Пальцем, лицом, голосом: как технологии идентификации помогают покупать, брать кредиты и путешествовать без паролей, пин-кодов и паспортов
Покупатель заходит в магазин, берет бутылку воды, подходит к кассе, прикладывает телефон, расплачивается и выходит. Для большинства из нас в описанной ситуации нет ничего необычного, но человечеству понадобилось придумать целый набор сложных технологических решений, чтобы это стало возможным. Их задача — распознать человека, определить, что именно ему принадлежит этот телефон и этот банковский счет, мгновенно связаться с банком и совершить платеж. Технологии меняют то, как мы платим, путешествуем и подтверждаем нашу личность, буквально каждые несколько лет. Вместе с «МегаФоном» разбираемся, что уже умеют технологии идентификации и как далеко они еще могут зайти.
При поддержке
Спецпроект. Часть IV. Идентификация и авторизация
Читайте также:
Часть I. Умные города
Часть II. Big Data
Часть III. Будущее рекламы
Часть IV. Гонка кибервооружений
Часть V. Карантинные уроки
Аутентификация или идентификация
Терминов, связанных с подтверждением личности, много, и разобраться в них с ходу бывает непросто. Однако любой пользователь интернета и сервисов встречается с этими технологиями каждый день и не по одному разу, и именно на них базируется безопасность данных в интернете.
- Идентификация — это когда пользователь представляется какой-то системе, а она опознает его по этому идентификатору. Например, когда человек заходит в офис и называет охране свое имя и фамилию — это идентификация, а его ФИО — идентификатор. Точно так же работает имя, когда клиент звонит в банк, чтобы разобраться с проблемой. Или логин при входе в соцсети.
- Аутентификация — это проверка подлинности пользователя. То есть после того, как человек подошел к охране и назвал себя, сотрудник безопасности попросит у него паспорт, чтобы подтвердить его личность, — и это будет уже аутентификация. То же самое произойдет и когда сотрудник колл-центра банка попросит назвать кодовое слово, чтобы подтвердить личность звонящего. Или когда соцсеть запросит пароль.
- Авторизация — это разрешение делать какие-то вещи в системе. Например, когда человек получает пропуск в офисное здание, он может пройти и подняться на нужный этаж. А клиент банка после подтверждения личности может заблокировать свой счет по телефону или пользователь соцсети может писать посты под своим именем.
- Верификация — это проверка на подлинность. С ее помощью система определяет, действительно ли человек, залогинившийся под тем или иным именем, тот самый пользователь. Например, верификация — это галочка у официальных страниц и групп в соцсетях. Она означает, что пользователь — известный человек, который прошел проверку у компании и та подтвердила, что страницу ведет действительно он.
Можно разделить все доступные способы аутентификации на 2 группы факторов: «то, что я знаю» (пароли) и «то, что у меня есть/тот, кто я есть» (телефон, биометрия).
Факторы из второй группы в намного меньшей степени уязвимы для масштабных атак, так как требуют физического доступа к устройству или подделки биометрических данных. Но главное их преимущество – простота для пользователя и скорость, поэтому они быстро набирают популярность.
Также мы можем наблюдать тренд на развитие экосистем сервисов от гигантов рынка. Важной частью любой такой экосистемы является единый вход. Поэтому с большой вероятностью можно предположить, что какой бы фактор подтверждения ни был выбран в будущем основным, лидирующую позицию на рынке аутентификации займут комплексные решения с наибольшим охватом.
Мы по многу раз на день называем себя разным системам: проходим идентификацию и, подтверждая свою личность, проходим аутентификацию. Сегодня самая распространенная надежная аутентификация — двухфакторная, когда для подтверждения личности используется два разных типа доступа. Например, пароль к аккаунту в социальных сетях и код, который приходит по СМС или в почту. Тот же принцип используют, например, банкоматы: карта является одним подтверждением личности, пин-код к ней — вторым. Все это необходимо, чтобы усложнить злоумышленнику возможность взломать аккаунт.
Каким будет следующий шаг в развитии технологий аутентификации, разработчики еще спорят. Часть из них считают, что будущее за многофакторной аутентификацией, которую пользователи из-за развития технологий просто перестанут замечать. Их противники уверены, что до этого далеко, так как пользователей раздражает необходимость постоянно совершать дополнительные действия и они находят пути их обхода. Кроме того, такая аутентификация не дает 100% защиты. «Если у нас есть cookie пользовательской сессии, то мы можем стать пользователем и нам не нужны его имя пользователя или пароль», — говорил бывший хакер Кевин Митник, который сейчас помогает компаниям защищаться от киберпреступлений.
Один из способов защититься — добавить больше типов данных, которые будут проверять личность пользователя, ту же биометрию: отпечатки пальца, звук голоса, распознавание лиц. Например, двухфакторной аутентификацией является Face ID, при этом технология работает для пользователя максимально незаметно. И хотя логично было бы предположить, что в скором будущем никакие логины, пароли и пин-коды людям вообще больше не понадобятся — хватит одной биометрии, — специалисты по кибербезопасности делать такие прогнозы не спешат. Помимо того, что взламывать системы, построенные на сложных технологиях, проще, хранить биометрическую информацию сложно, а риск утечки несет за собой крайне серьезные последствия.
Лицо вместо паспорта
Первые сервисы, которые собирались использовать фронтальную камеру смартфонов, чтобы идентифицировать пользователей, появились в середине 2010-х. В 2014 году такую технологию для банковских приложений анонсировал израильский стартап IsItYou, в 2015 году похожий сервис собиралась внедрять MasterCard. В 2017 году Apple представила свою Face ID, которая пришла на смену датчику для считывания отпечатков пальца Touch ID — и гаджеты с распознаванием лиц стали появляться один за другим.
Довольно долго в распознавание лиц мало кто верил. Технология хорошая, но сложная — Apple, например, использует для Face ID обычную и инфракрасную камеры, точечный проектор, алгоритмы машинного обучения, а также защищенное хранилище и защищенную же обработку данных. Но даже при всем этом сразу же нашлись специалисты, которые смогли ее взломать, сделав 3D-маску лица или наклеив изоленту на очки. Если компания не инвестирует множество средств и усилий в разработку, то обойти ее алгоритмы будет очень просто, и это снижает общий уровень информационной безопасности смартфонов. Но так или иначе за прошедшие три года технология распознавания лиц у пользователей прижилась, а компании стали активно встраивать ее в свои продукты.
Одними из первых удаленное распознавание лиц распробовали банки. Сбербанк поставил первый банкомат с распознаванием лиц летом 2017 года. В 2018 году то же самое сделал «Тинькофф Банк». В начале 2017 года ВТБ начал тестировать сервис по идентификации клиентов по фотографии и голосу. А в конце года «Открытие» запустило сервис переводов по фотографии пользователя. В 2018 году российские банки начали массово использовать распознавание лиц для выдачи онлайн-кредитов: технология позволяет им избегать мошенников, которые берут займы по поддельным документам.
Осенью 2018 года Сбербанк запустил собственную программу по сбору биометрии: изображения людей и их отпечатки пальцев нужны были банку, чтобы создавать сервисы с технологиями распознавания. А летом 2019 года стало известно, что банк готовится запустить сервис оплаты в магазинах по лицу. Свою технологию оплаты по лицу в «Ленте» запустили ВТБ и «Ростелеком». Чтобы расплатиться, покупателю достаточно посмотреть в камеру. Это работает, если его данные уже есть в Единой биометрической системе — общей государственной базе биометрических данных.
Дальше всех во внедрении технологий распознавания лиц для оплаты ушел Китай: в 2017 году в одном из торговых центров Ханчжоу в местном KFC запустилась система SmileToPay для оплаты с помощью селфи. Похожие системы есть у всех китайских IT-гигантов и не только. Компания Megvii создала технологию Face++ и привлекла $460 млн от Alibaba и других инвесторов, в том числе от Российского фонда прямых инвестиций. Главное преимущество сервиса в том, что компания обучала свои алгоритмы на государственной базе данных на 1,3 млрд жителей, которую собирают камеры по всей стране. Ее используют власти для поиска преступников, на этой же технологии Alibaba делает все тот же SmileToPay, и ее же использует китайский холдинг Meitu для своих платежей.
Свою технологию для платежей лицом делает и Tencent, разработчик мессенджера WeChat. Их технология установлена в нескольких сетях магазинов без продавцов: чтобы войти, покупатель либо сканирует свое лицо, либо показывает QR-код из приложения.
Для пользователя идеальная аутентификация выглядит как процедура, которая требует минимум простых действий, а еще лучше — не требует их совсем. Найти такое решение — цель каждого сервиса по аутентификации. Поэтому с каждым годом находятся все новые и новые способы упростить вход.
Все уже успели привыкнуть к автоматической подстановке кодов из СМС и сквозной авторизации в разных сервисах одной компании.
При этом бесшовная авторизация от операторов связи только набирает обороты. Технология позволяет в фоновом режиме авторизовать любого пользователя, который использует сайт или приложение в мобильной сети оператора и выбирает для входа Мобильный ID. Все проверки проходят незаметно для пользователя, не требуют от него дополнительных действий и занимают всего несколько секунд.
В некоторых странах распознавание лиц используют вместо паспортов.
- В международном аэропорту Атланты еще в конце 2018 года был открыт первый биометрический терминал. Пассажиры авиакомпании Delta и всех ее партнеров могут пройти регистрацию, сдать багаж и пройти контроль, используя систему распознавания лиц.
- В австралийских аэропортах вместо паспортного контроля работает система идентификации пассажиров. Пока что только для австралийцев, но с ее помощью власти намерены со временем обрабатывать до 90% всего потока пассажиров.
- В аэропорту Гонконга работает своя система распознавания лиц: там некоторые выходы на посадку оснащены системами e-Security Gates — пассажиры могут пройти контроль, приложив паспорт и посмотрев в камеру. Весь процесс занимает 20 секунд. Человеку достаточно один раз зарегистрироваться в системе, и после этого все его данные в аэропорту будут считываться автоматически.
В России похожую технологию тестируют в Домодедово. Но, возможно, в будущем с помощью распознавания лиц в России можно будет сделать гораздо больше: уже почти два года как у нас начали собирать базу данных для Единой биометрической системы. Это единая база лиц и голосов, которую разрабатывает «Ростелеком». Данные для нее собирают банки. Любой человек может «сдать» в базу изображение своего лица и образец голоса в отделении с нужным оборудованием, а затем дистанционно открывать счета в российских банках.
Отпечаток вместо кошелька, голос вместо визитки
Распознавание лиц — одна из самых многообещающих технологий аутентификации, основанных на биометрии, но не единственная. Довольно широко распространены дактилоскопия — опознание по отпечатку пальца — и распознавание голоса.
- В 2016 году за несколько лет до появления магазинов, узнающих покупателей по лицам, российская «Азбука Вкуса» запустила систему оплаты покупок по отпечатку пальца без карт и пин-кода. Чтобы расплачиваться пальцем, нужно было сначала на кассе привязать карту к отпечатку. Система работает до сих пор, в 2019 году в сети было уже 20 магазинов, оснащенных нужными терминалами.
- В прошлом году Google открыла возможность использовать отпечаток пальца вместо пароля в некоторых своих сервисах. Он должен заменить пароли, которые часто бывают слишком простыми и легко взламываемыми. Кроме того, на Android можно поставить утилиты, которые могут защитить отпечатком доступ к конкретным приложениям или спрятать фотографии от посторонних.
- Голос, казалось бы, не такой популярный идентификатор, как палец или лицо, но и у него есть свои применения. Например, умные помощники умеют распознавать пользователей по голосу. Владеет таким навыком и «Алиса» «Яндекса»: для того чтобы она запомнила человека, ему необходимо повторить за ней пять фраз — и алгоритм составит модель голоса.
- Британский банк Barclays начал использовать распознавание голоса для верификации своих клиентов еще в далеком 2013 году. А в 2016 году сделал этот сервис доступным для всех своих пользователей: чтобы опознать и подтвердить личность клиента, вместо пароля и кодовых слов система использовала голос. Чтобы алгоритм запомнил человека, ему достаточно прослушать несколько его звонков. Похожую технологию внедрял и другой крупный международный банк — HSBC.
Неоспоримый плюс биометрической идентификации — это уникальные свойства человека, которые сложно подделать. Основной барьер для таких решений — кропотливое наполнение базы пользователей для дальнейшей идентификации.
Если же говорить о кейсах цифровой идентификации в мировом масштабе, вспоминается Эстония с ее универсальной ID-картой. Карта приравнивается к электронному удостоверению личности, 90% граждан используют ее для электронных голосований, интернет-банкинга, доступа к государственным сервисам, оплаты общественного транспорта и в качестве способа аутентификации на онлайн-ресурсах.
Смартфон вместо всего
Пока еще распознавание лиц применяется не очень широко, а все остальные биометрические способы идентификации имеют свои ограничения, чаще всего нас идентифицирует наш собственный смартфон. Именно он стал главной заменой банковских карт, с его помощью мы подтверждаем личность в многочисленных сервисах, на него приходят СМС для двухфакторной аутентификации.
- В 2016 году Amazon открыл первый в своем роде магазин без касс и продавцов Amazon Go. Чтобы совершить покупку, пользователю нужно было поставить на смартфон приложение, активировать QR-код и показать его турникету — и все. Дальше магазин автоматически определял, что за товары взял человек, и списывал деньги с привязанной карты, как только пользователь покидал магазин. Работает система с помощью сотен умных камер, которые отслеживают перемещения человека, а специальные датчики на полках определяют выбранные товары. Кстати, во время недавних протестов один из магазинов Amazon был разграблен. Но нажиться на IT-гиганте никому не удалось: после грабежа система автоматически выставила участникам счета за покупки.
- В режиме самоизоляции смартфон приобрел для человека особое значение. Из-за коронавируса правительства многих стран, например, Сингапура, разрабатывали приложения, которые определяют контакты заразившихся со здоровыми и помогают остановить распространение эпидемии. Есть свой вариант подобной системы и в России. Приложение «Социальный мониторинг» нужно было ставить на смартфоны всем заболевшим, система по геопозиции определяла, покидал ли человек дом, и автоматически выписывала штраф, если это происходило. Работал мониторинг не очень точно, тысячи людей жаловались на штрафы ни за что. Но так или иначе во время этой пандемии смартфон стал чуть ли не главным идентификатором.
Мобильный ID и мобильная цифровая подпись
С помощью смартфона можно не только платить за покупки, но и быстро регистрироваться на сайтах без логина и пароля, а еще — подписывать электронные документы в любой точке мира. Такие сервисы есть, например, у «МегаФона». Вместе с ними мы написали этот текст.
- Мобильный ID — это сервис, с помощью которого можно быстро и безопасно регистрироваться на сайтах по номеру телефона. Пригодится это всем компаниям, которые ведут бизнес в интернете: с этой услугой вашим клиентам не понадобится регистрироваться и каждый раз вводить логин-пароль, достаточно номера телефона. Как это работает: пользователь нажимает кнопку регистрации на сайте, получает на телефон push-уведомление и подтверждает вход. С согласия пользователя можно автоматически заполнить формы регистрации и заказов.
- Мобильная электронная подпись — это сервис, который позволяет подписывать электронные документы, в том числе юридически значимые, с помощью мобильного телефона или планшета в любой точке мира, где есть сотовая связь. Для этого нужна специальная сим-карта «МегаФона» с привязанным к ней сертификатом электронной подписи. Работает все просто: на мобильный телефон или планшет приходит всплывающее сообщение с краткой выдержкой из документа, который необходимо завизировать. Пользователю остается решить, «отклонить» или «подписать» документ, и подтвердить свое действие пин-кодом.