Эра пост-паролей: что заменит биометрию в ближайшие годы -
Эра пост-паролей: что заменит биометрию в ближайшие годы

Эра пост-паролей: что заменит биометрию в ближайшие годы

статьи | | Технологии и Безопасность

написал Evan Mcbride

До недавнего времени биометрия — отпечаток пальца, сканирование лица или радужной оболочки — казалась вершиной цифровой безопасности.

До недавнего времени биометрия — отпечаток пальца, сканирование лица или радужной оболочки — казалась вершиной цифровой безопасности.

Она превращала наше тело в уникальный ключ, который невозможно забыть или потерять. Но со временем и в этой концепции обнаружили уязвимости. Появились голосовые фейки, позволяющие обойти системы распознавания речи, высококачественные 3D-маски, обманывающие камеры с Face ID.

Проблема в том, что биометрические данные статичны. То есть отпечаток пальца или геометрия лица, будучи однажды скомпрометированы, уже не подлежат замене, как пароль. Утечка такого «цифрового слепка» личности создает пожизненную угрозу, поэтому разработчики продолжают искать новые, более динамичные и устойчивые способы аутентификации, которые знаменуют наступление эры пост-паролей и даже пост-биометрии.

Поведенческие паттерны как уникальный ключ

Если традиционная биометрия отвечает на вопрос «кто вы?», основанный на том, как вы выглядите, то новые методы фокусируются на том, «как вы это делаете». Речь идет о поведенческой биометрии — технологии, анализирующей уникальные паттерны наших действий.

  • Динамика клавиатурного почерка: Алгоритмы анализируют не то, что вы печатаете, а как вы это делаете — ритм, скорость, силу нажатия, время между нажатиями определенных клавиш. Имитировать это практически невозможно. Например, BioCatch — израильская компания, являющаяся лидером на рынке. Их технология анализирует более 2000 параметров поведения, включая ритм печати, движение мыши, давление на тачскрин и даже то, как пользователь держит устройство. BioCatch сотрудничает с крупными мировыми банками, такими как HSBC и Barclays, для борьбы с мошенничеством. Их кейсы и технология широко освещаются в отраслевых изданиях, таких как Finovate и Forbes. Еще один пионер в этой области — BehavioSec (часть LexisNexis Risk Solutions). Компания также предоставляет решения для непрерывной аутентификации на основе поведенческих паттернов.

  • Паттерны навигации и скроллинга: Живой пользователь скроллит страницу с неравномерной скоростью, делает паузы для чтения. Боты же часто демонстрируют идеально линейную или механически повторяющуюся модель скроллинга.

  • Походка и жесты: Камеры смартфонов или специализированные сенсоры могут идентифицировать человека по характерной походке или даже по тому, как он держит и перемещает устройство в пространстве.

  • Скан активности вен (венозная биометрия): Этот метод, набирающий популярность в финансовом секторе, например, Японии, считается более защищенным, чем отпечатки пальцев. Он сканирует уникальный рисунок вен на ладони или пальце, который скрыт под кожей, его невозможно подсмотреть или скопировать с поверхности, а для аутентификации требуется живой кровоток. Fujitsu PalmSecure — это одна из самых известных и распространенных технологий венозной биометрии. Она использует инфракрасный свет для сканирования уникального рисунка вен ладони. Эта технология широко используется в Японии для аутентификации в банкоматах, в корпоративных системах контроля доступа и даже в школах для оплаты обедов. 

Эти поведенческие модели создают непрерывный и динамичный цифровой портрет, который крайне сложно подделать, поскольку он основан на бессознательных мышечных и моторных реакциях.

Как еще ИИ отличает живого пользователя от бота

Следующий рубеж — переход от простой аутентификации к непрерывной верификации. Системы теперь стремятся не просто однократно «опознать» пользователя, а постоянно подтверждать его «степень человечности» и легитимность в течение всего сеанса работы.

Для этого используются продвинутые ИИ-системы, которые анализируют комплекс микропризнаков:

  • Анализ микродвижений: Камеры с высоким разрешением отслеживают непроизвольные подергивания глаз (идеомоторные акты), мимические морщины или изменение текстуры кожи под разным углом освещения — признаки, отсутствующие у статичной маски или видео. iProov — британская компания, чья технология используется правительствами Великобритании и США для удаленной верификации личности. Их система Face Check использует кратковременную вспышку света от камеры смартфона, чтобы осветить лицо и создать уникальную, одноразовую цифровую подпись.

  • Биодинамика: Датчики могут улавливать пульс или ритм дыхания через камеру, что является доказательством жизнедеятельности. Самые современные системы, о которых сообщают исследователи из Университета штата Нью-Йорк в Буффало и Стэнфорда, используют как раз технологию дистанционной фотоплетизмографии (rPPG). Камера смартфона незаметно для пользователя отслеживает микроскопические изменения цвета кожи на лице, вызванные пульсацией крови в сосудах. 

  • Выявление артефактов рендеринга: Генеративные модели, создающие глубокие фейки, несмотря на их качество, оставляют микроскопические артефакты — искажения на границах объектов, неестественную текстуру кожи, ошибки в отражениях в глазах. ИИ, обученный на миллионах настоящих и поддельных изображений, стал экспертом в выявлении этих "цифровых швов".

  • 3D-картирование и реакция на стимулы: Система может попросить пользователя повернуть голову, улыбнуться или моргнуть. При этом она строит 3D-карту лица и проверяет, соответствуют ли реакции естественной биомеханике человеческого лица. Фейк не может корректно воспроизвести трехмерное движение.

  • Нейросигнатуры (EEG-биометрия): Хотя эта технология находится на ранней стадии исследований, потенциал у нее, по мнению ученых, колоссальный. Электроэнцефалограмма (ЭЭГ) регистрирует уникальную электрическую активность мозга человека в ответ на определенные стимулы (например, просмотр серии изображений). Подделать эту реакцию невозможно в принципе, так как она является отражением работы конкретной нервной системы.

Такие системы оценивают не единичный параметр, а сотни факторов в реальном времени, формируя интегральную «оценку доверия». Если оценка падает — например, из-за подозрительного поведения мыши или отсутствия микромимики, — сеанс блокируется, даже если изначальный вход по паролю и отпечатку был успешным.

Риски новой эры: от утечек к тотальному контролю

Однако переход к таким глубоким и персональным формам аутентификации порождает новые, еще более серьезные риски.

Если сегодня системы следят за нашими действиями в сети, то завтра они смогут непрерывно анализировать нашу походку, манеру печати и мимику. Грань между безопасностью и тотальным контролем становится призрачной.

Более того, утечка базы с нашими ЭЭГ-паттернами или поведенческими профилями — это угроза нового уровня. Эти данные раскрывают не просто личность, но и уникальные биометрические и неврологические характеристики, которые можно попытаться использовать для манипуляций.

Также алгоритм может счесть «подозрительной» нестандартную манеру движения или нервный тик и начать систематически ограничивать доступ человеку.

Куда движется защита личности

Будущее цифровой идентичности лежит в области децентрализованных и контекстно-зависимых систем.

  • Суверенная идентичность (SSI): Эта концепция предполагает, что пользователь хранит свои верифицированные данные (паспорт, диплом, биометрию) на своем личном устройстве в зашифрованном виде (например, в кошельке на смартфоне). Для входа в банк или получения госуслуги он не передает сами данные, а лишь предъявляет криптографическое доказательство своего возраста или гражданства, не раскрывая лишней информации. Evernym была одной из первых компаний, разработавших инфраструктуру для SSI на базе блокчейна Sovrin. Позже она была приобретена компанией Avast. Их технология позволяет создавать само-суверенные идентификаторы, которые используются в пилотных проектах правительств и корпораций по всему миру. Факт приобретения и технология подтверждаются авторитетными изданиями, такими как TechCrunch.

  • Адаптивная аутентификация: Уровень проверки будет гибко меняться в зависимости от контекста. Для доступа к фитнес-трекеру достаточно поведенческого паттерна, а для подтверждения многомиллионной транзакции система может запросить многофакторную аутентификацию с подтверждением по нейросигнатуре.

Таким образом, в скором времени нас всех ждут цифровые двойники.  Они будут состоять из тысяч динамических параметров, а их подлинность будет обеспечиваться не хранением в уязвимой корпоративной базе, а передовой криптографией и децентрализованными реестрами.

Теги: искусственный интеллект нейронные сети

Поделитесь этим с друзьями!

Evan Mcbride

Evan Mcbride

Штатный журналист HiTecher и фанат всего, что связано с высокими технологиями и наукой. Среди его материалов: новости из мира гаджетов, статьи о важных фундаментальных открытиях, а также разборы проблем современного бизнеса. На HiTecher у Эвана есть авторская колонка.

Все посты Evan Mcbride

Будьте первым, кто оставит комментарий