В какой перспективе сайты Рунета массово перейдут от идентификации пользователя с помощью логина и пароля к идентификации с помощью биометрических инструментов? Этот вопрос редакция Executive.ru задала экспертам в январе 2019 года.
Крупные сервисы попытаются сделать из биометрии конкурентное преимущество
Тихон Григоренко, руководитель направления компании «Крок»
Интерес к внедрению биометрических технологий в ближайшей перспективе может возникнуть у крупных сервисов, которые захотят получить новое конкурентное преимущество, усилив с помощью биометрии уровень защиты информации их пользователей. Например, это будет актуально для провайдеров облачных данных, услугами которых пользуется и бизнес для хранения корпоративной информации, и независимые пользователи, загружая в облака личные архивы. Соцсетям также может быть интересна биометрия при авторизации пользователей, в том числе как способ защиты от взлома аккаунтов для рассылки спама или других опасных действий. Также это поможет с ограничением доступа к информации категории 18+.
Финансовые организации уже работают с распознаванием по голосу, например, при звонках клиентов в call-центр. Сканеры Touch ID/Face ID уже есть во многих гаджетах, но пока лишь как необязательная опция. Возможно, она вскоре станет обязательной. Технология биометрии – это очередной уровень повышения безопасности, такие системы сложно обмануть. Это мы понимаем по собственному опыту в области биометрии и распознавания лиц, в том числе применения алгоритмов машинного обучения в области видеоаналитики. Сейчас мы работаем над пилотным проектом для крупного производственного предприятия по идентификации сотрудников и определения степени их готовности к выполнению профессиональных задач.
Потребность в биометрии может возрасти из-за утечек данных
Дмитрий Карандин, руководитель проектов Smart City Lab
У нефинансовых сервисов острой необходимости в биометрии нет. Для работы с компьютером существуют удобные инструменты по хранению паролей. В смартфонах каждый сервис имеет свое приложение, которое сразу запоминает учетные данные пользователя. Приложения банков уже давно используют идентификацию по отпечатку пальца.
Потребность в биометрии может возрасти, если будут утечки данных пользователей, если будут расти случаи взломов аккаунтов. Тогда будет ясно, что нужно что-то более надежное, чем связка логин/пароль, например, мультифакторная идентификация с биометрией. Если говорить про формат биометрии, то это может быть single sign-on по отпечатку пальцев, как наиболее удобный способ и хорошо себя зарекомендовавший в смартфонах и платежных сервисах.
Такой биометрический single sign-on по отпечатку сможет в дальнейшем заменить электронную цифровую подпись. Особенно удобно станет пользоваться госуслугами удаленно, например, через мобильный телефон. Количество госуслуг, доступных удаленно, тоже вырастет.
В ближайшие два года Рунет будет тестировать возможности биометрии
Константин Ян, сооснователь, технический директор CloudPayments
Биометрия постепенно проникает в сознание рядовых обывателей. Новые смартфоны, даже среднего ценового диапазона, уже выпускаются со средствами биометрической идентификации. Оплата в офлайн и онлайн-магазинах тоже иногда требует вместо паролей, SMS и PIN-кодов биометрическую идентификацию пользователей. Растет количество активно используемых устройств. Но также существует парк старого оборудования, которое нельзя будет по тем или иным причинам улучшить или модернизировать для сбора биометрических данных.
Чтобы биометрическую идентификацию смог использовать самый обычный сайт, нужно несколько технических и организационных изменений. Во-первых, производители устройств должны добавить возможность пользоваться биометрическими данными не только внутри собственных сервисов, но и для внешних сервисов (по аналогии с процессом авторизации на сайтах через аккаунты в социальных сетях). Это возможно при сотрудничестве между производителями железа и операционных систем для этого железа.
Во-вторых, должны быть разработаны best practices использования этих биометрических данных: кто будет их хранить, как использовать, как обновлять, как производить привязку к конкретному человеку. Необходима и доработка законодательных актов, регулирующих взаимоотношения между участниками процесса идентификации.
Скорее всего, процесс юридического оформления отношений будет запаздывать. На данный момент остается только ждать изменений в этой сфере. Запросы от рынка уже есть, например, большой интерес наблюдается в банковской сфере, поэтому в ближайшие два года появятся поддерживаемые устройства, и Рунет будет тестировать возможность биометрии.
Не стоит ждать, что в ближайшие пять лет сайты перейдут к биометрии
Алексей Королюк, генеральный директор Reg.ru
Переломным моментом для перехода к иным методам идентификации при помощи биометрических инструментов является наличие датчиков и сенсоров в аппаратном обеспечении пользователей интернета. Сейчас имеющиеся инструменты ограничены в объемах, используются в малом количестве и не очень надежны в использовании. Кроме того, они требуют специфический API для работы. Современные непрофессиональные инструменты обладают низким уровнем защищенности. При этом есть большие сложности с безопасностью, с качеством распознавания человека по пальцу или по его внешности.
Конечно, речь не идет о дорогостоящих решениях, которые используются на военных или других объектах. Надежность также можно рассматривать и с точки зрения возможности идентификации. Например, мокрыми пальцами практически невозможно разблокировать iPhone или любой другой телефон со сканером отпечатка пальца. То же самое справедливо для тех случаев, когда кожа на пальце стерлась или человек, например, поел мандаринов – авторизоваться не получится, и это очень большая проблема.
Аналогичная проблема с идентификацией лиц: надел очки, снял очки, отпустил бороду, поменял цвет волос, прическу – все это влияет на результат. И это стоп-факторы. Поэтому ближайшие пять лет не стоит ожидать, что сайты Рунета сменят криптостойкие к брутфорсу (атаке с помощью множественного подбора пароля – Executive.ru) логины и пароли на более удобную и менее надежную биометрию.
Биометрия потребует частот 5G, а они заняты военными
Дмитрий Юхневич, председатель совета директоров LT Digital Group
В этом вопросе нужно разделить две вещи: доступ к сайтам и доступ к приложениям. Доступ к приложениям уже происходит с помощью биометрии, с использованием отпечатка пальца или Face ID. Вряд ли такое будет происходить с сайтами – это слишком дорого и неудобно, это потребует серьезного оснащения как на стороне провайдера, так и на стороне пользователя.
Летом 2018 года крупные российские банки начали собирать биометрические данные своих клиентов – записи голоса и изображения лиц – для удаленной идентификации. Предполагается, что с помощью этих данных людям будет проще воспользоваться услугами банка, открывать вклады, получать кредиты. Но перспектива такого удобного доступа еще далека, пройдет минимум три года, пока банки разовьют подобные технологии. При этом люди обоснованно опасаются за безопасность хранения таких данных.
В мире уже есть примеры использования биометрии, например, Barclays, Citygroup... MasterCard в этом году тестировала банковские карты, которые сканируют отпечатки пальцев. В Индии есть система Aadhaar, она хранит более 90% информации об отпечатках пальцев и радужке глаза граждан, многие из которых еще недавно не имели даже свидетельства о рождении. Однако эта система массовой биометрии показала себя небезопасной с точки зрения хранения информации.
Что касается российских реалий, то итоги SOC форума, прошедшего в ноябре 2018 года, показали, что ФСБ предъявляет очень жесткие требования к ЦБ и ЕБС (единая биометрическая система), и ЦБ говорит, что на данный момент реализовать эти требования невозможно. Что ставит под сомнение быструю интеграцию биометрических данных в нашу повседневную жизнь.
Ну и самое главное. Вы не задумывались, почему биометрия есть только на устройствах? Ее невозможно передавать без широкополосного интернета, минимум 5G. А вот с 5G в России проблема, ведь эта частота занята военными и это выяснилось лишь недавно. Как заявил РБК министр цифрового развития, связи и массовых коммуникаций Константин Носков, вопрос внедрения 5G осложняется необходимостью освобождения радиочастот от военных систем.
Мое мнение: эти технологии, несмотря на горячее желание коммерческого сектора и банков, не запустятся раньше 2021 года.
Биометрия не получила массового распространения на зарубежных сайтах
Ярослав Жиронкин, руководитель направления «Инфосистемы Джет»
Думаю, массового перехода на биометрическую аутентификацию на сайтах Рунета ждать не стоит. Связано это в первую очередь с финансовыми затратами на разработку и доработку механизмов аутентификации, а также затратами на хранение эталонных биометрических данных: записей голоса, фото- и видеоизображений.
Предлагая пользователям продвинутый способ аутентификации, сам сайт не будет получать какую-либо финансовую выгоду. Мы не рассматриваем при этом дорогостоящие способы аутентификации по радужке глаза и 3D-модели лица, требующие дооснащения конечных устройств дополнительным оборудованием, а ограничиваемся доступными большому кругу лиц способами, такими как голос и 2D-изображение лица.
Наиболее реалистичным сценарием использования биометрической аутентификации мы видим подключение сайтов финансовых и государственных организаций к ЕСИА – Единой системе идентификации и аутентификации. Этот сервис в ближайшем будущем должен начать поддерживать вход по лицу и голосу, используя единую биометрическую систему (ЕБС).
Остальные же интернет-ресурсы будут по старинке использовать пару логин + пароль. Для пользователей это удобно, поскольку в большинстве случаев на популярных ресурсах, скажем, в соцсетях, люди вводят пароль один раз и далее используют различные утилиты для автоматического заполнения полей, либо сайт «запоминает» введенные данные и не требует аутентификации в дальнейшем.
За рубежом биометрическая аутентификация не получила массового распространения на рядовых сайтах и ограничивается окологосударственными ресурсами.
Банки уже переходят на биометрическую идентификацию
Дмитрий Казаков, руководитель отдела веб-разработки Ru-Center
Скоро! Банки, считайте, уже перешли. Потому что отпечаток пальца и Face ID – это биометрия, и она повсюду, ее рекламируют в телевизоре. Терминалы без Pay Pass уже считаются каменным веком. Дальнейшее развитие зависит только от того, как быстро появится браузерное API для отпечатков (а точнее – для доступа к связке ключей по отпечатку), и насколько удобно будет тащить авторизацию через Apple и Google.
Впрочем, для соцсетей же работает. Надо просто немного подождать, и будущее наступит. Государственные сайты, кстати, не используют биометрию: ЕСИА – это просто API госуслуг для авторизации, один пароль для всех госуслуг. Удобно, но не биометрия – больше похоже на интернет в доме быта по паспорту.
Безопасность учетной записи пользователя – забота самого пользователя
Павел Зубков, директор по маркетингу Global Position
Говорить о массовом переходе Рунета на биометрию в короткой перспективе сложно, но процесс уже начался, и это не вызывает сомнений. С учетом того, что соотношение пользователей в РФ, выходящих в сеть с мобильных устройств и десктопов, сравнялось, можно прогнозировать дальнейшее распространение биометрии в русском сегменте интернета, ведь для биометрических сервисов критически важным фактором является доступ к камере устройства.
Сам подход «знай своего клиента» (Know your customer) не является чем-то новым, особенно для организаций, оперирующих финансами и денежными переводами частных лиц в интернете. Биометрическая верификация пользователей – лишь еще один шаг, который добавляют игроки, с целью обезопасить себя от кибермошенников и избежать сопутствующих финансовых и репутационных убытков от их действий.
Вслед за заграничными рынками, в первую очередь банковским сектором, букмекерскими конторами и трейдинговыми платформами, отечественные компании, ведущие бизнес онлайн или активно использующие клиентские мобильные приложения, начинают использовать решения по биометрической идентификации и верификации пользователей. На рынке уже есть продукты, предлагающие интеграцию с мобильными приложениями, и уже на стадии регистрации пользователя или входа в систему запрашивающие селфи-фото. В дальнейшем такие решения осуществляют аутентификацию по параметрам сохраненной в системе улыбки, например. Если такие решения появились, это, как минимум, говорит о растущем спросе на них.
К этим решениям со временем будут все чаще обращаться те онлайн-ресурсы, которые предполагают внесение и перевод денежных средств своих пользователей. Спектр таких потенциальных заказчиков широкий – от социальных сетей, которые активно развивают собственные маркетплейсы и денежные переводы между пользователями, до банков, для которых многоступенчатая верификация всегда была приоритетом.
Вероятно, активно к биометрии будут прибегать каршеринги. Эти бизнесы активно используют технологии Интернета вещей, транспортной телематики, удаленной оцифровки водительских удостоверений и других документов для проверки пользователей услуги на благонадежность по доступным базам данных. Логично, что в попытке сократить риски угона или порчи имущества, а также для разрешения возможных споров в случае инцидентов, введение биометрической аутентификации через установленные в кабине автомобиля камеры и через мобильные приложения будут следующим шагом.
Активными пользователями биометрии в интернете могут стать площадки, предлагающие услуги: перевозку попутчиков за плату, платформы, предлагающие услуги по ремонту с выездом на дом частных мастеров. Здесь биометрическая аутентификация станет дополнительной гарантией «реальности» как для заказчиков, так и для исполнителей и дополнительной защитой от мошенников.
В массовом сегменте Рунета биометрия, скорее всего, широко востребована не будет, по крайней мере, в ближайшее время, ведь такого рода ресурсы нацелены на привлечение трафика и простоту доступа. В этом смысле Рунет живет по принципу, что безопасность учетной записи пользователя – это забота самого пользователя.
Фото в анонсе: pixabay.com
К сожалению, большинство людей не понимает, что процесс АУТЕНТИФИКАЦИИ (то есть выяснения, является данный человек тем, кем он за себя выдает), на самом деле состоит двух достаточно независимых ступеней -- ИДЕНТИФИКАЦИИ и ВЕРИФИКАЦИИ. В настоящее время 99.99% всех идентификаций использует username (то есть то, что человек "знает"), в то время как второй шаг (верификация) использует различные методы, в том числе и биометрику. Так вот, биометрическая ИДЕНТИФИКАЦИЯ пользователя при значительном (неограниченном) количестве пользователей практически невозможна (не буду останавливаться на деталях почему). Поэтому биометрика работает (и будет работать все больше) в верификации, в то время как идентификация рано или поздно вернется к фактору "имения" -- какому-нибудь устройству, который находится в распоряжении человека.
Что же касается "рунета" -- это всего лишь сегмент мирового интернета, который IMHO не отмечен какими-либо инновациями. Когда пары something you have+something you are вытеснят дурацкие usernames+passport на просторах интернета развитых стран, то и Россия через некоторое время этот подход адаптирует...
Нейросети, биометрия, блокчейн, виртуальная реальность. Давайте меряться у кого длиннее? Смысл любой технологии в ее реальной полезности. Банки, которые не проводят платежи мотивируя это какими то методичками из ЦБ, и не возвращающие реально украденные с помощью мошенничества деньги, пытаются ввести биометрию, что бы снять с себя ответственность за мои деньги и передо мной и перед контролирующими структурами в лице фин.мониторинга. Не жизнь, а сказка.