Лицевая биометрия постепенно становится популярным методом верификации цифровой идентичности в системах многофакторной (MFA) и двухфакторной аутентификации (2FA).
Однако, как и любая технология, она не лишена недостатков. Такие проблемы, как атаки с подменой личности или ложные срабатывания, могут снизить надежность системы и сделать ее уязвимой для мошенников.
В этой статье мы рассмотрим 5 узких мест аутентификации по лицу в 2FA/MFA и расскажем, как обойти эти ограничения для построения надежной системы цифровой идентификации.
Однако, как и любая технология, она не лишена недостатков. Такие проблемы, как атаки с подменой личности или ложные срабатывания, могут снизить надежность системы и сделать ее уязвимой для мошенников.
В этой статье мы рассмотрим 5 узких мест аутентификации по лицу в 2FA/MFA и расскажем, как обойти эти ограничения для построения надежной системы цифровой идентификации.
1. Снижение уровня ложных срабатываний (FMR)
Проблема: Высокий коэффициент ложных срабатываний (False Match Rate, FMR) – вероятность ошибочного подтверждения личности неавторизованного пользователя – увеличивает риск несанкционированного доступа. Стандартные метрики FMR часто не учитывают атаки с подменой лица, что делает систему уязвимой к различным видам мошенничества.
Решение: Для минимизации рисков биометрическая система должна работать с FMR [ISO/IEC 2382-37] 1 из 1000 или выше. Этот FMR ДОЛЖЕН быть достигнут в условиях соответствующей атаки (т. е. попытки мошенника с нулевыми усилиями), как указано в [ISO/IEC 30107-1] .
Решение: Для минимизации рисков биометрическая система должна работать с FMR [ISO/IEC 2382-37] 1 из 1000 или выше. Этот FMR ДОЛЖЕН быть достигнут в условиях соответствующей атаки (т. е. попытки мошенника с нулевыми усилиями), как указано в [ISO/IEC 30107-1] .
2. Проблема вероятностного характера биометрии
Проблема: В отличие от паролей или PIN-кодов, которые являются детерминированными факторами аутентификации, биометрическое сравнение основано на вероятностных расчетах.
Решение: Для повышения надежности аутентификации следует комбинировать распознавание лиц с детерминированными факторами, такими как цифровые подписи или PIN-коды. Использование нескольких факторов верификации делает MFA систему более устойчивой к рискам взлома.
Решение: Для повышения надежности аутентификации следует комбинировать распознавание лиц с детерминированными факторами, такими как цифровые подписи или PIN-коды. Использование нескольких факторов верификации делает MFA систему более устойчивой к рискам взлома.
3. Защита биометрических шаблонов
Проблема: Биометрические данные (например, лицо) нельзя изменить или сбросить, как пароль. При утечке данных шаблона злоумышленники могут использовать его для подмены личности в течение неограниченного времени.
Решение: Схемы защиты биометрических шаблонов предоставляют метод отзыва биометрических учетных данных, сравнимый с другими факторами аутентификации (например, сертификатами PKI и паролями). Однако доступность таких решений ограничена, а стандарты для тестирования этих методов все еще находятся в стадии разработки.
Решение: Схемы защиты биометрических шаблонов предоставляют метод отзыва биометрических учетных данных, сравнимый с другими факторами аутентификации (например, сертификатами PKI и паролями). Однако доступность таких решений ограничена, а стандарты для тестирования этих методов все еще находятся в стадии разработки.
4. Защита от атак с подменой личности (PAD)
Проблема: Мошенники могут пытаться обойти систему аутентификации по лицу, используя фотографии, видеозаписи или 3D-маски.
Решение: Необходимо внедрить инструменты PAD (Presentation Attack Detection), например, детекцию живого лица (liveness detection), которая позволит выявлять и блокировать попытки подобных биометрических атак. Развертываемая биометрическая система должна демонстрировать не менее 90% устойчивости к атакам с представлением для каждого соответствующего типа атаки (т. е. вида), где устойчивость определяется как количество предотвращенных атак с представлением, деленное на количество атак с пробным представлением. Тестирование устойчивости к атакам презентации ДОЛЖНО проводиться в соответствии с пунктом 12 [ИСО/МЭК 30107-3] . Решение PAD МОЖЕТ быть принято либо локально на устройстве заявителя, либо центральным верификатором.
Решение: Необходимо внедрить инструменты PAD (Presentation Attack Detection), например, детекцию живого лица (liveness detection), которая позволит выявлять и блокировать попытки подобных биометрических атак. Развертываемая биометрическая система должна демонстрировать не менее 90% устойчивости к атакам с представлением для каждого соответствующего типа атаки (т. е. вида), где устойчивость определяется как количество предотвращенных атак с представлением, деленное на количество атак с пробным представлением. Тестирование устойчивости к атакам презентации ДОЛЖНО проводиться в соответствии с пунктом 12 [ИСО/МЭК 30107-3] . Решение PAD МОЖЕТ быть принято либо локально на устройстве заявителя, либо центральным верификатором.
5. Ограничение числа неудачных попыток аутентификации
Проблема: Неограниченное количество попыток аутентификации открывает возможность атак методом перебора.
Решение: Внедрите задержку (например, 30 секунд) после нескольких неудачных попыток входа (например, после пяти). Также отключайте лицевую аутентификацию после определенного количества неудачных попыток, требуя использования альтернативных методов подтверждения (например, PIN-кода или одноразового пароля), чтобы заблокировать несанкционированный доступ.
Решение: Внедрите задержку (например, 30 секунд) после нескольких неудачных попыток входа (например, после пяти). Также отключайте лицевую аутентификацию после определенного количества неудачных попыток, требуя использования альтернативных методов подтверждения (например, PIN-кода или одноразового пароля), чтобы заблокировать несанкционированный доступ.
Внедрение лицевой аутентификации в 2FA/MFA требует комплексного подхода к безопасности. Реализация вышеперечисленных методов поможет устранить уязвимости и защитить систему от мошеннических атак, обеспечивая надежную цифровую идентификацию пользователей.
Все эти проблемы уже решены в 3DiVi BAF — системе многофакторной лицевой аутентификации с защитой от мошенничества.
Попробуйте 3DiVi BAF бесплатно через наше онлайн-демо! Узнайте, как система может улучшить процессы регистрации и авторизации в вашем бизнесе.
Узнать больше о продукте и его функциях
Все эти проблемы уже решены в 3DiVi BAF — системе многофакторной лицевой аутентификации с защитой от мошенничества.
Попробуйте 3DiVi BAF бесплатно через наше онлайн-демо! Узнайте, как система может улучшить процессы регистрации и авторизации в вашем бизнесе.
Узнать больше о продукте и его функциях
