикладывать пальчик и показывать в камеру лицо и сетчатку глаза!». Да, все верно, возможности есть. Вот только следует четко различать системы, в которых хранение и проверка представленных биометрических данных проводится на смартфоне пользователя, а также системы, в которых данные хранятся и проверяются на стороне банка — в его защищенной серверной инфраструктуре. Эти различные системы решают разные задачи, в частности, защиту клиентов в современных цифровых каналах услуг обеспечивают системы, развернутые в банке. Поэтому мы и говорим о полномасштабном внедрении.

Камень второй. Скомпрометировав один раз свои биометрические данные, пользователь никогда не сможет их заменить. Никогда! Это он и точка! Поэтому не следует забывать, что одной «голой» биометрии для обеспечения безопасности недостаточно. Было бы правильно использовать ее как дополнительный фактор, как еще один компонент системы защиты или часть процесса KYC, но никак не делать ее «фундаментом» обеспечения безопасности.

Камень третий. Биометрия не является «универсальным» средством в обеспечении безопасности. Когда принимается решение о ее использовании, то нужно понимать для чего это делается. В цифровых каналах обслуживания ее можно использовать для идентификации клиентов и как дополнительный фактор аутентификации при выполнении высокорисковых операций. В то же время, категорически не рекомендуется использование биометрических решений для «замены» собой средств электронной подписи. Если попытаться «подписать документ биометрией», то во-первых, не будет обеспечен контроль целостности документа, во-вторых, такая «подпись» должна храниться в базах с документами и использоваться при разборе конфликтных ситуаций, что является прямым путем к компрометации данных. Поэтому биометрия в процессе формирования электронной подписи может использоваться только для доступа к ключам ЭП на устройстве клиента.

Камень четвертый. Как бы то ни было, биометрия пока остается «вероятностным» средством, и, к сожалению, при ее использовании вовсе не исключены ошибки. Именно поэтому банкам необходимо уделить особое внимание качеству выбираемых решений и качеству реализации проекта. Именно поэтому для уменьшения ошибок систем и снижения количества успешных атак злоумышленников, производители оснащают свои решения большим количеством факторов. Это не только возможностью предъявления отпечатков пальцев, сканирования глаз и черт лица, но и представления «реального» видео клиента с «живой» картинкой (Liveness), а также иногда голоса и других данных. Только так можно снизить риски атак с подменой реального изображения фотографией на экране или на бумаге, только так можно уменьшить количество ошибок, когда реальные пользователи не получат доступ к системе.

Вы скажете: «Ничего себе как сложно! Зачем тогда вообще эта биометрия?» Ответим, что с ее использованием банки смогут реализовать в своих цифровых каналах действительно инновационные сервисы.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol","biometry"], "comments": 0, "likes": 2, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 127376, "is_wide": true, "is_ugc": true, "date": "Fri, 15 May 2020 15:41:54 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Инвестируем в активы хедж фондов с помощью ETF
Власти США предъявили обвинения основателю производителя электрогрузовиков Nikola миллиардеру Тревору Милтону Статьи редакции

Присяжные требуют, чтобы Милтон лишился всего имущества и денег, «связанных с преступлением», это может быть около $1 млрд.

Тревор Милтон The Verge
От простого робота до Защитника: как мы создавали телефонного секретаря Олега, которого потом начали копировать

В начале июня мы запустили Защитника Олега — нашего нового общедоступного телефонного секретаря, разработанного на базе похожего решения для абонентов Тинькофф Мобайла (работает с 2019 года).

«Яндекс.Про» отстранил курьера от работы из-за неправильного адреса клиента

Несколько лет назад я прочитал на VC занимательную статью о том, как в одной из американских IT компаний искусственный интеллект самостоятельно уволил сотрудника, а тот никак не смог этому противостоять. Тогда мне это показалось забавным, исключительным случаем, но я и подумать не мог, что такие ситуации могут быть отлажены в «систему» и…

PERI развивает систему управления производством с 1С:ERP
Мой Аккаунт на авито заблокирован. Профиль заблокирован В нём предлагали сомнительные условия сделок. Ваши объявления

Всем доброго утра, начну сразу с весёлого, создал аккаунт авито 4-5 лет назад, на аккаунте 50 отзывов, все 5 звёзд, занимаюсь продажей техники, комплектующих, пк, и т.д. Всё было хорошо, пока не выставил объявление ниже рыночной цены , продавал видеокарту 3080 по 120 тысяч, под заказ от несокльких штук, указал номер телефона, всё обписал в…

«Spotify: История продукта». Создание десктопного приложения

От десктопного приложения с серверами в шкафу до революционного формата потоковой передачи музыки.
«Spotify: История продукта» — серия статей от команды Spotify в России, где читатели vc.ru могут узнать, как создавался сервис, какие решения стояли за продуктовыми изменениями и кто придумал музыкальные стриминги такими, какими они выглядят сейчас.

Aleph расширяет присутствие на Ближнем Востоке: холдинг приобрел контрольный пакет акций Connect Ads

Aleph Holding, глобальный партнер крупнейших диджитал платформ и материнская компания Httpool, объявил о приобретении контрольного пакета акций Connect Ads. Компания является провайдером цифровых медиа и рекламных решений в странах Ближнего Востока и Африки.

Итоги Python meetup: медленные языки, быстрые роботы
Как Askona обманывает покупателей, а Aliexpress и Tmall не видят очевидного

Здравствуйте! Всегда был только читателем на vc и не думал, что когда-то придётся выйти из тени, но сейчас я не вижу другого выхода. Постараюсь кратко и по факту.
Видя очередную распродажу с мегаскидками на Али, я решился заказать матрас и в нагрузку к нему анатомическую подушку в Askona Official Store. Скомбинировав скидки, купоны, монеты и всё…

На первые страницы Google в Норвегии поднялся спам-сайт, замаскированный картинкой со «Смешариками» Статьи редакции

«Один спамерский домен получает большую долю всего поискового трафика Google в стране».

Эту картинку видит пользователь при заходе на сайт мошенников
null