[Robot_NagNews]

Материал: Минцифры планирует закрыть удаленный доступ к ряду госуслуг в отсутствие биометрических данных у пользователей. В течение ближайших двух лет в Минцифры рассчитывают увеличить число биометрических данных граждан в Единой биометрической системе (ЕБС) до 70 млн, что равно числу подтвержденных профилей на портале госуслуг. Полный текст

[fhunter]

"А когда пароль утечёт - обычный я поменяю, а отпечатки пальцев - наждачной бумагой менять?"

PS. Отпечатки пальцев - подделываются. Лицо - тоже (вспоминая историю с iphone и разблокировкой с помощью модели лица).  Голос - тем более не проблема. Второго фактора, я так понимаю не будет.

Изменено 12 марта, 2021 пользователем fhunter

[Sergey Gilfanov]

Это все-таки слегка (но только слегка) лучше, чем тот бардак, когда для серьезных авторизаций используется телефон/смс-ка. Вот например регистрация в Госуслугах либо через личный кабинет Сбербанка, либо через его мобильное приложение. Особенно внимательно обдумываем то, что там в  ролике с 1:30 говорят по поводу номера. А теперь вспоминаем, что именно нужно, чтобы попасть в эти самые личные кабинет (спойлер: банковская карта в этом процессе давно не участвует - авторизация тоже телефоном). Казалось бы, что может пойти не так?

 

Так то биометрия при правильном использовании - вполне годный второй фактор. Даже если эти данные утекут - то если все сделано правильно, то угроз воровства личности не будет. Скажем, если в базе для авторизации лежит соленый хэш от данных биометрии. Единственное серьёзное возражение - что 'следить будут'.

 

А по поводу подделки - то пальцы, лицо, отпечатки ладоней, радужка, глазное дно - он, вроде бы, гораздо труднее подделываются, чем тот же бумажный паспорт с его фотографией. Правда, сканнеры нужны не мелкие мобильные, а вполне стационарные.

[fhunter]

Пальцы для простых считывателей (типа ультразвуковых) - подделываются тривиально - нужна картинка и фотополимерный принтер.

 

Биометрия - довольно паршивый второй фактор. Хороший считыватель сетчатки/отпечатков стоит дорого. Плохой - легко обманывается. По факту - скорее всего применять будут фото и голос (со всеми вытекающими из этого последствиями).</sarcasm> + биометрия даёт дополнительный стимул в духе "хм, отжал телефон - отожми и палец" </sarcasm>. Кроме того в варианте "оплата лицом" и подобных, размывается понятие согласия на оплату. Потому что физическое втыкание карты в терминал или передача денег - это согласие явное. А "лицом" - нет.

 

CMC правда ещё хуже. А почему никто не пользуется чем-то типа RSA SecureID (тривиальная же железка, и особых технологий не требует, чтобы у себя в россии сделать) - я не понимаю.

 

Ооо, госуслуги. После бардака с невозможностью получить список цифровых подписей выданных на человека ("обзвоните удостоверяющие центры. все 500"), я уже не удивлюсь ничему.

А возражение - да "следить будут", в первую очередь. А зная российское законодательство и кривизну его - "спасибо, не надо".

 

PS. Сбербанк по поводу госуслуг - добил. То есть по факту можно отвязать телефон от произвольной записи на госуслугах минимальными усилиями?

PPS. Поэтому я стараюсь не пользоваться сервисами которые требуют привязку к телефону.

Изменено 13 марта, 2021 пользователем fhunter