По мере развития технологии биометрического обнаружения живучести компании изо всех сил стараются идти в ногу с развитием событий, чтобы понять относительные преимущества и недостатки различных предложений, таких как активные и пассивные проверки живучести, согласно новому техническому документу ID R&D.
«Важная роль обнаружения живости в биометрической аутентификации лица и как выбрать правильный вариант для вашего случая использования» подробно описывает предпосылки увеличения использования распознавания лица в проверке личности для целого ряда приложений, включая логический доступ, финансовые транзакции и вход в систему, а также необходимость обнаружения живости, чтобы обезопасить их от попыток мошенничества.
Старший вице-президент ID R&D Джон Амейн сказал в интервью по электронной почте Biometric Update, что «большинство компаний, с которыми мы общаемся, знают о живости, потому что она необходима как для регулирования, так и для банковской безопасности».
Они могли бы принять и продолжать использовать технологии активной жизнедеятельности, если бы не высокий уровень отказов от клиентов, а также уязвимость, которая связана с тем, что механизм становится очевидным для потенциальных мошенников, говорит он.
В официальном документе объясняется, что обнаружение живости – это процесс обнаружения атак на презентации, таких как подделка фотографий или видео, глубокие подделки, модели или 3D-маски, а не процесс сопоставления. Активные и пассивные подходы определяются и сравниваются.
ID R&D отмечает, что частота отказов для обнаружения активной живучести достигает 50%, что противоречит цели системы, предназначенной для обеспечения легкой дистанционной регистрации, но эта альтернатива пока широко не известна.
«На данный момент большинство компаний не осознают, что теперь действительно возможно пассивное решение», – заявляет Амейн.
ID R&D запустила технологию пассивного обнаружения живучести в августе прошлого года.
Плюсы и минусы для разных вариантов использования
Отмечены различные механизмы обнаружения активной живости, основанные на реакции пользователя, такие как перемещение определенным образом, следование за объектом на экране или перемещение камеры.
Пассивные подходы включают в себя различную подсветку у пользователя, съемку коротких видеороликов, проверку селфи и аппаратные подходы, такие как глубинное зондирование.
Потенциальный недостаток использования единственного селфи-изображения для пассивного обнаружения живучести состоит в том, что для выполнения анализа требуется серверный компонент. Это не представляет проблемы для многих вариантов использования, включая цифровую регистрацию для банков, по словам Эймейна.
Убеждение клиентов в том, что он обеспечивает высокий уровень безопасности, может стать препятствием для некоторых предприятий.
«Существует огромный скептицизм, что одно селфи может работать!» – признается Амейн. «Мы смеемся над этим с людьми, когда проводим демонстрации, потому что им трудно в это поверить. Затем они сами пытаются использовать программное обеспечение, которое мы предоставляем, чтобы они могли проверить на своих собственных базах данных изображений. До сих пор мы получаем обратную связь: «Ваша технология потрясающая!»
Рассматриваются вопросы внедрения, защиты цифровых клиентов, обеспечения безопасности платежей и использования безкарточного доступа, а также пять ключевых соображений для организаций, оценивающих технологии живучести. Простота, факторы окружающей среды, кросс-канальная совместимость, а также простота интеграции и развертывания определяются как факторы, которые необходимо учитывать при выборе конкретного типа технологии обнаружения живучести для реализации.
ISO стандарт живучести
Окончательное решение, представленное ID R&D, – это стороннее тестирование в соответствии со стандартом обнаружения атак на презентации (PAD) ISO. Компания отмечает, что iBeta Quality Assurance (https://www.biometricupdate.com/companies/ibeta), которая выполняла тестирование PAD уровня 1, является единственной биометрической лабораторией, аккредитованной в рамках Национальной добровольной программы аккредитации лабораторий NIST (NVLAP). Компания говорит, что она также планирует в ближайшее время пройти тестирование уровня 2.
В официальном документе говорится, что только две компании прошли тестирование ISO/IEC 30107-3:2017 с технологиями активного обнаружения, а две – с технологиями пассивного обнаружения, которые были сертифицированы или соответствуют требованиям.
«Соответствие ISO 30107-3 является жестким стандартом, активным или пассивным. Многие компании не смогли пройти, потому что для уровня 1 существует нулевая погрешность. Даже одна попытка подделки не допускается», – объясняет Амейн.
«Важно также признать, что принятие стандарта ISO 30107-3 описывает, насколько сильна система с точки зрения безопасности, но ничего не говорит о взаимодействии с пользователем. Есть системы, которые соответствуют ему, но они также вызывают отказ клиента, потому что пользователю может быть трудно следовать инструкциям и выполнять их должным образом. Вот почему мы видим, что все больше компаний предпочитают сотрудничать с поставщиками технологий, такими как ID R&D, чтобы вывести на рынок совместимое решение, которое обеспечивает отличный пользовательский опыт».
В документе отмечается, что все биометрические решения для лица уязвимы для сложных атак с использованием презентаций. По данным ID R&D, обнаружение этих атак без чрезмерного трения в процессе является проблемой для бизнеса, внедряющего технологию liveness. С пониманием вариантов и того, как они применяются в бизнес-сценариях, уровень мошенничества можно снизить, не вызывая отказа клиентов от цифровых процессов.
По материалам Biometrics Research Group. Автор Chris Burt
