удобный и простой в использовании, но также уязвимый и опасный для личности пользователя

МАДРИД, 29 марта (Portaltic/EP) –

Системы биометрическая идентификация, такие как сканер глаз или отпечатков пальцев, вызывают растущий интерес для пользователей и компаний, которые выбирают эти альтернативные форматы доступа к паролям, из-за предоставляемых ими преимуществ, таких как гибкость и удобство при входе в учетную запись или платформу; Хотя распространение этой информации также имеет свой риск, поскольку с ней могут быть совершены мошеннические действия.

Это инструменты безопасности, которые либо являются частью устройств, изготовленных для этой цели (как в случае с Orb, используемым компанией Worldcoin), либо интегрированы в электронные продукты для повседневного использования, такие как планшеты или смартфоны (датчик отпечатков пальцев или датчик распознавания лиц). .

Благодаря этим технологическим решениям пользователи имеют возможность избавиться от паролей и идентифицировать себя с один или несколько личных и физических атрибутов, которые считаются уникальныминапример, отпечаток пальца или глаз, посредством сканирования сетчатки или радужной оболочки.

Использование биометрической безопасности растет во всем мире благодаря ее реализации в мобильных телефонах, как в экосистеме iOS, так и в Android. В основном это сканер отпечатков пальцев (TouchID, если речь идет об iPhone) и распознавание лиц (FaceID в системе Apple).

Компания Samsung также была пионером, внедрившим в свои мобильные устройства сканер радужной оболочки глаза, способный считывать форму и рисунок этой части глаза, что позволяет разблокировать компьютерное оборудование или выполнять определенные функции.

Есть также фирмы, которые даже разработали более нетипичные системы распознавания, выходящие за рамки распознавания отпечатков пальцев, лица или глаз. Так обстоит дело с компанией Fujitsu, которая несколько лет назад выпустила PalmSecure ID Access PSN900, решение для доступа посредством считывания вен крови. ладонь руки.

ПРЕИМУЩЕСТВА И РИСКИ

Биометрические данные уникальны и неизменяемы, что обеспечивает большую безопасность для людей, которые используют их ежедневно, которые выбирают их для ускорения доступа к мобильным приложениям или финансовым услугам, а также для других вариантов использования.

Это одно из больших преимуществ этих систем, которые не требуют от пользователей запоминать цифровые пароли, шаблоны или PIN-коды для доступа к мобильному телефону или другому электронному устройству. Кроме того, они дают меньше ошибок и ложных срабатываний, чем традиционные пароли.

Тот факт, что биометрическая информация не подлежит передаче и изменению, также имеет свои недостатки. В случае кражи биометрических учетных данных пострадавшее лицо принимает на себя риск кражи биометрических данных. что другие люди могут выдавать себя за вас, например, используя данные вашей радужной оболочки глаза или ваш отпечаток пальца. Это связано с тем, что как только биометрическая запись попадает в Интернет и становится общедоступной, ее невозможно полностью удалить.

Сбор биометрической информации хранится в локальных базах данных – в зависимости от устройства, с которого были собраны данные – или в облаке, которое, несмотря на наличие систем шифрования, может быть «взломан» и скомпрометирован уязвимостями и недостатки безопасности.

В этом процессе задействован датчик для сбора входных данных; компьютерная система, которая их обрабатывает и хранит; и «программное обеспечение», которое действует как посредник и сравнивает биометрическую запись с тем, что хранится в его базе данных, чтобы определить, совпадают ли обе записи.

ОТВЕТСТВЕННОСТЬ ЗА БИОМЕТРИЧЕСКУЮ ИНФОРМАЦИЮ

Учитывая растущее распространение биометрии, компании, ответственные за эти системы, обязаны предоставить ряд гарантий при сборе, обработке и защите пользовательских данных. Кроме того, они предоставляют им возможность реализовать свое право возражать против обработки персональных данных, а также требовать их удаления.

Это определяется Общий регламент защиты данных (GDPR), в котором говорится, что эти люди должны связаться с лицом, ответственным за обработку этой информации – в данном случае с фирмой, которая управляет этими данными – и потребовать удаления ее из своих баз данных.

В Испании органом государственного контроля, ответственным за обеспечение соблюдения правил защиты данных, является Испанское агентство по защите данных (AEPD).

Недавний случай в этом вопросе — дело Worldcoin. AEPD заказал в начале марта срочное прекращение сбора и обработки личной информации этого биометрического криптовалютного проекта с распознаванием радужной оболочки глаз, созданного компанией Tools for Humanity и основанного в 2019 году лидером OpenAI Сэмом Альтманом.

Worldcoin сканирует радужную оболочку добровольцев — совершеннолетних, согласно его политике, — в обмен на финансовую компенсацию. Точнее, криптовалюта, принадлежащая этому сервису. AEPD приказал ответственной компании приостановить эту инициативу до тех пор, пока не будет выяснен тип обращения Worldcoin с данными этих людей, а также после получения жалоб на «недостаточную информацию, сбор данных от несовершеннолетних или отзыв согласия». .

В результате этого Worldcoin напомнила, что у нее есть Форма где пользователи могут запросить удаление своих личных данных, а также информации о своей радужной оболочке, хотя полностью удалить данные пользователя невозможно. Это связано с тем, что устройство Orb, используемое для сканирования глаз, временно сохраняет отсканированное изображение каждой радужной оболочки, чтобы преобразовать его в уникальный код, состоящий из букв и цифр, называемый «кодом радужной оболочки».

После создания профиля пользователя Worldcoin удаляет изображение радужной оболочки глаза, но сохраняет так называемый уникальный код радужной оболочки глаза. Это математическое представление глаза, называемое «Тест на сингулярность» который позволяет Worldcoin идентифицировать каждого человека в своей пользовательской сети и который не может быть удален, несмотря на запрос на удаление данных. чей

Хранение этого «Тест на сингулярность» оправдано законным интересом защиты «от мошеннических пользователей, которые пытаются незаконно зарегистрироваться более одного раза».

РЕАЛЬНЫЕ РИСКИ

Благодаря внедрению этих систем биометрической идентификации во всем мире такие компании, как биржа криптовалют, Кракен показали, насколько легко злоумышленникам скопировать отпечаток пальца человека и использовать его для разблокировки и доступа к его личной информации.

Как только жертва оставляет свой отпечаток пальца на объекте, будь то ключ или экран, из него можно сделать негатив, создав трехмерную структуру и форму с отпечатком пальца, которую можно разместить на панели для разблокировки экрана. или кнопку.

Хакерский коллектив Chaos Computer Club также обнаружил несколько лет назад, что хакерскую систему легко обойти. сканер радужной оболочки глаза Samsung -точнее, модель Galaxy S8 – с использованием простой системы, которая требовала только фотографии владельца смартфона и линза

Кроме того, на мероприятии по кибербезопасности Black Hat (США) в 2018 году два исследователя Salesforce продемонстрировали, что голосовая аутентификация для доступа к учетной записи также небезопасна, используя модели машинного обучения и модули преобразования текста в речь из бесплатного доступа.