Способы идентификации пользователей приборов и сервисов становятся все более сложными. Речь уже идет не только о паролях или отпечатках пальцев, но и об идентификации по тому, как вы ходите, как нажимаете на экран телефона и какие приложения загружаете.
Идентификация по отпечатку пальца или по лицу уже стала привычной — и почти столь же привычной стала информация о том, как злоумышленники могут взламывать эти технологии. Так ученые Нью-Йоркского и Мичиганского университетов продемонстрировали, как искусственный интеллект может создавать «мастер-ключи» для обхода систем, основанных на идентификации по отпечаткам пальцев.
По данным аналитической компании LexisNexis Risk Solutions, изучившей более 4 млрд смартфонов, планшетов и других девайсов, около 7% из них использовались для каких-либо махинаций. Поэтому специалисты ищут новые возможности биометрической идентификации, основанные на характеристиках, которые труднее копировать, пишет The Economist.
Один из способов, не являющийся биометрическим в строгом смысле,— так называемый отпечаток девайса. В этом случае используют такие характеристики, как модель гаджета, операционная система, загруженные пользователем приложения, определение Wi-Fi-сетей, к которым часто подключается пользователь, или наушников, которые он использует. В результате система создает своего рода профиль и гаджета, и привычек конкретного пользователя.
Если система обнаруживает что-то необычное — например, банк видит, что в его приложение пытаются войти с нового устройства,— она прибегает к дополнительным способам проверки (пароли, контрольные вопросы и т. д.).
Однако этому способу идентификации мешает то, что Apple, Google и другие производители гаджетов и ПО ограничивают набор параметров, которые можно узнать про устройство удаленно. Это делается с целью защиты личных данных пользователей.
Развиваются и принципиально новые способы биометрической идентификации. В первую очередь это так называемая поведенческая биометрия. В ее основе лежит целый ряд параметров, отличающих поведение конкретного пользователя и фиксируемых его гаджетами. Так, например, используемые в смартфоне гироскопы и акселерометры могут оценить и запомнить, как человек держит смартфон во время использования, в каком положении обычно носит его и даже как ходит. С помощью тачскрина, клавиатуры и мыши можно установить характерные для человека при использовании устройств движения рук и пальцев.
Как отмечает Джон Уэйли, основатель компании UnifyID, специализирующейся на подобных способах идентификации, поведенческая биометрия дает возможность определить своего рода «уникальный отпечаток движения», присущий конкретному человеку. При использовании определенного ПО можно даже установить, на какую часть ступни человек наступает при ходьбе в первую очередь, сколько шагов в минуту делает, как при этом двигаются разные части его ноги. На основании этих многочисленных параметров UnifyID выделяет около 50 тыс. типов поведения. По словам господина Уэйли, в сочетании с данными о том, как и с какой силой человек обычно нажимает на тачскрин, в каких местах обычно бывает (это оценивается с помощью GPS), и другими параметрами это дает возможность точной идентификации пользователя.
UnifyID начала использовать поведенческую биометрию в 2017 году. Среди ее клиентов банки, онлайн-ритейлеры, службы заказа такси и доставки. Также она работает с одним из производителем автомобилей — вместе они разрабатывают систему, при которой дверь автомобиля отпиралась бы после того, как встроенная в него система узнавала бы владельца по поведению.
Помимо идентификации конкретного пользователя такие методы позволяют оценить и обстоятельства, при которых он заходит в аккаунт, что также помогает отследить мошенников. Например, встроенные датчики могут определять лежит смартфон на твердой поверхности, например на столе, или на мягкой. В последнем случае, если дело происходит ночью, можно предположить, что смартфон лежит на кровати и человек уже спит. Если с его аккаунта при этом совершаются какие-то действия, это может вызвать подозрения.
Некоторые стили набора текста могут свидетельствовать о том, что устройство взломано и находится под удаленным контролем хакеров.
Причем если речь идет об устройстве с клавиатурой, то о взломе может свидетельствовать более медленный, чем обычно, набор текста. В случае же с устройствами с тачскрином, напротив, более быстрый.
По мнению главы еще одной компании, специализирующейся на поведенческой биометрии, BehavioSec, преимущество поведенческого способа состоит в том, что идентификация происходит постоянно, а не только когда пользователь набирает пароль или прикладывает палец к сканеру.
Однако при всех своих преимуществах поведенческая биометрия поднимает вопрос о конфиденциальности огромного массива персональных данных и возможности злоупотребления ими. «Если бы в 2005 году я узнал, что банк, в котором я работаю, буквально отслеживает каждое мое движение — как двигается моя мышь и как мои пальцы задерживаются на некоторых клавишах на несколько микросекунд дольше,— я не был бы в восторге. На самом деле я бы подумал про Большого Брата. В 2019 году люди в намного большей степени готовы признать, что большая часть того, что мы делаем в жизни, не является приватной»,— отмечает Тодд Ребнер, директор по технологиям компании Cyleron, занимающейся искусственным интеллектом.