По словам генерального директора iProov Эндрю Бад (Andrew Bud), который выступил на форуме Trust Services Forum / CA Day в Берлине (Германия) биометрия может помочь обеспечить проверку личности в удалённых средах, но только в том случае, если можно смягчить атаки с использованием инъекций.
Бад подчеркнул, что цифровой кошелёк Европейского союза должен быть ориентирован на пользователя, поскольку безопасность и простота регистрации имеют решающее значение для внедрения и использования сервисов кошелька.
«Старая концепция компромисса больше не работает, – говорит Бад, – и мы видим огромные экономические выгоды, которые можно получить, если мы сделаем это правильно».
По его словам, для обеспечения наилучшей безопасности цифровых удостоверений биометрия должна рассматриваться как главный приоритет. Эти технологии могут защитить от трёх угроз.
Первая заключается в том, что этот человек не тот, за кого себя выдает. Это может быть решено с помощью мобильных алгоритмов сопоставления лиц, которые, как утверждает Бад, теперь «на порядки эффективнее, чем необходимо в подобных средах».
Во-вторых, по его словам, это атаки на презентации, особенно те, которые основаны на силиконовых масках, созданных специально для подделки биометрических систем лица. Третья угроза – это атаки с использованием цифровых технологий, такие как deepfakes.
«Только в том случае, если эти три угрозы будут устранены, можно будет надёжно использовать автоматическую биометрическую верификацию как часть процесса [цифровой] идентификации».
Бад добавляет, что проверка на устройстве, в отличие от использования алгоритма сопоставления в облаке, позволяет злоумышленникам скрывать свою личность, а также метод их атаки, о чём свидетельствует данные обнаружения угроз, собранная компанией с помощью своего центра операций безопасности.
Как только эти методы скомпрометированы, невозможно узнать, как и когда они были скомпрометированы. Более того, как только злоумышленники находят эффективный метод взлома таких биометрических систем, они часто продают его в dark web, что создаёт угрозу безопасности всей инфраструктуры, полагающейся на эту систему.
«Полная самостоятельность всего сообщества цифровой идентификации и сообщества eIDAS в отношении онлайн-видеоидентификации сегодня представляет собой реальную и настоящую опасность, угрозу безопасности [сообщества]».
Бад говорит, что его компания заметила резкое увеличение числа атак с использованием цифровых инъекций, которые в настоящее время в шесть раз превышают количество презентационных атак на биометрические системы.
Для защиты от этих опасностей Bud рекомендует не полагаться в вопросах безопасности на устройства пользователей, использовать недоступную обработку данных для предотвращения атак обратного проектирования и защищать небиометрические варианты регистрации, среди прочего.
Семинар проводится через несколько дней после того, как iProov в партнерстве с Microblink разработала решение для биометрической идентификации на основе селфи и проверки документов, удостоверяющих личность. Также ветеран финтеха Лу Энн Александер (Lou Anne Alexander) была добавлена в корпоративный совет компании в качестве неисполнительного члена.
Аджай Амлани из iProov предупреждал о масштабируемости инъекционных атак на Authenticate 2022.
По материалам Biometrics Research Group. Автор Alessandro Mascellino
