В ближайшие годы традиционные бумажные паспорта могут стать пережитком прошлого. Вместо них на смену придут технологии распознавания лиц и смартфоны, которые в целом уже готовы стать новым стандартом для верификации личности в аэропортах по всему миру.

Источник изображения: Global Residence Index / Unsplash

Переход на новую систему уже активно тестируется в разных странах. Так, в Финляндии, Канаде, Нидерландах, ОАЭ, Великобритании, Италии, США и Индии проводятся пилотные проекты беcпаспортного перемещения людей. Как пишет TechSpot, в Сингапуре граждане уже могут пересекать границу без физического паспорта, а вскоре такая возможность станет доступна и для туристов этой страны.

В основе технологии лежит концепция Цифрового Туристического Удостоверения (DTC), разработанного Международной организацией гражданской авиации (ICAO). DTC включает в себя виртуальную часть с информацией, аналогичной той, что хранится в чипах паспортов, и физическую часть, размещённую на смартфоне путешественника. Обе части связаны между собой криптографическим удостоверением подлинности.

Предварительные испытания DTC показали положительные результаты. В Финляндии пилотный проект позволил проверять личность всего за восемь секунд, при этом техническая обработка занимала лишь две секунды. Однако, несмотря на привлекательность идеи уменьшения очередей в аэропортах, переход на цифровые документы пока сопряжён с проблемами конфиденциальности и безопасности. В частности эксперты предупреждают о недостаточной прозрачности технологии и о рисках утечек данных и возможности слежки за людьми. Среди потенциальных угроз также называются сбои в системе, «мошенничество двойников» и случаи ошибочного отказа в доступе. «Мы на самом деле не знаем, насколько безопасны эти системы», — отмечает Удбхав Тивари (Udbhav Tiwari), директор по глобальной политике продуктов Mozilla.

Другим важным вопросом остаётся управление данными. Адам Цао (Adam Tsao), руководитель проектов цифровой идентификации в компании Entrust, подчёркивает, что важно ограничивать доступ к данным, предоставляя только минимально необходимую информацию на ограниченный срок. Однако, как признаёт эксперт, достижение такого уровня контроля требует больших усилий.

Внедрение биометрической идентификации в аэропортах вызывает споры. Например, в Индии система распознавания лиц Digi Yatra, используемая в 24 аэропортах, вызывает критику из-за обязательного характера её использования. При этом в 2025 году Индия планирует открыть Digi Yatra и для иностранных граждан, а в будущем внедрить эту технологию в отелях и на исторических объектах, что только усилит дискуссии о конфиденциальности данных.

Вопрос о том, смогут ли цифровые системы полностью заменить традиционные паспорта, остаётся пока открытым, так как несмотря на стремительное развитие технологий, переход к цифровым документам требует решения множества правовых, технических и этических вопросов.

Минцифры РФ планирует сформировать базу биометрических образцов (образцов голосов) телефонных мошенников для борьбы с ними. Об этом рассказал глава ведомства Максут Шадаев во время прошедшей на этой неделе межотраслевой конференции «Безопасность клиента на первом месте». По словам министра, в настоящее время ведётся обсуждение большого пакета мер по борьбе с мошенничеством, и создание биометрической базы входит в перечень этих мер.

Источник изображения: Copilot

Близкий к Минцифры источник пояснил, что образцы биометрии злоумышленников будут передаваться в МВД только в случае, если пострадавший абонент напишет заявление о преступлении, а в распоряжении оператора будет запись разговора с мошенником. В таком случае запись будет передаваться с согласия абонента в рамках оперативно-розыскной деятельности.

В настоящее время голосовой трафик пишется в соответствии с требованием так называемого «закона Яровой», отметил источник. Он добавил, что возможность использования этих записей для борьбы с мошенничеством будет определена отдельным законом. Также было сказано, что у МТС и «Т-мобайл» реализована платная функция, позволяющая предупреждать абонентов о подозрительных звонках, который записываются в автоматическом режиме.

Минцифры планирует дать операторам связи возможность использования искусственного интеллекта в телефонных звонках. По словам Максута Шадаева, такие технологии позволят выявлять попытки воздействия на абонентов. Он добавил, что все эти меры планируется включить в отдельный закон, посвящённый кибербезопасности.

Что касается сбора биометрической информации (образцов голоса), то предполагается, что база будет формироваться посредством интеграции данных операторов связи, обладающих информацией о совершённых телефонных звонках. Об этом рассказал руководитель проектов направления правовых исследований и юридического сопровождения ЦК НТИ по большим данным на базе МГУ Сергей Афанасьев. Он добавил, что голоса мошенников, которые уже звонили жертвам, будут добавляться в базу для последующего распознавания и предотвращения повторных попыток мошенничества. Также возможен сбор биометрических данных на основе новых звонков, для чего планируется задействовать специальный ИИ-алгоритм.

Гендиректор группы компаний ST IT Антон Аверьянов считает, что такая база может формироваться на основе уже признанных дел о мошенничестве, исходя из данных полиции. «Например, если человек производил мошеннические действия со своей личной карты и ранее сдавал свою биометрию, принудительно изымать её в общую базу для предотвращения мошенничества в будущем. Главное — обеспечить особую безопасность такой базы, ведь её утечка грозит негативными последствиями для всех лиц, находящихся в ней», — считает господин Аверьянов.

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Специализирующаяся на услугах кибербезопасности компания Group-IB обнаружила первый троян для iOS, похищающий биометрические данные пользователей. Причём, фактически, люди сами передают злоумышленникам сканы своих лиц — приложение маскируется под легитимное.

Источник изображения: Group-IB

Получившая название GoldPixaxe вредоносная программа атаковала пользователей iOS в Тайланде. Троян маскируется под приложения госуслуг Тайланда и просит пользователей сфотографировать удостоверение личности, а также пройти процедуру сканирования лица. Также похожий случай зарегистрирован во Вьетнаме. Похищенные данные могут быть использованы для прохождения проверок в банках и государственных учреждениях при помощи технологии синтеза изображения Deep Fake.

Существует версия GoldPixaxe для Android. Троян не распространяется через официальные магазины приложений и не использует уязвимости операционных систем. Вместо этого злоумышленники обманом убеждают жертву установить вредоносное приложение на смартфон и предоставить необходимые им права доступа.

Group-IB подозревает, что троян разработан китайской хакерской группой GoldFactory, ранее промышлявшей созданием нацеленных на вьетнамских пользователей фальшивых банковских приложений.

Портал «Госуслуг» не занимается сбором и хранением биометрических данных пользователей платформы. Сообщение об этом появилось в Telegram-аккаунте Министерства цифрового развития России. Ранее распространялась новость о том, что «Тинькофф Банк» собирает и передаёт биометрию на «Госуслуги» без ведома клиентов.

Источник изображения: Госуслуги

В заявлении Минцифры уточняется, что по закону банки должны передавать собираемые биометрические данные граждан в единую биометрическую систему (ЕБС). «На «Госуслугах» биометрия не хранится! На портале есть лишь информация о биометрии, размещённой в ЕБС. Она отображается в личном кабинете портала. Граждане могут удалить биометрию в любой момент после передачи в ЕБС», — говорится в сообщении ведомства.

Ещё в сообщении Минцифры сказано, что банк должен уведомить владельца биометрии о передаче данных в ЕБС за 30 дней. Кроме того, после передачи данных в ЕБС банк должен их удалить. При необходимости пользователи также могут удалить свои данные из базы ЕБС. Сделать это можно из личного кабинета на портале «Госуслуг» или посредством отзыва согласия на размещение в ЕБС у оператора платформы, которым является Центр биометрических технологий.

В ведомстве напомнили, что сдача и сбор биометрии является делом исключительно добровольным. Для регистрации данных в ЕБС через отделение банка или мобильное приложение гражданин должен дать своё согласие, что закреплено на законодательном уровне.

Считается, что рисунок линий на подушечках пальцев никогда не повторяется даже у одного человека, не говоря о других людях. На этом строится вся криминалистика и биометрические датчики. Группа исследователей решила проверить это утверждение с помощью обучаемой нейросети и с удивлением обнаружила, что отпечатки пальцев вовсе не так уникальны, как считалось.

Чем «горячее» область, тем больше сходства с отпечатками других пальцев одного человека. Источник: Gabe Guo/Columbia Engineering

Это вряд ли заставит заново пересмотреть уголовные дела, где основными уликами были оставленные на месте преступления отпечатки пальцев. Но это может помочь с делами, где нет полного набора отпечатков, а новые всё всплывают и всплывают.

Учёные из Колумбийского университета с помощью нейросетей, обычно используемых для распознавания лиц, проанализировали отпечатки пальцев 60 тыс. граждан США из открытой правительственной базы. После обучения нейросеть с вероятностью 77 % смогла идентифицировать другие отпечатки пальцев человека по одному из известных ей отпечатков. Сети достаточно было увидеть один отпечаток пальца, чтобы она сразу же представила все остальные.

Новый анализ отпечатков пальцев по открытой базе с усовершенствованным алгоритмом позволил найти общие моменты, присущие всем отпечаткам пальцев одного человека. Эти особенности рисунка папиллярных линий сосредоточены в центре подушечек. На каждом пальце одного человека они имеют много одинаковых особенностей — изгибов и поворотов — сообщили учёные, что раньше никем не анализировалось.

Со временем нейросеть стала лучше определять, когда два разных отпечатка принадлежат одному и тому же человеку. Хотя каждый отпечаток на одной руке по-прежнему уникален, между ними было достаточно сходства, чтобы искусственный интеллект смог сопоставить и находить общее.

Алгоритм и методика, предложенные учёными, пока не подходят для уверенной идентификации человека лишь по одному отпечатку пальцев с помощью сканирования любого другого. Настоящее чудо может произойти, если нейросети скормить данные о миллионах и миллиардах людей. Но у скромного коллектива учёных нет доступа к таким базам. Разве что их методикой воспользуются заинтересованные государственные структуры.

В Москве на пешеходном переходе Бережковской набережной провели испытания прототипа светофора, оборудованного биометрической камерой с поддержкой распознавания лиц — он фиксирует нарушения правил дорожного движения. Об этом рассказал журналу «Безопасность дорожного движения» начальник столичной Госавтоинспекции Александр Быков.

Источник изображения: Tumisu / pixabay.com

Руководитель ведомства сообщил: «Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения».

Пока светофор не получится использовать для автоматизированного привлечения нарушителей к административной ответственности — для этого потребовалось бы собирать биометрию у всех граждан. Но такой сценарий был бы возможен, если бы сдача биометрической информации стала в России не правом, а обязанностью. А для этого потребовалось бы внести изменения в действующее законодательство, отметил Быков.

Источник изображения: mvd.ru

Минувшим летом Росстат подтвердил право россиян отказаться от сбора и хранения биометрических данных. Оформившим такой отказ становятся недоступными связанные с биометрией услуги, включая оплату с идентификацией по лицу или голосу, но отказ можно отозвать. Согласие на обработку биометрических персональных данных подаётся через личный кабинет на портале Единой биометрической системы (ЕБС) — службы, позволяющей получать услуги удалённо через идентификацию по голосу или лицу.

Стало известно, что Wildberries и сервисы «Яндекса» начали тестировать функцию оплаты товаров взглядом. Об этом пишут «Известия» со ссылкой на гендиректора Центра биометрических технологий (ЦБТ) Владислава Поволоцкого.

Источник изображения: geralt / Pixabay

Он также добавил, что организация работает над тем, чтобы технология оплаты покупок взглядом как можно быстрее стала доступна более широкому кругу пользователей. «С Ozon также активно общаемся — рассчитываю, что вскоре выработаем совместное решение», — приводит источник слова господина Поволоцкого.

Созданное в ЦБТ решение не требует привязки карты на самой онлайн-площадке, благодаря чему решается проблема случайных покупок, например, когда дети из аккаунта своих родителей приобретают товары на сотни тысяч рублей. Отмечается, что биоэквайринг позволит полностью исключить такой сценарий. «Много интересных проектов будет с маркетплейсами — например, мы обсуждаем историю с получением заказов по биометрии», — добавил гендиректор ЦБТ.

Напомним, ЦБТ является оператором Единой биометрической системы. Организацию создали по указу президента России. Учредителями стали ПАО «Ростелеком», Минцифры и ЦБ РФ. Компания обеспечивает сбор, хранение, обработку и проверку биометрических данных. Специалисты компании разрабатывают и развивают сопутствующие технологии. Регулирующий предоставление услуг по биометрии закон был принят в России 29 декабря 2022 года.

Соцсеть X (бывшая Twitter) обновила политику конфиденциальности, добавив пункты, касающиеся сбора биометрических данных пользователей в целях их идентификации, а также информации о трудоустройстве и образовании пользователей, чтобы рекомендовать им потенциальные вакансии и делиться ею с потенциальными работодателями, а также показывать «более релевантную рекламу».

Источник изображения: X

«С вашего согласия мы сможем собирать и использовать вашу биометрическую информацию в целях безопасности, защиты данных и идентификации», — говорится в новой политике конфиденциальности компании. В ней не указано, о какой именно биометрической информации идёт речь, и как её предполагается использовать.

Соцсеть также информировала пользователей о намерении собирать информацию о истории их трудоустройства и образовании. «Мы можем собирать и использовать вашу личную информацию (например, вашу историю трудоустройства, историю образования, предпочтения в области трудоустройства, навыки и способности, активность и вовлеченность в поиске работы и т. д.), чтобы рекомендовать вам потенциальные вакансии и делиться ими с потенциальными работодателями … и показывать вам более релевантную рекламу», — говорится в обновлённой политике конфиденциальности. Напомним, что на прошлой неделе соцсеть запустила бета-тестирование платформы X Hiring, предназначенной для размещения вакансий верифицированными компаниями.

Предыдущая редакция политики конфиденциальности социальной сети, действующая до 29 сентября, не включает пункты о сборе биометрических данных или истории работы и трудоустройства пользователей.

В прошлом месяце против соцсети X был подан коллективный иск с обвинением её в незаконном сборе, хранении и использовании биометрических данных жителей Иллинойса без их согласия, пишет Bloomberg. Согласно иску, X «не проинформировала должным образом лиц, которые взаимодействовали (сознательно или нет) с Twitter, о том, что она собирает и/или хранит их биометрические идентификаторы на каждой содержащей лицо фотографии, загружаемой в Twitter».

В скором времени в браузере Google Chrome появится 5 новых функций для упрощения работы с паролями. Менеджер паролей Chrome получит отдельную вкладку в настройках , возможность создавать заметки к паролям, упрощённый импорт из других менеджеров паролей, совместимость с iOS и самое главное — биометрическую аутентификацию.

Источник изображений: Google

Менеджер по продуктам Патрик Неппер (Patrick Nepper) написал в блоге компании: «Менеджер паролей Google мгновенно генерирует уникальные пароли и автоматически заполняет их при входе в аккаунт Google в Chrome с компьютера, устройства Android или iOS. Сегодня мы представляем пять новых функций, которые сделают менеджер паролей ещё более безопасным, полезным и простым в использовании».

Менеджер паролей Google получит выделенное место в настройках Chrome, что упростит переход к сохраненным учетным данным в интернете или изменению настроек паролей. Перейти к нему можно будет, выбрав настройку «Менеджер паролей» в меню Chrome или открыв настройки Chrome и выбрав раздел «Автозаполнение и пароли». Для еще более быстрого доступа можно будет даже создать специальный ярлык на рабочем столе Windows.

Следующая новинка — биометрическая аутентификация. Менеджер паролей Google уже поддерживает эту функцию на мобильных устройствах, но теперь она появится и на настольных компьютерах, так что пользователи ПК смогут проходить аутентификацию с помощью Windows Hello.

С заметками о паролях пользователь сможет добавить примечание к любому паролю, сохранённому в менеджере паролей Google. Это может быть полезно, если используется несколько учётных записей для одного сайта или необходимо сохранить PIN-код, название аккаунта или любые другие данные, связанные с учётной записью.

Долгое время в Chrome были ограниченные возможности импорта паролей. Теперь появится возможность импортировать пароли из других менеджеров паролей в формате CSV с помощью настольной версии Chrome. Инструкции по экспорту из различных менеджеров паролей можно найти на сайте компании.

Наконец, функция Password Checkup появится на устройствах с iOS. Данная функция обеспечения безопасности сохранённых паролей есть на настольных компьютерах и в Android. Она сообщит, если какой-либо из них был взломан, является слабым или используется повторно, и поможет исправить возникшие проблемы.

«Сбер», обладающий самой многочисленной сетью терминалов безналичной оплаты в стране, начинает развёртывание их обновлённой версии — она получит поддержку биометрии. Это значит, что для оплаты покупок достаточно будет просто улыбнуться на терминал, выяснили «Известия».

Источник изображения: sberacquiring.ru

О внедрении терминалов оплаты с поддержкой биометрии «Известиям» рассказал управляющий директор подразделения «Эквайринг» в «Сбере» Сергей Шубочкин. Сегодня сеть терминалов банка составляет 2 млн единиц по всей стране — на них приходится до 70 % розничных платежей, и это самая крупная сеть в стране, сообщили в Ассоциации компаний розничной торговли. Пока технология остаётся в стадии отладки, и ещё рано говорить, в какой торговой сети она появится впервые.

Лидером технологий биометрической оплаты является Китай, активно ведутся работы в Индии, ОАЭ и Саудовской Аравии. В «Сбере» экспериментировали с различными технологиями оплаты и знают, что биометрия является достаточно сложным направлением. К примеру, необходимо убедиться, что на камеру улыбается человек, а не его фотография. Для защиты от подобных мошенничеств используются, например, 3D-камеры: так, Alibaba уже развернула в Китае 300 тыс. 3D-терминалов. В «Сбере» их стоимость нашли неприемлемой, поэтому ограничились 2D-камерами — первая партия уже закуплена, а развёртывание сети устройств нового образца намечено на этот год. Стоит отметить, что свой парк в 2 млн терминалов «Сбер» формировал ещё с 2015 года, поэтому время обновлять оборудование уже настало.

Другие банки относятся к новой инициативе лидера рынка по-разному. В «Абсолют Банке» согласились, что СБП и карты «Мир» развиваются очень активно, а Единая биометрическая система (ЕБС) наполняется медленно, поэтому на активное внедрение биометрических платежей в ближайшее время рассчитывать не приходится. «Россельхозбанк» тем временем и сам готовит ряд связанных с биометрией проектов. В ПСБ отметили, что направление является перспективным, и оплата без телефона и карты — это очень удобно.

Ещё с сентября 2021 года оплата по лицу работает в московском метро. Сегодня к системе Face Pay подключили 740 турникетов, а зарегистрировались в ней уже более 320 тыс. человек, совершившие более 60 млн проходов. При такой загруженности лучшей проверкой работоспособности системы оказывается постоянная работа камер: они могут покрываться пылью, или на них сбивается фокусировка, когда их задевают пассажиры, и этим воздействиям приходится противостоять. Постоянно совершенствуется алгоритм распознавания — его адаптируют под разное время суток и разные времена года.

Начиная с сегодняшнего дня, пользователи Google могут отказаться от паролей и кодов двухэтапной аутентификации при входе в свою учётную запись. Решение на основе технологии криптографических ключей Passkeys требует для входа лишь предварительно аутентифицированное устройство, например смартфон.

Passkeys — более безопасная и удобная альтернатива паролям, которую продвигают Google, Apple, Microsoft и другие технологические компании, входящие в FIDO Alliance. Технология позволяет заменить традиционные пароли и SMS-верификацию, с помощью PIN-кода или биометрической аутентификацией на устройстве, например, отпечатком пальца или Face ID. Passkeys не передает биометрические данные Google, или кому-либо ещё, что и обеспечивает безопасность, поскольку нет пароля, который может быть украден.

Функция доступна на устройствах под управлением iOS 16, Android 9 и более новых. При входе в систему с компьютера запрос на проверку биометрии будет отправлен на любой совместимый девайс, связанный с аккаунтом владельца. Если такового под рукой не оказалось, или он утерян, Google позволит получить доступ с помощью опции «Использовать пароль с другого устройства» и деавторизовать ключи со всех аппаратов.

В обозримом будущем аккаунты Google будут продолжать поддерживать существующие методы входа, наряду с Passkeys. Ведь далеко не все люди имеют устройства, поддерживающие биометрию. Но Google планирует поощрять пользователей к переходу уже сейчас и будет тщательно следить за тем, как меняются их привычки для входа в систему.

В декабре прошлого года браузер Google Chrome получил поддержку passkey, но сайты и сервисы, поддерживающие технологию, все еще относительно редки. На специальной странице 1Password собран немногочисленный список. В ближайшее время поддержку должна внедрить и Apple, как один из разработчиков стандарта.