Биометрические мифы и реальность

Теперь уже не раскрою большого секрета, если скажу что 5 лет назад работал в в компании занимавшейся биометрией и распознаванием отпечатков в частности. Названия приводить в целях рекламы (или антирекламы) не буду, скажу лишь что одна из ведущих в России по этой теме и по сей день.

И, хотя в то время я там занимался задачами сугубо техническими — автоматизация тестирования, разработка на нескольких платформах, исследование биометрических стандартов, но все достоинства и недостатки биометрии понял ещё тогда, в последние годы лишь поддерживал свои базовые знания по теме, ибо интересно же.

Как бы то ни было, вот сейчас пишут про появление автозаправок со сканерами отпечатков и рисками приватности и их защиты. Но, на самом деле, все эти риски весьма неоднозначны. Биометрия, сканирование отпечатков пальцев, в частности, основывается на качественных показателях — FAR и FRR.

FAR — это False Acceptance Rate, показатель что какая-либо персона может быть принята за другую.
FRR — это False Rejection Rate, показатель что какая-либо персона ошибочно не будет узнана.

Также у биометрии есть две основных области применения — это AFIS и аутентификация.

AFIS — это Automated Fingerprinting Identification System. Автоматизированная система распознавания отпечатков используемая полицией и ФБР для установления личности человека. Целью AFIS является максимальное сужение круга подозреваемых лиц, в идеале до одной персоны, даже по частичным отпечаткам пальцев, разного качества и отображения. Для AFIS критичен показатель FRR, поскольку даже если по результатам поиска будет найдено несколько десятков персон, потом офицер может перебрать их визуальным сравнением, и менее важен показатель FAR, так как риск упустить кого-либо из списка подозреваемых, выше чем необходимость сопоставлений 1 к 1. В общем-то AFIS системы существуют уже много лет и появились ещё во времена расцвета мейнфреймов, что неудивительно так как распознавание в них шло да и идёт в основном по анализу изображений и это требует коллосальных вычислительных мощностей. Например, у ФБР существует база отпечатков IAFIS по 51 миллиону преступников, где все отпечатки хранятся в специальных графических форматах WSQ и JPEG2000.

Аутентификация — это уже куда более простой и прозаичный процесс при котором вначале пользователь создаёт эталонный шаблон распознавания, так называемый биометрический шаблон, далее при необходимости аутентификации для доступа к компьютеру/приложению/терминалу он прикладывает отпечаток пальца и аутентификационный модуль сравнивает его отпечаток с отпечатками в базе данных и далее процесс аналогичный как если бы шла аутентификация по паролю или смарт карте. Существенно здесь два важных аспекта:

1. Гораздо большее значение играет FAR, а не FRR так как если система отвергнет отпечаток человека раз, он может приложить палец ещё раз, а вот если она пропустит чужого, это будет совсем плохо.
2. Сравнение изображений при аутентификации — это очень ресурсозатратный процесс. Когда терминалов с которых сравнения могут происходить тысячи он ещё более ресурсозатратен, а в ситуациях, например, когда тысячи пользователей одновременно приходят на работу и прикладывают пальцы к сканеру для логона в компьютер, это периоды недопустимо стрессовой нагрузки. По всем этим причинам практически все производители биометрических продуктов используют специальные бинарные форматы хранения шаблонов которые сравнивают между собой. Это также ресурсозатратный процесс, но куда как менее чем сравнивать изображения. Надо ли говорить что алгоритмы сравнения — это всегда закрытое ноу-хау каждого производителя и практически все они несовместимы между собой.

Как резюме, AFIS и системы аутентификации преследуют различные цели и, хотя и можно на этапе преобразования изображения отпечатка в шаблон отправлять его копию в федеральный центр ФБР или хранить на корпоративном сервере аутентификации, но это уже зависит исключительно от того как построена система и необходимости её анализа внешним аудитом безопасности. То есть опасения хотя и могут быть обоснованы, но вполне разрешаемы и в любом случае до сих пор ни одна в мире глобальная система отслеживания по биометрическим данным не сравнится, например, с отслеживанием использования кредитных карт.

About This Author

Яндекс.Метрика