Kyc.ge

Liveness-ის ბიომეტრიული დადგენის განმარტება

 
 

იცნობდე შენს კლიენტს (Know Your Customer, KYC)

მიუხედავად იმისა, რომ ფრაზა „იცნობდე შენს კლიენტს“ უმრავლესობისთვის ბევრს არაფერს ნიშნავს, ის ძალიან მნიშვნელოვანი კონცეფციაა ბიზნესის სამყაროში. კლიენტის შესწავლის პროცესი (KYC) არის ის, რასაც სხვადასხვა ბიზნესი აკეთებს კლიენტის პიროვნების ვერიფიკაციისთვის მანამ, სანამ მასთან დაიწყებს თანამშრომლობას ან უშუალოდ თანამშრომლობის განმავლობაში. ფინანსურ სერვისებში ეს შეიძლება წარმოადგენდეს გაიდლაინებს, რომელთა მიხედვითაც პროფესიონალები ვალდებულები არიან წინასწარ განსაზღვრონ საქმიან ურთიერთობასთან დაკავშირებული იდენტობა, შესაბამისობა და რისკები.   


რა არის “Liveness”?

ბიომეტრიაში Liveness-ის დადგენა, არის ხელოვნური ინტელექტის (Artificial Intelligence, AI) მქონე კომპიუტერული სისტემის უნარი განსაზღვროს რომ ის ურთიერთქმედებს ფიზიკურად წარმოდგენილ ადამიანთან და არა უსიცოცხლო ყალბ არტეფაქტთან. შენიშვნა: ეს არ არის სიცოცხლისუნარიანობა. არ დაუშვათ ეს დილეტანტური შეცდომა!

connection between humans and AI

Alan Turing
ალან ტიურინგი (1928)

“Liveness”-ის ისტორია

1950-იანებში ალან ტიურინგმა (wiki) შეიმუშავა ცნობილი „ტიურინგის ტესტი“. ეს ტესტი ზომავს კომპიუტერის უნარს გამოავლინოს ადამიანის მსგავსი ქცევა. ამის საპირისპიროდ, Liveness-ის დადგენა არის სისტემა ხელოვნური ინტელექტით, რომელიც განსაზღვრავს ურთიერთქმედებს თუ არა კომპიუტერი ცოცხალ ადამიანთან.   

 

"Liveness-ის ნათლიდედა"

დოროთი ე. დენინგი (wiki) არის ეროვნული კიბერუსაფრთხოების დიდების დარბაზის წევრი, რომელმაც დაამკვიდრა ტერმინი Liveness თავის 2001 წლის სტატიაში “მნიშვნელობა აქვს Liveness-ს და არა გასაიდუმლოებას“ (ჟურნალი Information Security Magazine ). ის აცხადებს:

„კარგი ბიომეტრიული სისტემა არ უნდა იყოს დამოკიდებული გასაიდუმლოებაზე“ და

„ბიომეტრიულ ანაბეჭდებს არ ჭირდება საიდუმლოდ შენახვა, მაგრამ ვალიდაციის პროცესმა უნდა შეამოწმოს წაკითხული Liveness“.

თავის დროსთან შედარებით ათწლეულებით ადრე, დოროთი ე. დენინგის ხედვა ბიომეტრიულ აუთენტიფიკაციაში Liveness-ის დეტექციის შესახებ, შეუძლებელია იყოს ამაზე მეტად სწორი.

Dorothy E. Denning



ადრეული სამეცნიერო სტატიები Livenes-სა და თაღლითობის წინააღმდეგ ბრძოლის (Anti-Spoofing) შესახებ

ერთ-ერთი ყველაზე ადრეული სტატია Liveness-ის თაობაზე გამოაქვეყნა სტეფანი შუკერსმა (Stephanie Shuckers, S.A.) 2002 წელს. „სიყალბე და თაღლითობის საწინააღმდებო ზომები" საყოველთაოდაა აღიარებული როგორც ამ თემაზე თანამედროვე ცოდნის ბაზის საფუძველი. სტატიის მიხედვით: „Liveness-ის გამოვლენა ეფუძნება ფიზიოლოგიური ინფორმაციის, როგორც სიცოცხლის ნიშნების ამოცნობას Liveness-ის იმ ინფორმაციის საფუძველზე, რომელიც ახასიათებს ბიომეტრიულ მონაცემებს.”

მოგვიანებით, 2016 წელს მისი მომდევნო სტატია "პრეზენტაციები და შეტევები, და თაღლითობა, ღმერთო ჩემო“ გავლენას ახდენს საპრეზენტაციო შეტევების აღმოჩენის კვლევებზე და ტესტირებებზე.


როგორ გვიცავს Liveness-ის დადგენა

ზემოთ მოყვანილი ქალბატონ დენინგის ფოტო არის ბიომეტრიული მონაცემი და ამჟამად დაქეშირებულია თქვენს კომპიუტერში. ახლა, როცა მისი ფოტო გაქვთ, არის ქალბატონი დენინგი რაიმენაირად უფრო მეტ საფრთხეში? არა, თუ მისი ანგარიშების უსაფრთხოება უზრუნველყოფილია Liveness-ის დეტექციით, რადგან ეს ფოტო ვერ მოატყუებს ხელოვნურ ინტელექტს, ვერც მისი ვიდეო, ან მისი მართვის მოწმობის, პასპორტის, თითის ანაბეჭდის ან ბადურის ასლი. ის ფიზიკურად უნდა იმყოფებოდეს რომ ქონდეს ანგარიშებთან წვდომა, ამიტომ შეუძლია არ იდარდოს თავისი ბიომეტრიული მონაცემების „საიდუმლოდ“ შენახვაზე.

Liveness-ის დეტექცია ხელს უშლის ბოტებს მოპარული ფოტოების, deepfake ვიდეოების, ნიღბების და გაყალბების სხვა მეთოდების გამოყენებაში ონლაინ ანგარიშების შექმნისას ან მათთან წვდომისას. Liveness უზრუნველყოფს რომ მხოლოდ ნამდვილმა ადამიანებმა შექმნან ანგარიშები და მიიღონ მათთან წვდომა. Liveness-ის შემოწმებები აგვარებს ძალიან სერიოზულ პრობლემებს. მაგალითად, მარტო 2019 წელს Facebooks-ს მოუწია 5.4 მილიარდი ყალბი ანგარიშის წაშლა! Liveness-ის დასტურის აუცილებლობა უზრუნველყოფდა რომ ეს ყალბი ანგარიშები არც კი შექმნილიყო საერთოდ.



Liveness.com: 1-5 დონის საფრთხეების ვექტორული შკალა - ყალბი არტეფაქტები და გვერდის ავლის (Bypass) დონეები

როდესაც უსულო ობიექტი, რომელიც ავლენს ადამიანის ნიშნებს („არტეფაქტი“) წარმოდგენილია კამერასთან ან ბიომეტრიულ სენსორთან, მას ეწოდება „სპუფი“ [ნაყალბევი]“. ფოტოები, ვიდეოები, deepfake მულაჟები, ნიღბები და მანეკენები - ყველა წარმოადგენს ყალბ არტეფაქტს. როდესაც ბიომეტრიული მონაცემები ყალბდება გადაღების შემდეგ ან ხდება კამერის საერთოდ გვერდის ავლა, ამას ეწოდება გვერდის ავლა (Bypass). არ არსებობს ლაბორატორიული ტესტები მესამე დონის არტეფაქტებისთვის, ან მე4 და მე-5 დონის გვერდის ავლისთვის, რადგან შეტევის ეს ვექტორები აკლია ISO 30107-3 სტანდარტს და ყველა შესაბამის ლაბორატორიულ ტესტს. მხოლოდ სიყალბის გამოვლენის წამახალისებელი (Spoof Bounty) პროგრამა ფარავს 1-5 დონეებს


 არტეფაქტის ტიპი აღწერა მაგალითი
დონე 1 (A)
 (ფულადი ჯილდო სიყალბის ამოცნობაზე)
მაღალი რეზოლუციის ქაღალდის და ციფრული ფოტოები, მაღალი გარჩევადობის ამოცანა-პასუხების ვიდეოები და ქაღალდის ნიღბები. ყურადღება მიაქციეთ: iBeta ლაბორატორიული ტესტები არ მოიცავს ციფრულ deepfake ფანტომებს, მაგრამ FaceTec-ის სიყალბის პრემირების პროგრამა ამასაც მოიცავს. barack obama face
დონე 2 (B)
 (ფულადი ჯილდო სიყალბის ამოცნობაზე)
კომერციული, ნამდვილის მსგავსი თოჯინები დარეზინის, ლატექსის და სილიკონის 3D ნიღბები ადამიანებისთვის, რომლის ღირებულებაა $300-მდე. barack obama face
დონე 3 (C)
 (ფულადი ჯილდო სიყალბის ამოცნობაზე)
შეკვეთით დამზადებული ულტრა რეალისტური 3D ნიღბები, ცვილის თავები და ა.შ., რომლის ღირებულებაა $3,000-მდე. barack obama face


Bypass ტიპი აღწერა მაგალითი
დონე 4
 (ფულადი ჯილდო სიყალბის ამოცნობაზე)
გაშიფრეთ და დაარედაქტირეთ 3D FaceMap™-ის კონტენტი, ისე რომ შეიცავდეს ისეთ სინთეზურ მონაცემებს, რომლებიც არ შეგროვილა სესიიდან, გქონდეთ სერვერული პროცესი და მიიღოთ შედეგი Liveness-ი წარმატებულია. barack obama face
დონე 5
 (ფულადი ჯილდო სიყალბის ამოცნობაზე)
წარმატებით მოიპოვეთ კონტროლი კამერის სესიაზე/არხზე და ჩასვით წინასწარ გადაღებული კადრები ისე, რომ შედეგად სერვერისგან მიიღოთ პასუხი Liveness-ი წარმატებულია. barack obama face



Liveness ონბორდინგისთვის, KYC-ისთვის და სისტემაში შესვლისთვის(Enrollment)

ციფრული ონბორდინგისას ყოველი მომხმარებლისთვის იმის მოთხოვნა, რომ დაამტკიცონ თავისი ნამდვილობა მანამ, სანამ წარმოადგენენ პირადობის დამადასტურებელ საბუთს, თავისთავად დიდი შემაკავებელი ფაქტორია თაღლითებისთვის, რომლებსაც არ უნდათ თავისი ნამდვილი სახის გამოჩენა კამერაში.

თუ ონბორდინგ სისტემას აქვს სისუსტე, ბოროტმოქმედები გამოიყენებენ ამ სისუსტეს რომ შექმნან იმდენი ყალბი ანგარიში, რამდენიც შესაძლებელია. ამისგან დასაზღვევად, საჭიროა სერტიფიცირებული Liveness დეტექცია გამოყენება ახალი ანგარიშის ონბორდინგისას. როგორც კი გვეცოდინება, რომ ახალი ანგარიში ეკუთვნის ნამდვილ ადამიანს, უკვე შესაძლებელია მათი ბიომეტრიული მონაცემების სამომავლოდ შენახვა ციფრული იდენტურობის სანდო ეტალონად.


Liveness აუთენტიფიკაციის პროცესში (პაროლის ჩანაცვლება)

რადგან უმეტესობა ბიომეტრიული შეტევისა არის გაყალბების მცდელობა, მომხმარებლის აუტენთიფიკაციისას აუცილებლად გამოყენებული უნდა იყოს სერტიფიცირებული Liveness-ის დეტექცია. უსაფრთხოებისთვის ბიომეტრიული აუთენტიფიკატორი არ შეიძლება ენდოს მხოლოდ გასაიდუმლოებას, მაშინ როდესაც თითქმის ყველასთვის ხელმისაწვდომია არა ერთი მაღალი ხარისხის ფოტო Google-ში ან facebook-ზე.

Liveness-ის ამოცნობა არის პირველი და ყველაზე მნიშვნელოვანი დაცვის ხაზი ბიომეტრიულ აუთენტიფიკატორზე მიზანმიმართული გაყალბების შეტევების წინააღმდეგ. დაცვის მეორე ხაზი არის ძალიან მაღალი FAR (იხილეთ ტერმინების განმარტება ქვემოთ), ზუსტი ბიომეტრიული შედარებისთვის.

სერტიფიცირებული Liveness დეტექსიის შემთხვევაში თქვენ რომც გინდოდეთ, ვერ შეძლებთ თქვენი ბიომეტრიული მონაცემების კოპირებასაც კი, რომელიც მოატყუებდა სისტემას. Liveness იჭერს ასლებს გენერაციის დანაკარგის აღმოჩენით და მხოლოდ ავთენტურ ფიზიკურ მომხმარებელს შეუძლია მიიღოს მათზე წვდომა.




არ ინახება Liveness მონაცემები = არ არის „თაფლის ქილის“ რისკი

სახით ყველა აუთენტიფიკაციისთვის საჭიროა ორი ტიპის მონაცემი: სახის მონაცემები (შედარებისთვის) და Liveness მონაცემები (რათა დადასტურდეს რომ სახის მონაცემები აღებულია ცოცხალი ადამიანიდან).

Liveness მონაცემებისთვის უნდა განისაზღვროს დროის ნიშანი (timestamp), მონაცემები უნდა იყოს ვალიდური რამდენიმე წუთის განმავლობაში და შემდეგ წაიშალოს. საჭიროა მხოლოდ სახის მონაცემების შენახვა. ახალი Liveness მონაცემები უნდა შეგროვდეს აუთენტიფიკაციის ყოველი ახალი მცდელობისას.

სახის ფოტოები მხოლოდ „სახის მონაცემებია“ შესაბამისი Liveness მონაცემების გარეშე, ასე რომ მათი გამოყენება შეუძლებელია სერტიფიცირებული Liveness-ის დეტექციის მოსატყუებლად და შესაბამისად, ფოტოების შენახვა არ ქმნის „თაფლის ქილის“ რისკს.

შენიშვნა: წარმოიდგინეთ სახის შენახული მონაცემები როგორც საკეტი, მომხმარებლის ახლად შეგროვილი სახის მონაცემები როგორც ერთჯერადი გასაღები, ხოლო Liveness მონაცემების არსებობა არის მტკიცებულება, რომ გასაღები მანამდე არასდროს გამოყენებულა.




სუსტი Liveness-ის აქილევსის ქუსლი

Liveness-ის ამოცნობის ზოგიერთი მეთოდი ვერასოდეს იქნება უსაფრთხო, რადგან ისინი არ აგროვებენ საკმარის უნიკალურ მონაცემებს რომ დაადასტურონ სესიის სიყალბე.

მაგალითად, თუ 4K მონიტორი აჩვენებს ვიდეოს მოწყობილობაზე დაბალი რეზოლუციის 3D კამერით, თუ აღინიშნება ანარეკლი ან დახრა, კამერისთვის ფაქტიურად შეუძლებელია განსაზღვროს რომ 4K მონიტორი აჩვენებს ფანტომს. კამერა იღებს უფრო დაბალი რეზოლუციით, ვიდრე აჩვენებს მონიტორი და Liveness-ის სუსტი ალგორითმი მოტყუვდება.

Liveness-ის ამოცნობის სუსტი მეთოდებია: თვალების ხამხამი, ღიმილი, თავის ტრიალი, მოციმციმე შუქი, შემთხვევითი გამომეტყველებები, შემთხვევითი რიცხვების თქმა და ა.შ. საკმაოდ ადვილია ყველა ამ მეთოდის მოტყუება კამერაზე მაღალი რეზოლუციის მონიტორებით ან სხვადასხვა მარტივი მეთოდის კომბინაციით, მხოლოდ განსაკუთრებულ შემთხვევებში.

მომხმარებლის უსაფრთხოება და რთულად მოპოვებული კორპორაციული სანდოობა რისკის ქვეშაა არაკეთილსინდისიერი ვენდორების მიერ გაზვიადებული განცხადებების გამო. თუ ისინი ამტკიცებენ რომ აქვთ „Liveness-ის მყარი დადგენა“, მათ უნდა „წარმოადგინონ სიყალბის გამოვლენის წამახალისებელი პროგრამა (Spoof Bounty) ან გაჩუმდნენ!“

შენიშვნა: ნახეთ როგორ ატყუებს ფოტო-სლაიდშოუ USAA ბანკის „სელფის ამოცნობის“ აპლიკაციის უსაფრთხოებას და მარტივად ხსნის მათი ერთ-ერთი მომხმარებლის საბანკო ანგარიშს.



Deepfake-ების საფრთხეები

ეგრეთწოდებული "deepfake"-ები წლებია არსებობს, მაგრამ ეხლა უკვე ფართო საზოგადოებასაც ესმის, რომ ადვილად შეიძლება ციფრული მედიით მანიპულირება. თუ Liveness-ის დაადგენის ტექნოლოგია ვერ უმკლავდება ფოტოებითა და ვიდეოებით შექმნილ deepfake ფანტომებს, მისი გამოყენება არ შეიძლება სერიოზული ბიომეტრიულ უსაფრთხოებაში.


შენიშვნა: ნახეთ 20 წამში როგორ იქმნება მარტივი „deepfake“ მანეკენი, რომელიც შეიძლება გამოყენებული იყოს დღესდღეობით ბაზარზე არსებული თითქმის ყველა Liveness ვენდორის მოსატყუებლად


რეალისტური Deepfake ფანტომი ერთადერთი ფოტოდან

არ დაიჯეროთ, რომ დახამხამებას, თავის დაკვრას, ან თავის გაქნევას შეუძლია შეაჩეროს სერიოზული deepfake ფანტომი. iBeta ამაზე არ აკეთებს ტესტებს, მაგრამ FaceTec იჭერს ასეთ შეტევებს სიყალბის გამოვლენის წამახალისებელი პროგრამის გამოცდილებაზე დაყრდნობით.

თუ Liveness-ის დადგენა დაუცველია deepfake ფოტოებისა და ვიდეოებისგან დამზადებული ფანტომების წინააღმდეგ, მისი გამოყენება არ შეიძლება სერიოზული ბიომეტრიული უსაფრთხოებისთვის.

შენიშვნა: ნახეთ როგორ იქნება ერთადერთი ფოტოს საფუძველზე პროფესიონალური "deepfake" ფანტომი, რომელიც შეიძლება გამოყენებული იყოს დღესდღეობით ბაზარზე არსებული თითქმის ყველა Liveness ვენდორის მოსატყუებლად.




2D Liveness-ის უფასო ამოცნობის პროვაიდერების სია

FaceTec თავის ყველა კლიენტსა და პარტნიორს სთავაზობს უფასო 2D Liveness ამოცნობას. 2D Liveness-ის ეს შემოწმებები 97%-ით ზუსტია 1-3 დონის შეტევის ვექტორების შემთხვევაში. მიუხედავად იმისა, რომ ის არ არის ისეთივე უსაფრთხო, როგორც 3D Liveness (+99.997% სიზუსტით), არსებობს სცენარები, სადაც 2D Liveness-ის გამოყენებას აზრი აქვს. მაგალითად, აეროპორტის საბაჟო/საპასპორტო პუნქტში ან მაღაზიის თვითმომსახურების სალაროში - სცენარები, სადაც ნაკლებად სავარაუდოა, რომ თაღლითები შეძლებენ Deepfake ავატარის გამოყენებას ან კამერის გვერდის ავლით წინასწარ ჩაწერილი ვიდეოს გამოყენებას. 2D Liveness არ საჭიროებს მოწყობილობის SDK-ს ან მომხმარებლის სპეციალურ ინტერფეისს, ის მუშაობს პორტრეტის ტიპის ნებისმიერ 2D ფოტოზე, შემოწმებების რაოდენობა ლიმიტირებული არ არის და 2D გამოსახულებები მუშავდება და ინახება 100%-ით კლიენტის სერვერზე. შეგიძლიათ დაუკავშირდეთ ნებისმიერ FaceTec-სერტიფიცირებულ ვენდორს ქვემოთ და მოითხოვოთ უფასო 2D Liveness ამოცნობა, ან გაეცნოთ 2D პასიურ Liveness შემოწმებებს მეტი ინფორმაციისთვის.




სერტიფიცირებული FaceTec 3D Liveness ვენდორები

FaceTec-მა შექმნა საკუთარი სიყალბის გამოვლენის წახალისების პროგრამა რომლის ჯილდოა $100,000. პროგრამის მიზანია დაამტკიცოს 1-, 2- და 3-დონიანი რეალური PAD უსაფრთხოება, და მე-4 და მე-5 დონის ბიომეტრიული შაბლონის გაყალბების, ასევე ვირტუალური კამერისა და ვიდეოს ჩანაცვლების შეტევების ამოცნობის შესაძლებლობა.

ყველა ორგანიზაციის მოვალეობაა უზრუნველყოს თავისი მომხმარებლები Liveness-ის მაქსიმალური შესაძლო ამოცნობით, როდესაც მათ თხოვენ ჩაატარონ დისტანციური ბიომეტრიული ონბორდინგი, იდენტურობის ვერიფიკაცია ან სახით აუთენტიფიკაცია

სერტიფიცირებული 3D FaceTec Liveness ვენდორები

უსაფრთხოება უზრუნველყოფილი და დადასტურებულია
$100,000-ანი სიყალბის გამოვლენის წახალისების პროგრამით
და NIST/NVLAP ლაბორატორიულად სერტიფიცირებული PAD: 1 & 2 დონის AI*

Kvalifika
IDnow
Jumio
Civic
Idenfy
Ondato
OneyTrust
Passbase
Sum & Substance
Yoti

საქართველო
გერმანია
აშშ
აშშ
ლიეტუვა
ლიეტუვა
საფრანგეთი
აშშ
გაერთიანებული სამეფო
გაერთიანებული სამეფო

სერტიფიცირებული ვენდორების სრული სიის სანახავად ეწვიეთ Liveness.com
გაყალბებული შაბლონის გვერდის ავლის ღია სტიმულირებული ტესტირება, 1-3 დონის პრეზენტაციები, ვიდეო-პასუხი და ვირტუალური კამერის შეტევები
* ზემოთ ჩამოთვლილი ვენდორები ინდივიდუალურად არ შემოწმებულან NVLAP/NIST-ის აკრედიტებული ლაბორატორიის მიერ პირველი და მეორე დონის საპრეზენტაციო შეტევებზე, ისინი დისტრიბუციას უწევენ FaceTec-ის პროგრამულ უზრუნველყოფას, რომლის ვერსია v6.9.11 სერტიფიცირებულია პირველი და მეორე დონის რეგრესიის ტესტირებით.


 
ISO/IEC 30107-3 - პრეზენტაციის შეტევის ამოცნობის სტანდარტი: 2017 წელი

https://www.iso.org/standard/67381.html არის სტანდარტიზაციის საერთაშორისო ორგანიზაციის (ISO) ტესტირების გაიდლაინი გაყალბების საწინააღმდეგო ტექნოლოგიის შესაფასებლად (პრეზენტაციის შეტევის ამოცნობა - Presentation Attack Detection ან მოკლედ - "PAD"). ამ დროისთვის გამოქვეყნებულია სამი 30107 დოკუმენტი, ამჟამად კი მზადდება მეოთხე რედაქცია.

გამოიცა რა 2017 წელს, ISO 30107-3 წარმოადგენდა ოფიციალურ გაიდლაინს თუ როგორ უნდა განისაზღვროს ბიომეტრიულად სკანერებული ობიექტი არის თუ არა ცოცხალი, მაგრამ რადგან ის იძლევა საშუალებას გაერთიანდეს PAD შემოწმება და შედარება, შედეგები შესაძლოა იყოს დამაბნეველი. 2020 წელს, Deepfake ფანტომებისა და შეტევების სხვა ვექტორების გამოჩენის შემდეგ, რომლებიც ჯერ ჩანასახში იყო ISO 30107-3-ის გამოქვეყნების დროს, ბევრი ექსპერტის მიერ ის უკვე ითვლება არასრულყოფილად და მოძველებულად.

“აღმავალი” შეტევების გამო ("hill-climbing", იხილეთ ტერმინების განმარტება გვერდის ბოლოში), ბიომეტრიულმა სისტემებმა არასდროს უნდა გაამჟღავნონ სისტემის რომელმა ნაწილმა ამოიცნო ან ვერ ამოიცნო სიყალბე. და მიუხედავად იმისა, რომ ISO 30107-3 ბევრ რამეში სწორია, სამწუხაროდ ის რეკომენდაციას უწევს Liveness-ისა და შედარების ერთდროულ ტესტირებას, მაშინ როცა მეცნიერული მეთოდი მოითხოვს მინიმალური რაოდენობის ცვლადების ერთდროულ ტესტირებას. Liveness ტესტირება უნდა განხორციელდეს მხოლოდ Boolean (ჭეშმარიტი/მცდარი) პასუხით და ტესტირებამ არ უნდა დაუშვას რომ სისტემებს ქონდეთ გადაწყვეტილების მრავალი დონეები, რომლებმაც შეიძლება არტეფაქტს მისცეს შესაძლებლობა გაიაროს Liveness ტესტი, მაგრამ ვერ გაიაროს შედარების ტესტი, რადგან ის არასაკმარისად „გავდა“ ჩართულ სუბიექტს.


  

რატომ არ არის საკმარისი iBeta PAD ტესტირება?

მხოლოდ iBeta-ს PAD ტესტები საკმარისი არ არის იმ რეალური საფრთხეების წარმოსაჩენად, რომლებიც Liveness სისტემას შეიძლება ემუქრებოდეს ჰაკერებისგან. ნებისმიერი ტესტირება უკეთესია, ვიდრე საერთოდ ტესტირების გარეშე, მაგრამ ნომინალური ღირებულებების გათვალისწინებით, iBeta ტესტები აჩენენ ცრუ უსაფრთხოების გრძნობას, რადგან ისინი არასრულყოფილია, ძალიან ხანმოკლეა, აქვთ დიდი ვარიაბელურობა სხვადასხვა ვენდორებს შორის და მათი გავლა ძალიან ადვილია.

სამწუხაროდ iBeta აძლევს ვენდორებს საშუალებას ტესტირებისთვის აირჩიონ ნებისმიერი მათთვის სასურველი მოწყობილობა და უმრავლესობა ირჩევს ახალ 8-12MP კამერებს. პერსპექტივაში 720p ვებ-კამერა 1MP-იანიც კი არ არის და რაც უფრო მეტია კამერის სენსორის ხარისხი/რეზოლუცია, მით უფრო ადვილია ტესტის გავლა.

iBeta ასევე ირიბად აძლევს ვენდორებს შესაძლებლობას გავლენა იქონიონ სესიების რაოდენობაზე დროზე დაფუძნებულ ტესტებში, რადგან ზოგ ვენდორს სხვებთან შედარებით ბევრად ხანგრძლივი სესიები აქვს. ეს იმას ნიშნავს, რომ სესიის დროის გახანგრძლივებით ვენდორმა შეიძლება შეამციროს შესაძლო შეტევების რაოდენობა დროის განსაზღვრულ მონაკვეთში. ბიომეტრიული უსაფრთხოების ტესტირების ამოცანაა გამოავლინოს მისი სისუსტეები და როდესაც სესიებისა და მოწყობილობების რაოდენობა მცირეა, ასევე არ არის სტანდარტიზებული ტესტერის უნარები, ეს ნიშნავს რომ ტესტირება ერთნაირად რთული არ არის ყველა ვენდორისთვის ან/და არ არის რეპრეზენტაბელური რეალური საფრთხეებისთვის.

ამასთან ერთად, პირველი და მეორე დონის ნუმერაციის მეთოდი დამაბნეველია, რადგან მე-2 დონის არტეფაქტების აღმოჩენა ხშირად უფრო რთულია, ვიდრე პირველის და აღსანიშნავია რომ iBeta აღარ უზრუნველყოფს არც ერთი მე-3 დონის ტესტირებას. ეს შემოთავაზებული იყო რამდენიმე თვის განმავლობაში „მესამე დონის შესაბამისობის“ ფარგლებში, მაგრამ შემდეგ NIST-მა შეატყობინა iBeta-ს რომ ისინი არ თვლიან საკმარისად iBeta-ს შესაძლებლობებს ასეთი მნიშვნელოვანი და რთული ამოცანის შესრულებისთვის და iBeta იძულებული იყო გაეუქმებინა მე-3 დონის ტესტირების ოპცია. თუმცა მესამე დონის ტესტირება ისევ წარმოდგენილია iBeta-ს საიტზე. საიტის რედაქტორები ფიქრობენ რომ თუ დაამატებენ განაცხადს „iBeta-ს საშუალებით შეუძლებელია მე-3 დონის ტესტირება NIST-ის აკრედიტაციის ფარგლებში“, ეს მათი ტესტირების მენიუს არასრულყოფილს გახდის, ხოლო მათ კომპანიას - არაკომპეტენტურად წარმოაჩენს, მიუხედავად იმისა, რომ NIST-მა იცის მათი შესაძლებლობები და არ აძლევს მე-3 დონის ტესტირების ჩატარების უფლებას.

iBeta, როგორც წესი, ვენდორების Liveness-ის დეტექციის პროგრამებს ტესტავს არა ბრაუზერში, არამედ მხოლოდ საკუთარ მოწყობილობებში, შესაბამისად არსებობს საფრთხის რამდენიმე შეუმოწმებელი ვექტორი იმ სისტემებშიც კი, რომლებიც გადიან ზოგიერთ ძირითად PAD ტესტს. iBeta ტესტირების მეორე დიდი კითხვის ნიშანი არის ის, რომ მათთვის ისევ დასაშვებია 15%-მდე BPCER (კეთილსინდისიერი პრეზენტაციის კლასიფიკაციის შეცდომის კოეფიციენტი, Bona fide presentation classification error rate), იგივე ცრუ უარყოფის კოეფიციენტი (Reject Rate ან FRR). ეს არაკეთილსინდისიერ ვენდორებს აძლევს შესაძლებლობას რომ აწიონ უსაფრთხოების თამასა საკმარისად, რომ ტესტი წარმატებით გავლილად ჩაითვალოს, მაგრამ შემდეგ რეალურ პროდუქტში შეამცირონ უსაფრთხოების დონე, როდესაც მომხმარებლებს პროდუქტის მოხმარებაში ექმნებათ პრობლემები. რეალურ გარემოში ტესტირების შედეგად დადასტურებულია, რომ სულ მცირე ორ ვენდორს, რომლებიც ამტკიცებდნენ რომ ქონდათ 0%-იანი FAR iBeta ტესტებში, დამოუკიდებელი ტესტირებით დაუდგინდათ 4.5%-ზე მეტი FAR. აღსანიშნავია, რომ iBeta არ ითხოვს პროდუქტიული ვერსიის ვერიფიკაციას და არ თხოვს ვენდორებს აფიდავიტის ხელმოწერას, სადაც ისინი აიღებდნენ ვალდებულებას რომ არ დაწევენ უსაფრთხოების დონეს თავისი პროგრამის პროდუქტიულ ვერსიაში.

მიუხედავად იმისა, რომ კლიენტებისა და მომხმარებლების უმრავლესობას არ აქვს წვდომა ISO 30107-3 სტანდარტის დოკუმენტზე, iBeta უარს ამბობს თავის შესაბამისობის წერილებში დაამატოს შენიშვნა რომლითაც გააფრთხილებდა კლიენტებსა და მომხმარებლებს რომ მათი PAD ტესტები შეიცავს მხოლოდ პრეზენტაციის შეტევებს და არა კამერა/სენსორის გვერდის ავლის მცდელობებს. სამწუხაროა, რომ ISO და iBeta, ორივე აერთიანებს შედარებისა და Liveness-ს ტესტირების ერთ არამეცნიერულ პროტოკოლში, რომლითაც შეუძლებელია იმის გაგება რეალურად მუშაობს თუ არა Liveness-ის ამოცნობა იმ სცენარებში, რომლებიც ასევე შეიცავს შედარებასად.

ეს ნიშნავს, რომ iBeta ტესტირება ითვალისწინებს მხოლოდ იმ არტეფაქტებს, რომლებიც ფიზიკურადაა ნაჩვენები სენსორზე. და, მიუხედავად იმისა, რომ ციფრული შეტევები ყველაზე მასშტაბირებადი ტიპისაა, ამჟამად iBeta არ მოიცავს არც ერთი ტიპის განმეორებით შეტევას, შეტევას ვირტუალური კამერით ან შაბლონის გაყალბებას თავის PAD ტესტებში. ასე რომ, iBeta ტესტირება, რომელიც PAD დონისაც უნდა იყოს, არასოდესაა საკმარისირეალური უსაფრთხოების უზრუნველსაყოფად. რამდენადაც ვიცით, ამ ტექსტის დაწერამდე iBetas-ს არასოდეს შეუთავაზებია PAD ვენდორისთვის სენსორის გვერდის ავლის ტესტირება.

გახსოვდეთ, ძლიერი Liveness-ის ამოცნობა უნდა მოიცავდეს ციფრული შეტევების ყველა ვექტორს, ასე რომ არ მოტყუვდეთ iBeta-ს „შესაბამისობის“ ნიშნით. მიუხედავად იმისა, რომ სულ არაფერს მაინც ჯობია, ეს ოდნავადაც არაა საკმარისი. მოაწერინეთ თქვენს ვენდორს ხელი აფიდავიტზე, სადაც დაადასტურებენ, რომ არ დაუწევიათ უსაფრთხოების დონე, მოითხოვეთ შესაბამისობის სრული რეპორტის ნახვა, სადაც აღნიშნული იქნება ცრუ უარყოფის კოეფიციენტი და BPCER, დაადასტურებნეთ, რომ გავლილი აქვთ პენეტრაციის ტესტები ზემოთაღნიშნული ციფრული გაყალბების შეტევების ვექტორებზე და მოითხოვეთ ვენდორისგან გაყალბების პრემირების პროგრამა, სანამ შეუდგებით მათთან საქმიანობას.



FaceTec-ის $100,000-იანი სიყალბის გამოვლენის წახალისების პროგრამა

ნუ იქნებით ლაბორატორიული ვირთხა. დაჟინებით მოითხოვეთ, რომ თქვენს ბიომეტრიულ ვენდორს მუდმივად ქონდეს გაყალბების გამოვლენის წახალისების პროგრამა, რათა დარწმუნდეთ რომ მათ აქვთ წარმოდგენა ახალ საფრთხეებზე და შეუძლიათ გაუმკლავდნენ ისეთ საფრთხეებს, როგორებიცაა deepfake, ვიდეოს ჩანაცვლება ან ვირტუალური კამერის შეტევა. დღესდღეობით ბიომეტრიული აუთენტიფიკაციის ერთადერთი ვენდორი გაყალბებაზე პრემირების აქტიური და რეალური პროგრამით არის FaceTec. უკვე უკუაგდო რა 37,000-ზე მეტი შეტევა, გაყალბების გამოვლენის წამახალისებელი $100,000-იანი პროგრამის მიზნად ისევ რჩება FaceTec Liveness ხელოვნურ ინტელექტში და უსაფრთხოების სქემაში უცნობი სისუსტეების აღმოჩენა. თუ აღმოჩნდება ასეთი სისუსტე, ის შეიძლება გასწორდეს და ამით კიდევ უფრო ამაღლდეს უსაფრთხოების დონე. დამატებითი ინფორმაციისთვის და პროგრამაში მონაწილეობისთვის ეწვიეთ bounty.facetec.com-ს.



კითხვა რედაქტორს: სახის ამოცნობა იგივეა რაც Liveness და სახით აუთენტიფიკაცია?

არა! და საჭიროა დავიწყოთ სწორი ტერმინოლოგიის გამოყენება თუ გვინდა შევწყვიტოთ ხალხის შეცდომაში შეყვანა ბიომეტრიის შესახებ.

სახის ამოცნობა არის მეთვალყურეობისთვის. ეს არის 1 N-თან შედარება ისეთი კამერით გადაღებული გამოსახულებების, რომელსაც მომხმარებელი არ აკონტროლებს, როგორებიცაა კაზინოში ან აეროპორტში. და ის ადგენს წარმოდგენილი ადამიანის მხოლოდ „შესაძლო“ შედარებას არსებულ მონაცემთა ბაზაში შენახულ სახის ფოტოებთან.

მეორეს მხრივ, სახით აუთენტიფიკაცია (1:1 შედარება + Liveness) იღებს მომხმარებლის ინიცირებულ მონაცემებს, რომლებიც შეგროვილია მოწყობილობიდან, რომელსაც ისინი აკონტროლებენ და ადასტურებს მომხმარებლის პიროვნებას მათივე პირდაპირი სარგებლისთვის, მაგალითად ანგარიშზე წვდომის უსაფრთხოებისთვის.

ისინი შეიძლება იყოს მსგავსი და ზოგიერთ შემთხვევაში გადაფარონ კიდეც ერთმანეთი, მაგრამ ნუ აურევთ მათ ერთმანეთში. როგორც ყველა მძლავრი ტექნოლოგია, ესეც ორპირიანი ხმალია - სახის ამოცნობა საფრთხეა კონფიდენციალურობისთვის მაშინ როცა სახით აუთენტიფიკაცია მისი დაცვის გარანტიაა.



კითხვა რედაქტორს: უნდა გვეშინოდეს სახით ცენტრალიზებული აუთენტიფიკაციის?

ბიომეტრიული აუთენტიფიკაციის მიმართ შიში მოდის რწმენიდან, რომ ბიომეტრიული მონაცემების ცენტრალიზებული შენახვა ქმნის „თაფლის ქილას“, რომელიც, თუ გატყდა, საფრთხეს უქმნის ყველა იმ ანგარიშის უსაფრთხოებას რომელიც ეყრდნობა იმავე ბიომეტრიულ მონაცემებს.

ბიომეტრიის კრიტიკოსები აცხადებენ: „თუ მოგპარეს, შეგიძლიათ შეცვალოთ პაროლი, მაგრამ სახეს ვერ შეიცვლით“. მიუხედავად იმისა, რომ ეს მართალია, ფანტაზიის ნაკლებობა იქნება აქ გაჩერება. აქვე უნდა იკითხოთ: „რა გახდის ცენტრალიზებულ ბიომეტრიულ აუთენტიფიკაციას უსაფრთხოს?“.

პასუხია სერტიფიცირებული Liveness ამოცნობა, რომელიც გამყარებულია გაყალბების გამოვლენის წახალისების პროგრამით . ამ ხელოვნური ინტელექტის ალგორითმის არსებობით, ბიომეტრიული „თაფლის ქილა“ აღარ არის ის, რისიც უნდა გვეშინოდეს, რადგან უსაფრთხოება არ ეფუძნება საიდუმლოდ შენახულ ბიომეტრიულ მონაცემებს.

გაიგეთ მეტი როგორ ქმნის Liveness ამოცნობა ცენტრალიზებულ უსაფრთხოებას ამ ყოვლისმომცველ სტატიაში.



კითხვა რედაქტორს: არის „ნამდვილი არსებობის უზრუნველყოფა“ („Genuine Presence Assurance") Liveness-ის დადგენაზე უკეთესი?

ვენდორს, რომელიც აცხადებს რომ ყიდის „ნამდვილი არსებობის უზრუნველყოფას“ ეშლება პრეზენტაციული შეტევების ვიწრო შინაარსი უფრო ფართო Liveness ამოცნობაში და აცხადებს რომ მათი „რეალური არსებობა“ როგორღაც უფრო სრულყოფილია ვიდრე Liveness ამოცნობა. როდესაც იგონებ ტერმინს, ის შეგიძლია განსაზღვრო როგორც გინდა, მაგრამ არასწორია იმით თქმა რომ Liveness ამოცნობა არ არის მიმართული საპასუხო შეტევების და ჩანაცვლებული ვიდეოები წინააღმდეგ, რადგან ისინი ასევე ციფრული არტეფაქტებია და როგორც deepfake მულაჟები, არ არის „ცოცხალი“. ასე რომ, თვითონ დეფინიციის შესაბამისად „Liveness“-ის დადგენამ ისინიც უნდა შეაჩეროს.



კითხვა რედაქტორს: უნდა იყოს კანონით აუცილებელი Liveness-ის ამოცნობა?

ჩვენ გვწამს, რომ უნდა არსებობდეს კანონი, რომლის მიხედვითაც Liveness ამოცნობა გახდება აუცილებელი, თუ ბიომეტრია გამოიყენება იდენტურობისა და წვდომის მენეჯმენტისთვის (Identity & Access Management, IAM). რეალური სიტუაცია ისაა, რომ ყველა ჩვენი პირადი მონაცემი უკვე გატეხილია, შესაბამისად უკვე აღარ შეგვიძლია ვენდოთ ცოდნაზე დაფუძნებული აუთენტიფიკაციას (Knowledge-Based Authentication, KBA). ახლა უნდა გადავიტანოთ ფოკუსი „საიდუმლოებებით“ სავსე ბაზებიდან შეტევების ზედაპირების უსაფრთხოებაზე. ახლანდელი კანონებით უკვე აუცილებელია ორგანული საკვების სერტიფიცირება და ყველა სამედიცინო მედიკამენტი უნდა შემოწმდეს და დამოწმდეს. თავის მხრივ სხვადასხვა ქვეყნების მთავრობებმა უნდა მოითხოვონ სერტიფიცირებული Liveness ამოცნობის დანერგვა თავიანთი მოქალაქეების ციფრული და ბიომეტრიული უსაფრთხოების დასაცავად



კითხვა რედაქტორს: რატომ არ მუშაობს კარგად სახის 2D შედარება დიდ დატასეტებთან? (100,000+)

ყველას გაგვიგია როგორ ამბობენ - „კარგად გამომაჩინე“ და საუკეთესო ფოტოგრაფებმა იციან რა დისტანცია და რომელი ლინზებია საჭირო რომ ფოტო-პორტრეტი გამოვიდეს საუკეთესო. ეს იმის გამოა, რომ ადამიანის რეალური 3D სახე შეიცავს რამდენიმე რიგით მეტ მონაცემებს, ვიდრე ტიპიური 2D ფოტო და როდესაც 3D სახე სწორდება 2D სიბრტყეზე, მონაცემები იკარგება და ჩნდება სერიოზული პრობლემები. რეალურ სამყაროში გადაღების მანძილი, კამერის პოზიცია და ლინზის დიამეტრი დიდ როლს თამაშობს იმაში თუ რამდენად კარგად წარმოაჩენს 2D ფოტო ორიგინალ 3D სახეს.



წყარო – Best Portrait Lens – ფოკალური ლინზა, პერსპექტივა და დეფორმაცია, Matt Granger – ოქტ. 27, 2017

2D სახის შედარება ყოველთვის ვერ „დაინახავს“ მას როგორც იგივე პიროვნებას. ზოგიერთ კადრში ის შეიძლება გავდეს უფრო საკუთარ დას ან ბიძაშვილს და შეიძლება უფრო ხშირად მათ შეუსაბამოს, ვიდრე თვითონ მას. დიდ დატასეტებში ეს ვიზუალური განსხვავებები 3D ალგორითმების შეცდომათა დასაშვებ ფარგლებშია და ისინი შეუძლებელს ხდიან 1:N შედარების სარწმუნოებას. თუმცა, 3D FaceMaps არა მხლოდ უზრუნველყოფს მეტ წყარო – Best Portrait Lens – ფოკალური ლინზა, პერსპექტივა და დეფორმაცია, Matt Granger – ოქტ. 27, 2017 ადამიანურ სიგნალებს Liveness-ის ამოცნობისთვის, არამედ ასევე წარმოადგენს მონაცემებს სახის ფორმის შესახებ, რომელიც ერთიანდება უნიკალურ ვიზუალურ კვალთან რათა გაიზარდოს სიზუსტე და უზრუნველყოს 1:N შედარების გამოყენება საგრძნობლად უფრო დიდი დატასეტების შემთხვევაში. FaceTec-ის ახლანდელი 1:N ძიება დუბლირების გამოსავლენად უზრუნველყოფს Elastic-FAR-ს 1/12.8-დან 1/+128M-მდე მნიშვნელობით, მხოლოდ 2%-იანი FAR-ით.

კითხვა რედაქტორს: რა პრობლემები აქვს ტექსტურ და ფოტო-CAPTCHA-ს?

CAPTCHA (wiki) აკრონიმია: „სრულიად ავტომატური ღია ტიურინგის ტესტი კომპიუტერებისა და ადამიანების გასარჩევად“ ("Completely Automated Public Turing test to tell Computers and Humans Apart"). ეს არის მარტივი ამოცანა-პასუხის ტიპის ტესტი რომელიც გამოიყენება იმის დასადგენად მომხმარებელი ადამიანია თუ ბოტი.

TheVerge.com-ის სტატიაში ჯოშ დზიეზა წერს: „Google-მა ადამიანებს დაუპირისპირა ერთერთი თავისი მანქანური სწავლების ალგორითმი ყველაზე დეფორმირებული ტექსტური CAPTCHA-ების ამოხსნაში: კომპიუტერმა სწორად უპასუხა 99.8% შემთხვევებში, მაშინ როცა ადამიანებმა მიიღეს მხოლოდ 33%“.

ჯეისონ პოლაკისი, კომპიუტერული მეცნიერი, რომელიც იყენებს გამოსახულების ამოცნობის მზა ინსტრუმენტებს, მათ შორის Google-ის გამოსახულებების ძებნას Google-ის ტექსტური CAPTCHA-ს ამოხსნისთვის 70%-იანი სიზუსტით, აცხადებს: „საჭიროა რამე ისეთი, რომელიც მარტივი იქნება საშუალო-სტატისტიკური ადამიანისთვის, ის არ უნდა იყოს მიბმული ადამიანების სპეციფიურ ქვე-ჯგუფზე და ამავე დროს უნდა იყოს რთული კომპიუტერებისთვის“.

ხელოვნური ინტელექტის გარეშეც კი deathbycaptcha.com და anti-captcha.com სერვისები უზრუნველყოფს ბოტებს რომ გაიარონ ამოცანა-პასუხის ტიპის ტესტები შუალედური ადამიანების დახმარებით, რომლებიც ასრულებენ ამოცანებს. რადგან ამ საქმის შესრულების მსურველი ადამიანები ბევრია, დიდ რაოდენობაში მისი დამარცხება იაფი ჯდება და თანამშრომლები საშუალოდ იღებენ $0.25-$0.60-ს ყოველ 1000 ამოხსნილ CAPTCHA-ში (webemployed).

კითხვა რედაქტორს: რა არის faceCAPTCHA?

faceCAPTCHA, მაგალითად FaceTec-ის 3D Liveness შემოწმება (3D Liveness Check), არ უნდა აგვერიოს „სახის ამოცნობაში“ (Face Capture). ეს არის ბევრად უკეთესი გზა იმის დასამტკიცებლად, რომ ვებ გვერდზე წვდომას ბოტი არ ცდილობს.

რჩება რა ბოლომდე ანონიმური, Liveness-ის დადგენისას ასაკის შემოწმების შესრულებით faceCaptcha-ს ასევე შეუძლია დაადასტუროს, რომ მომხმარებელი საკმარისად ზრდასრულია იმისთვის, რომ მიიღოს წვდომა შეზღუდულ კონტენტზე.



                    
faceCaptcha
ტერმინების განმარტება - ბიომეტრიული ინდუსტრიისა და ტესტირების ტერმინები

1:1 (ერთი ერთთან) – მომხმარებელი სუბიექტის ბიომეტრიული მონაცემების შედარება იმავე მომხმარებლის შენახულ ბიომეტრიულ მონაცემებთან. თუ ბიომეტრიული მონაცემები არ შეესაბამება ერთმანეთს შერჩეულ FAR დონეზე, შედარების შედეგი უარყოფითია.

1:N (ერთი N-თან) – ერთი ინდივიდის ბიომეტრიული მონაცემების შედარება ცნობილი ინდივიდების ბიომეტრიულ მონაცემებთან და სიიდან ბრუნდება იმ ადამიანების სახეები, რომლებიც მსგავსია. ეს გამოიყენება სახით ამოცნობაზე მეთვალყურეობისთვის, მაგრამ ასევე შეიძლება გამოყენებულ იქნას დუბლირებული მომხმარებლების (enrollment) აღმოჩენისთვის.

არტეფაქტი – უსულო ობიექტი, რომელიც ცდილობს ადამიანის ბიომეტრიული კვალის იმიტაციას.

აუთენტიფიკაცია – Liveness-ის კონკურენტული დადგენა, 3D სიღრმისეული ამოცნობა და მომხმარებლის ბიომეტრიული მონაცემების ვერიფიკაცია (მაგ. სახის გაზიარება).

ბოროტმოქმედი - კრიმინალი, პიროვნება განზრახვით სხვების მოტყუებით ჩაიდინოს თაღლითობა.

ბიომეტრია – ინდივიდის უნიკალური ფიზიკური კვალის განმსაზღვრელი მონაცემების გაზომვა და შედარება ამ ინდივიდის იდენტიფიკაციისთვის უნიკალური კვალის საფუძველზე.

სერთიფიკაცია – სისტემის ტესტირება წარმადობის მოცემულ სტანდარტთან მისი შესაბამისობის დასადგენად. iBeta-ს მსგავსი სატესტო ლაბორატორიები გასცემენ სერთიფიკატებს.

თაღლითობა თანამზრახველი მომხმარებლით (Complicit User Fraud) – როდესაც მომხმარებელი აცხადებს ვითომ თაღლითობა მის წინააღმდეგაა ჩადენილი, მაგრამ სინამდვილეში ჩართულია აქტივის მოპარვის თაღლითურ სქემაში და ცდილობს ის ჩანაცვლდეს ინსტიტუციის მიერ.

თანამონაწილე მომხმარებელი/ტესტერი – როდესაც ტესტებში ჩართული ადამიანი (სუბიექტი) წარმოადგენს ზოგიერთ და ყველა საჭირო მონაცემს. ეს ეხმარება თანამზრახველი მომხმარებლით თაღლითობისა და ფიშინგის რისკის შემოწმებას, მაგრამ რელევანტურია მხოლოდ მაშინ, როდესაც ტესტი შეიცავს შედარებას (არ არის რეკომენდებული).

ცენტრალიზებული ბიომეტრია – ბიომეტრიული მონაცემები გროვდება ნებისმიერი მოწყობილობიდან, რომელსაც აქვს ამის მხარდაჭერა, იშიფრება და იგზავნება სერვერზე ჩართულობისთვის და ან ამ ან სხვა მოწყობილობის სამომავლო აუთენტიფიკაციისთვის. როდესაც მომხმარებლის ორიგინალური ბიომეტრიული მონაცემები ინახება მესამე მხარის სერვერზე (3rd-party server), შესაძლებელია გაგრძელდეს ამ მონაცემების გამოყენება სანდოობის წყაროდ და მათი იდენტობა შეიძლება ვერიფიცირდეს ნებისმიერ დროს. მხარდაჭერის მქონე ნებისმიერი მოწყობილობა შეიძლება იქნას გამოყენებული ბიომეტრიული მონაცემების შესაგროვებლად და სერვერზე გასაგზავნად შედარებისთვის, მომხმარებლისთვის ანგარიშზე წვდომის მისაცემად ყველა თავისი მოწყობილობიდან, ახალი მოწყობილობიდან და ა.შ., როგორც პაროლების შემთხვევაში. Liveness არის ცენტრალიზებული ბიომეტრიული სისტემის ყველაზე კრიტიკული კომპონენტი და რადგან ბოლო დრომდე არ არსებობდა სერთიფიცირებული Liveness, ცენტრალიზებული ბიომეტრია ჯერ-ჯერობით არ არის ფართოდ დანერგილი.

რწმუნებულების (credentials) გაზიარება – როდესაც ორი ან მეტი ინდივიდი არ ინახავს საიდუმლოდ საკუთარ მომხმარებელსა და პაროლს და შეუძლიათ ერთმანეთის ანგარიშებზე შესვლა. ეს შესაძლოა გაკეთდეს ლიცენზიების საფასურის შესამცირებლად ან დამქირავებლის მოსატყუებლად, რომ მან გადაიხადოს არა-ნამუშევარ დროზეც (ასევე ეწოდება “მეგობრის მუშტი”, “buddy punching”).

რწმუნებულებათა პაკეტი – კიბერ-შეტევა, სადაც სიები მოპარული მომხმარებლის სახელებით ან/და ელექტრონული ფოსტის მისამართების შესაბამის პაროლებით გამოიყენება მომხმარებლების ანგარიშებზე არაავტორიზებული წვდომის მოსაპოვებლად.

დეცენტრალიზებული ბიომეტრია – როდესაც ბიომეტრიული მონაცემები გროვდება და ინახება ერთ მოწყობილობაზე და მონაცემები არასოდეს ტოვებს ამ მოწყობილობას. დეცენტრალიზებული ბიომეტრიის მაგალითებია თითის ანაბეჭდის წამკითხველები სმარტფონებში და Apple-ის Face ID. ისინი ხსნიან მხოლოდ ერთ სპეციფიკურ მოწყობილობას, საჭიროებენ ახლიდან ჩართვას ნებისმიერ ახალ მოწყობილობაზე და შემდგომში არანაირად არ ადასტურებენ მომხმარებლის იდენტურობას. დეცენტრალიზებული ბიომეტრიული სისტემები ადვილად მარცხდება თუ ბოროტმოქმედმა იცის როგორ აუაროს გვერდი მოწყობილობის PIN-ს, რაც აძლევს მას საშუალებას გადააწეროს საკუთარი ბიომეტრიული მონაცემები მომხმარებლისას.

მომხმარებელი - ინდივიდუალური ადამიანი, ვინც იყენებს აპლიკაციას.

შესვლა (Enrollment) – როდესაც ბიომეტრიული მონაცემები გროვდება პირველად, იშიფრება და იგზავნება სერვერზე. შენიშვნა: ყველა შემდგომი ჩართვისას უნდა ვერიციფიცრდეს Liveness და უნდა ჩატარდეს 1:N ტესტი, რათა შემოწმდეს შესაძლო დუბლირება.

სახით აუთენტიფიკაცია – აუთენტიფიკაციას აქვს სამი ნაწილი: Liveness-ის დადგენა, 3D სიღრმისეული ამოცნობა და იდენტურობის ვერიფიკაცია. ყველა ნაწილი უნდა შესრულდეს კონკურენტულად სახის ერთსა და იმავე კადრზე.

სახის შედარება – პიროვნების ახლად შეგროვილი გამოსახულებები და ბიომეტრიული მონაცემები დარდება შესაბამისი მომხმარებლის ჩართულ (ადრე შენახულ) ბიომეტრიულ მონაცემებს და განისაზღვრება არის თუ არა ისინი ერთი და იგივე.

სახის ამოცნობა – პიროვნების გამოსახულებებისა და ბიომეტრიული მონაცემების შედარება ცნობილი ინდივიდების დიდ სიასთან, რათა დადგინდეს არიან თუ არა ისინი ერთი და იგივე პიროვნება.

სახის ვერიფიკაცია – სუბიექტი მომხმარებლის ბიომეტრიული მონაცემების შედარება სასურველი მომხმარებლის ბიომეტრიულ მონაცემებთან.

FAR (False Acceptance Rate, ცრუ დასტურის კოეფიციენტი) – ალბათობა, რომ სისტემა მიიღებს იმიტატორის ბიომეტრიულ მონაცემებს, როგორც ნამდვილს და არასწორად მისცემს იმიტატორს წვდომას.

FIDO – ნიშნავს „სწრაფ ონლაინ-იდენტობას“ (Fast IDentity Online): სტანდარტიზაციის ორგანიზაცია, რომელიც ეხმარება ორგანიზაციას, რომელმაც არჩია დეცენტრალიზებული ბიომეტრიული სისტემის გამოყენება (https://fidoalliance.org).

FRR/FNMR/FMR – ალბათობა, რომ სისტემა უარყოფს სწორ მომხმარებელს როდესაც მომხმარებლის ბიომეტრიული მონაცემები მიღებულია სენსორით. თუ FRR მაღალია, მომხმარებლები სისტემით იმედგაცრუებულები იქნებიან, რადგან ვერ შეძლებენ საკუთარ ანგარიშებზე შესვლას.

„აღმავალი“ შეტევა („Hill climbing“ Attack) – როდესაც შემტევი იყენებს ბიომეტრიული აუთენტიფიკატორიდან დაბრუნებულ ინფორმაციას (შედარების დონე ან Liveness ქულა) რათა შეისწავლოს როგორ დააორგანიზოს შეტევები და მიაღწიოს სისტემის მოტყუების მაღალ ალბათობას.

iBeta – NIST-სერთიფიცირებული ტესტირების ლაბორატორია დენვერში, კოლორადო. ამჟამად ერთადერთი ლაბორატორია, რომელიც ასრულებს ბიომეტრიული სისტემების სერტიფიცირებას ანტი-თაღლითობაზე და Liveness ამოცნობაზე ISO 30107-3 სტანდარტით (ibeta.com)

იდენტურობისა და წვდომის მენეჯმენტი (Identity & Access Management, IAM) – პოლისებისა და ტექნოლოგიების ფრეიმვორკი, რომელიც უზრუნველყოფს რომ მხოლოდ ავტორიზებულმა მომხმარებლებმა მიიღონ შესაბამისი წვდომა შეზღუდულ ტექნოლოგიურ რესურსებზე, სერვისებზე, ფიზიკურ ლოკაციებზე და ანგარიშებზე. ასევე ეწოდება იდენტურობის მენეჯმენტი (IdM).

იმიტატორი – ცოცხალი პიროვნება, რომელსაც აქვს სუბიექტი მომხმარებლის იმდენად მსგავსი ბიომეტრიული კვალი, რომ სისტემა განსაზღვრავს მათ როგორც ერთი და იგივე პიროვნების მონაცემებს.

ISO 30107-3 – სტანდარტიზაციის საერთაშორისო ორგანიზაციის ტესტირების გაიდლაინი თაღლითობის წინააღმდეგ ტექნოლოგიების შეფასებისთვის (www.iso.org/standard/67381.html).

ცოდნაზე დაფუძნებული აუთენტიფიკაცია (Knowledge-Based Authentication, KBA) - აუთენტიფიკაციის მეთოდი, რომელიც ცდილობს დაადასტუროს იდენტობა პიროვნებისა, რომელიც ცდილობს ციფრულ მოწყობილობაზე წვდომის მიღებას. KBA საჭიროებს მომხმარებლის პირადი ინფორმაციის ცოდნას, რათა დაადასტუროს, რომ პიროვნება რომელიც ითხოვს წვდომას, არის ციფრული იდენტობის მფლობელი. სტატიკური KBA ეფუძნება საიდუმლოებების წინასწარ შეთანხმებულ პაკეტს. დინამიური KBA ეფუძნება კითხვებს, რომლებიც გენერირდება დამატებითი პირადი ინფორმაციიდან.

Liveness-ის ამოცნობა– ბიომეტრიული სისტემის უნარი განსაზღვროს ცოცხალი ადამიანიდან შეგროვდა მონაცემები თუ უსულო არტეფაქტიდან.

NIST – სტანდარტებისა და ტექნოლოგიის ეროვნული ინსტიტუტი (National Institute of Standards and Technology) – აშშ-ის სამთავრობო სააგენტო, რომელიც უზრუნველყოფს გაზომვითი მეცნიერებით, სტანდარტებითა და ტექნოლოგიით ბიზნესისა და მთავრობის ეკონომიურ წინსვლას (nist.gov).

ფიშინგი – როდესაც მომხმარებელი ტყუვდება და აძლევს ბოროტმოქმედს საკუთარ პაროლებს, PII-ს, რწმუნებულებებს ან ბიომეტრიულ მონაცემებს. მაგალითი: მომხმარებელი იღებს სატელეფონო ზარს მომხმარებელთა მომსახურების ყალბი აგენტისგან და ის თხოვს მომხმარებლის პაროლს სპეციფიური ვებ-საიტისთვის.

PII – პერსონალურად იდენტიფიცირებადი ინფორმაცია (Personally Identifiable Information) – არის ინფორმაცია, რომელიც შეიძლება გამოყენებულ იქნას თავისთავად ან სხვა ინფორმაციასთან ერთად ერთი პიროვნების იდენტიფიცირებისთვის, მასთან დასაკავშირებლად ან მისი ლოკალიზაციისთვის, ასევე პიროვნების კონტექსტური იდენტიფიკაციისთვის (en.wikipedia.org/wiki/Personally_identifiable_information).

პრეზენტაციული შეტევის ამოცნობა (Presentation Attack Detection, PAD) – ჩარჩო პოლიტიკა პრეზენტაციული შეტევების მოვლენების დასადგენად. დაკავშირებულია Liveness-ის ამოცნობასთან და თაღლითობის საწინააღმდეგო ღონისძიებებთან.

იდენტურობის ძირეული პროვაიდერი (Root Identity Provider) – ორგანიზაცია, რომელიც ინახავს ბიომეტრიულ მონაცემებს თანდართულს ინდივიდების შესაბამის პირად ინფორმაციასთან და საშუალებას აძლევს ორგანიზაციებს რომ შეამოწმონ სუბიექტი ინდივიდების იდენტობები, ბიომეტრიული მონაცემების მიწოდებით იდენტურობის ძირეული პროვაიდერისთვის, შესადარებლად.

ფანტომი – როდესაც უსულო ობიექტი, რომლიც ავლენს რაღაც ბიომეტრიულ კვალს, წარმოდგენილია კამერასთან ან ბიომეტრიულ სენსორთან. ფოტოები, ნიღბები ან მულაჟები არის არტეფაქტები, რომლებიც გამოიყენება ფანტომებად.

მომხმარებელი სუბიექტი – ინდივიდი, რომელიც წარმოადგენს თავის ბიომეტრიულ მონაცემებს ბიომეტრიულ სენსორთან კონკრეტულ მომენტში.

სინთეზური იდენტობა - როდესაც ბოროტმოქმედი იყენებს ბიომეტრიული მონაცემების, სახელის, პირადი ნომრის, მისამართის და ა.შ. ერთობლიობას რათა შექმნას ახალი ჩანაწერი პიროვნების, რომელიც სინამდვილეში არ არსებობს, ამ სახელით ანგარიშის გახსნისა და გამოყენებისთვის.



რედაქტორები და კონტრიბუტორები



კევინ ალან ტუსსი
კევინ ალან ტუსსი
მთავარი რედაქტორი
LinkedIn
John_Wojewidka
ჯონ ვოიევიდკა
უფროსი რედაქტორი
LinkedIn
Josh_Rose
ჯოშ როუზ
ტექნიკური რედაქტორი
LinkedIn

© 2021, Liveness.com. ყველა უფლება დაცულია. ქართულ ენაზე თარგმნილი და ადაპტირებულია Kvalifika-ს მიერ.

Powered by:  Kvalifika ვერიფიკაცია იდენტიფიკაცია