Почему биометрическая аутентификация безопасна: как и когда используется

Сегодня биометрические технологии становятся неотъемлемой частью современной инфраструктуры: мы используем распознавание лица для разблокировки смартфона, подтверждаем личность при оплате в банковских приложениях или при получаем государственные услуги с помощью лица.

Одновременно с этим многие задаются вопросами: насколько надёжно защищены и где хранятся биометрические данные? Кто имеет к ним доступ? Может ли злоумышленник выкрасть биометрические данные и воспользоваться ими?

В этой статье мы разберём, как на самом деле устроена биометрическая аутентификация, почему она считается одним из самых надёжных способов подтверждения личности, и какие технологии защищают данные пользователя. Мы также расскажем, как компания OVISION реализует безопасную работу с биометрией в соответствии с законами 152-ФЗ и 572-ФЗ, и почему бизнесу, государству и людям можно доверять биометрическим решениям.

Биометрическая аутентификация — это способ подтверждения личности. Биометрические характеристики — лицо, отпечаток пальца, голос — уникальны у каждого человека. Их невозможно забыть, передать другому или скопировать с экрана. Попытки подделать биометрию требуют сложных технических решений и очень редко способны обойти систему, в частности на проверку «живости» (liveness) лица. Это делает биометрию гораздо надёжнее привычных методов вроде пароля или карты. Биометрическая аутентификация избавляет от необходимости запоминать пароли, искать пропуск или ждать SMS-код. Одного взгляда в камеру устройства достаточно для подтверждения личности. Это особенно важно в сценариях, где важна скорость — например, при аренде самоката, входе в здание или доступе к онлайн-сервису.

Фишинг, подмена аккаунтов, утечка паролей — эти угрозы по-прежнему актуальны при использовании классических способов аутентификации. Биометрия решает эту проблему иначе: даже если злоумышленник узнает вашу почту или логин, без подтверждения по лицу или отпечатку доступ к данным останется закрытым. Кроме того, биометрические шаблоны передаются в зашифрованном виде и не могут быть использованы напрямую при попытке перехвата.

Многие опасения вокруг биометрии связаны с тем, что люди представляют себе следующим образом: где-то хранится фотография человека и эти данные можно украсть. На деле всё работает совсем иначе. Биометрическая система не хранит фото. Вместо этого из изображения создаётся биометрический вектор — набор числовых признаков, по которым система распознаёт человека. Такой вектор невозможно превратить обратно в фотографию. Он выглядит как бессмысленный набор символов и не содержит персональных данных.

Биометрические векторы не хранятся вместе с ФИО, паспортом или номером телефона. Даже если кто-то получит доступ к хранилищу, он не сможет узнать, кому именно принадлежит биометрический шаблон. В государственной Единой биометрической системе (ЕБС), как и в коммерческих КБС, реализован разделённый принцип хранения — биометрия и данные о человеке разделены, а их сопоставление возможно только по специальному алгоритму и только по закону.

Передача и хранение данных осуществляется по защищённым каналам с применением сертифицированных криптографических средств защиты информаци (СКЗИ). Доступ к системе получают только уполномоченные организации, и каждая операция фиксируется и контролируется. Это значит, что данные не просто защищены — они защищены в соответствии государственными строгими стандартами, такими как 152-ФЗ (о персональных данных) и 572-ФЗ (о биометрии).

Биометрия — не новая технология и не «вторжение в частную жизнь». Сегодня мы регулярно сдаём свои биометрические данные в государственных структурах для получения некоторых услуг:

• при оформлении заграничного паспорта нового образца (включая детей от 12 лет),
• при въезде в другую страну (например, чтобы получить визу в Шенгенскую зону или США, нужно сдать отпечатки пальцев),
• при дактилоскопической регистрации в МВД (в ряде профессий обязательна).

Всё это — сбор и хранение биометрических данных, в том числе отпечатков пальцев, а иногда — и изображения лица. Подобный сбор уже никого не пугает, потому что это стало нормой. Не правильно также считать, что государство «следит» за миллионами граждан — потому что цели и задачи сбора такой биометрии ограичены законом.

То же самое происходит и с биометрией в ЕБС и КБС:

• она используется только по согласию пользователя,
• для одной конкретной цели — например, подтвердить возраст или получить услугу,
• не может быть и не будет использована для наблюдения или контроля.

Биометрическая аутентификация уже становится частью нашей цифровой повседневности — от использования смартфонов до получения государственных услуг. Она все больше развивается в сторону большей прозрачности, защищённости и соответствия закону.

В России безопасность биометрических данных регулируется на уровне федерального законодательства: 152-ФЗ (о персональных данных) и 572-ФЗ (о биометрии). Эти законы строго ограничивают цели, способы хранения и использования биометрии, а также устанавливают технические и организационные меры защиты. Компании, работающие с ЕБС и КБС, обязаны строго соблюдать эти нормы и проходят аккредитацию и аудит.

OVISION — оператор коммерческой биометрической системы, которая уже интегрирована с ЕБС и используется для подтверждения личности в ряде государственных и частных проектов. Мы проектируем решения, в которых безопасность пользователя стоит на первом месте — и технически, и юридически.

Данные пользователей зашифрованы, обезличены и доступны только в рамках конкретной задачи — будь то проход в здание или другие виды услуг.

Будущее с биометрией — это безопасность, простота и контроль в руках пользователя. И это будущее уже наступило.