Идентификация личности по биометрическим параметрам долгое время считалась наиболее безопасной системой авторизации, а вероятность ошибки ничтожно маленькой. Данная особенность определила сферу применения технологии: правительственные учреждения, службы безопасности, военно-промышленный комплекс, что способны оплатить дорогостоящее высококлассное оборудование.
Очевидными преимуществами биометрической авторизации являются простота использования и уникальность, физически связанных, с конкретным человеком идентификаторов. Более того, методы установления личности, применяющие сканирование глазной сетчатки, рисунка вен в области запястья, пальцев, ушей, практически исключают ошибочные отказы в доступе легальному пользователю, а также предоставление доступа несанкционированному пользователю. В будущем, когда способы биометрической идентификации усовершенствуют, например, до установления личности по ДНК ошибки станут просто невозможны.
В настоящее время массово применятся метод идентификации личности по отпечатку пальца. К этому методу уже есть претензии, предъявляемые, например, пользователями Android- и iOS-устройств. Они жалуются на ложные отказы в доступе, а также на авторизацию со стороны насанкционированных пользователей. Бурное развитие и доступность 3D-печати свидетельствует о простоте подделки отпечатков пальцев, хотя ранние версии Touch ID на iPhone 5s взламывали и без этого.
В 2016 г. владельцы смартфонов установили порядка 6 млн копий различных приложений, поддерживающих авторизацию по отпечатку пальца. Согласно прогнозам Juniper Research к 2019 г. таких копий будет уже около 770 млн, а авторизация смартфона по отпечатку пальца станет практически нормой. Acuity Market Intelligence полагает, что к 2020 г. число копий подобных приложений достигнет 4,8 млрд., а пользоваться ими будет порядка 2,5 млн человек.
«Biometric ATM» - банкоматы с биометрией – сегодня тестируют многие кредитные организации. Однако на черном рынке уже можно купить биометрические скиммеры от десятка различных производителей. Приборы предназначены для кражи отпечатков пальцев. Есть разработчики, которые ищут способы перехвата данных сканирования радужной оболочки глаза и рисунка вен на запястье.
Помимо кражи данных непосредственно по типу «человек посередине», широко практикуются взломы серверов, на которых хранятся базы данных пользователей. Реальность и результативность таких атак впечатляет: только в 2016 г. 60 млн записей у Dropbox и 500 млн у Yahoo стали доступны злоумышленникам. Если представить, что данные сведения представляли собой не пароли и номера счетов, которые можно заблокировать и перевыпустить, а биометрические данные, которые изменить нельзя, то возникает понимание того, что биометрия – не есть панацея, и она не может гарантировать 100%-ную безопасность.
Технологически предусмотрено хранение биометрических данных на серверах не в открытом виде, а лишь в виде хешированного результата сканирования. Однако и данной информации будет достаточно, чтобы совершить преступление, вклинившись в канал передачи данных между банкоматом и процессинговым центром. Кража биометрических данных посредством скиммера обеспечит злоумышленников необработанными данными, используя которые теоретически можно будет создать биометрический муляж.
Описанные проблемы однозначно свидетельствую о необходимости серьезной проработки вопроса безопасности самих банкоматов. Следует продумать антискиммерный дизайн, благодаря которому установка скиммера будет невозможна либо очень затруднена, обеспечить беспрерывный комплексный контроль целостности аппаратной и программной части банкомата, что будет своевременно отслеживать как несанкционированные изменения ПО устройства, так и попытки физического проникновения в него. Вообще на данном этапе развития технологий не стоит использовать биометрию как основной и единственный метод идентификации. Она должна дополнять существующие системы обеспечения безопасности, но не заменять их.
