Ресурсы

Face ID против SMS

О плюсах и минусах Face ID в качестве метода аутентификации пользователей мобильного приложения eGov

Платформа электронного правительства развивается в сторону доступности услуг «в любое время в любом месте», другими словами, доступа к сервисам eGov с помощью мобильных устройств. Сегодня уровень проникновения смартфонов в Казахстане – около 67%, 2/3 населения Казахстана уже не мыслят себя без этих устройств. Для многих пользователей смартфон, а не персональный компьютер – это единственное вычислительное устройство, единственная точка выхода в интернет, а значит, и единственная точка входа в мир дистанционных государственных услуг.

От ЭЦП к смс

Развитие мобильного eGov в какой-то степени сдерживала аутентификация через цифровую подпись. ЭЦП – надежная, но крайне неудобная. Ахиллесова пята ЭЦП – сложность процедур, связанных с ее получением и использованием. Еще один момент: ЭЦП нужно где-то хранить. Наконец, срок действия: у ЭЦП он ограничен. В начале года анонсировалась работа по совмещению электронно-цифровой подписи и SIM-карты, начались пилотные проекты. Мобильная альтернатива ЭЦП должна была быть запущена до конца года, но на презентации цифровых новинок осени министр цифрового развития об этом варианте не упоминал.

Более демократичным процесс аутентификации на портале eGov стал после того, как появилась возможность делать это через одноразовые смс-пароли. По оценке экспертов, связка логин+пароль+одноразовый пароль (его пользователь получает по смс) является «чемпионом» в части клиентского опыта – это дешево, быстро, удобно и очень эффективно. Несмотря на рост «страшилок», связанных с перехватом смс и подменой номеров, специалисты признают, что в основном такие кейсы остаются достаточно дорогостоящими и ориентируются в основном на то, чтобы встроиться в финансовые транзакции. Судя по всему, это понимают и создатели eGov, поэтому можно предположить, что доля операций с использованием одноразовых паролей в структуре услуг электронного правительства будет расти.

Привязать ЭЦП к Face ID

О возможности подтверждать запрос госуслуг с помощью Face ID Министерство цифрового развития заявило на прошлой неделе. Строго говоря, Face ID не является заменой электронной цифровой подписи – это просто невозможно не только ввиду того, что технологии имеют разную природу, но и по законодательным соображениям. Поэтому речь идет о том, чтобы привязать Face ID к ЭЦП, сделать транзакции с использованием электронной цифровой подписи более удобными, что называется, user-frendly. Министр цифрового развития, инноваций и аэрокосмической промышленности Аскар Жумагалиев, анонсируя использование Face ID в мобильном приложении eGov, написал на личной странице в Facebook: «Во-первых, в нем [приложении] очень легко пользоваться ЭЦП, ее можно привязать к биометрии и забыть, что она у вас есть. Подписание запросов будет происходить по отпечатку пальца или Face ID… Но, наверное, самое главное – это заявка на ЭЦП. Теперь прямо из приложения вы можете отправить ее и даже продлить, если будет заканчиваться ее срок действия». Иными словами, Face ID в этой конструкции является как бы надстройкой над ЭЦП, нивелируя ряд недостатков, о которых шла речь раньше.

Так ли хорош Face ID?

К основному функционалу технологии (Face ID – это сканер объемно-пространственной формы лица человека, разработанный компанией Apple) относят очень высокую степень защиты: ИК-датчики формируют трехмерную модель, в которой могут насчитываться десятки тысяч точек. Соответственно, точность распознавания очень высока: есть лишь один шанс из миллиона, что система может совершить ошибку. Это наряду с тем, что для распознавания не требуется какого-то специального освещения – сильная часть Face ID. Но есть и обратная сторона медали. Первая – систему нужно периодически калибровать. Второе – требуется время, чтобы отсканировать пользователя – он должен хотя бы на мгновенье оставаться неподвижным. В отличие от того же Touch ID, где разблокировать систему можно буквально на ходу.

Генеральный директор Первого кредитного бюро Руслан Омаров, который неоднократно высказывался за эволюцию процесса удаленной идентификации пользователей финансовых услуг, согласен, что Face ID делает получение любых услуг, будь то государственные или частные, проще и легче. С другой стороны, это не панацея. «Тот, кто использует сервис Face ID, берет на себя потенциальные риски, заложенные в технологию», – говорит он, добавляя, тем не менее, что коммерческие приложения давно уже используют Face ID в качестве идентификационного инструмента, и отрадно, что госсектор не отстает от этих трендов.

Совсем без ЭЦП никак

Электронная цифровая подпись пока остается вне конкуренции. Прежде всего потому, что позволяет почти со 100%-ной достоверностью подтвердить, что информация не была изменена после того, как завершилось формирование электронной цифровой подписи, и то, что она отправлена конкретным человеком. Face ID в эту конструкцию вписывается лишь на уровне интерфейса, упрощая процесс взаимодействия человека и ЭЦП. Это немало, и ключевой вопрос здесь в том, насколько хорошо он будет реализован. Вопрос не праздный – уже через пару лет поставки смартфонов, оснащенных Face ID и аналогами, могут достигнуть полумиллиарда штук. А еще через пять лет технологии биометрии по модели лица могут «прописаться» в каждом втором смартфоне, поставляемом на рынок. При этом смс, точнее связка логин+пароль+одноразовый пароль, вероятнее всего, не сильно потеряет в популярности ввиду своей демократичности. Хотя именно с этого момента можно ожидать смены «розы ветров» в вопросе удаленной аутентификации.