WPROWADZENIE

Coraz więcej przedsiębiorstw wdraża weryfikację biometryczną, aby umożliwić zdalne rejestrowanie użytkowników. Jednym z najpopularniejszych rozwiązań jest rozpoznawanie twarzy, które według badania Regula stosuje już 56% przedsiębiorstw (stan na 2023 rok).

Z technologicznego punktu widzenia istnieją dwa sposoby uwierzytelniania klientów w ten sposób: pasywny i aktywny.

W tym artykule omówimy proces pasywnej autoryzacji, przedstawimy jej zalety i ograniczenia oraz pokażemy najczęstsze przypadki zastosowania tej technologii.

Czym jest pasywne uwierzytelnianie?

Pasywne uwierzytelnianie polega na weryfikacji cechy osoby lub obiektu—czyli czynnika uwierzytelniającego—bez konieczności wykonywania przez użytkownika żadnych dodatkowych działań. W zależności od przypadku czynnikiem tym może być twarz, tęczówka oka, głos itp. W tym artykule skupimy się na procesie uwierzytelniania za pomocą selfie.

Podczas weryfikacji tożsamości online kluczowe jest potwierdzenie, że osoba po drugiej stronie jest rzeczywista. W procesie uwierzytelniania opartym na rozpoznawaniu twarzy stosuje się kontrolę żywotności (liveness detection), aby to zweryfikować. Sposób przeprowadzenia tej kontroli decyduje o tym, czy mamy do czynienia z pasywnym, czy aktywnym procesem uwierzytelniania. Warto także zaznaczyć różnicę pomiędzy uwierzytelnianiem „żywotności pasywnej” i „żywotności aktywnej”.

Wykrywanie żywotności: Dogłębna analiza

Wykrywanie żywotności (liveness detection) to technika służąca do precyzyjnego określenia, czy próbka biometryczna pochodzi od prawdziwego człowieka, czy jest fałszywą reprezentacją. Proces ten, nazywany również kontrolą żywotności (liveness check), polega na przesłaniu przez użytkownika selfie jako próbki biometrycznej. Następnie algorytm analizuje obraz w celu wykrycia prób ataków prezentacyjnych, takich jak maski, zdjęcia deepfake czy nagrania wideo, które mogłyby posłużyć do oszustwa.

Dzięki rozróżnieniu prawdziwych osób od prób fałszerstwa, wykrywanie żywotności zapewnia autentyczność próbki biometrycznej i skutecznie chroni przed kradzieżą tożsamości.

Pasywne uwierzytelnianie vs. Aktywne uwierzytelnianie: Jaka jest różnica?

Załóżmy, że klient chce zalogować się do aplikacji mobilnej banku zabezpieczonej technologią wykrywania żywotności – aktywną lub pasywną.

W przypadku aktywnego uwierzytelniania użytkownik jest proszony o wykonanie określonych czynności, które są losowo generowane dla danej sesji. Może to obejmować obracanie głowy w prawo i lewo oraz dostosowanie pozycji twarzy do zaznaczonego obszaru na ekranie. Po wykonaniu tych kroków następuje weryfikacja użytkownika.

W przypadku pasywnego uwierzytelniania użytkownik jest proszony jedynie o zrobienie selfie. Nie musi wykonywać żadnych dodatkowych czynności. System analizuje zdjęcie i dostarcza wynik weryfikacji w ciągu kilku sekund.

Historycznie rzecz biorąc, technologia aktywnego uwierzytelniania na potrzeby wykrywania żywotności pojawiła się jako pierwsza. Jak pokazano w powyższym przykładzie, aktywne uwierzytelnianie wymaga od użytkownika wykonania serii losowych działań. Większość osób nie lubi dodatkowych utrudnień, jednak firmy miały uzasadniony powód, by wdrożyć tę procedurę. W tamtym czasie wykonanie selfie o odpowiedniej jakości, umożliwiającego wiarygodne sprawdzenie żywotności, było dla wielu użytkowników trudnym zadaniem.

Wraz z rozwojem aparatów w smartfonach pasywne uwierzytelnianie zaczęło zyskiwać na popularności. Zrobienie zdjęcia jest znacznie szybsze niż wykonywanie losowo wygenerowanych ruchów. Dzięki temu ta metoda weryfikacji tożsamości jest nie tylko wygodniejsza i mniej uciążliwa dla użytkowników, ale także bezpieczna i niezawodna.

Czy pasywne uwierzytelnianie jest skuteczne w weryfikacji biometrycznej twarzy?

Może się to wydawać nieintuicyjne, że jedno zdjęcie może być równie bezpieczne jak cała sekwencja działań. Jednak technologie rozpoznawania obrazu wykorzystywane w rozwiązaniach pasywnego uwierzytelniania radzą sobie bardzo dobrze.

W przypadku pasywnego uwierzytelniania z wykrywaniem żywotności, sieci neuronowe są wykorzystywane do sprawdzenia, czy użytkownik jest rzeczywistą osobą. Aby osiągnąć wysoką skuteczność w tym zadaniu, sieci te są trenowane na dużych zbiorach danych, które zawierają tysiące próbek zdjęć przedstawiających osoby w różnych przedziałach wiekowych, płci oraz narodowości. Oprócz samych zdjęć twarzy, próbki zawierają również różne przykłady tła  – od pustej białej ściany, przez wiosenne krajobrazy, po biurowe wnętrza.

Każdy typ sieci neuronowej jest zaprojektowany do wykonywania specyficznych zadań: wykrywania danych, klasyfikacji, segmentacji itp. W efekcie, po „ukończeniu” procesu szkolenia, sieci neuronowe zyskują specjalizację w danym obszarze.

Przeczytaj również: Jak wytrenować sztuczną inteligencję do przeprowadzania kontroli żywotności w weryfikacji tożsamości?

W celu przeprowadzenia kontroli żywotności wykorzystywana jest kombinacja różnych sieci neuronowych, z których każda odpowiada za inne zadanie. Jedna z nich wykrywa, czy na selfie znajduje się mężczyzna, czy kobieta, a inna szacuje wiek osoby. Ostateczny wynik weryfikacji to suma wielu niezależnych sprawdzeń, przeprowadzonych przez różne sieci neuronowe.

Wykrywanie oszustw i fałszywych prób również opiera się na tej samej zasadzie. Jeśli algorytm rozpozna cechy charakterystyczne dla urządzeń elektronicznych—takie jak ramki, odblaski, szumy moiré czy odbicia—system zgłasza, że selfie jest prezentowane na ekranie. Wydrukowane zdjęcia oraz deepfake’i są wykrywane na podstawie nienaturalnej tekstury skóry.

Warto jednak pamiętać, że aby cały ten proces działał skutecznie, użytkownik musi dostarczyć selfie o odpowiedniej jakości. Rozmyte zdjęcia mogą ukrywać istotne cechy twarzy, jak na przykład kształt brody. Z tego powodu rozwiązanie do weryfikacji tożsamości, które wykorzystujesz do uwierzytelniania klientów, powinno posiadać moduł oceny jakości obrazu. Posiadanie zaawansowanego systemu do rejestrowania zdjęć, który ocenia odblaski, cienie, pozycję głowy i wielkość twarzy, a także wybiera najlepsze dostępne zdjęcie, jest również pomocne. Dzięki temu wskaźnik ponownych prób robienia selfie pozostaje na minimalnym poziomie.

Regula Face SDK🔗 Szybka, dokładna weryfikacja biometryczna z rozpoznawaniem twarzy, wykrywaniem aktywności, dopasowywaniem twarzy i kompatybilnością z dowolnym urządzeniem użytkownika.

Dlaczego firmy przechodzą na pasywne uwierzytelnianie?

Poprawa doświadczeń użytkownika. Pasywne uwierzytelnianie jest płynniejsze w porównaniu do scenariuszy, gdzie użytkownik musi aktywnie uczestniczyć w procesie. Co więcej, niektórzy klienci, zwłaszcza osoby starsze, mogą mieć trudności z obsługą aktywnego procesu uwierzytelniania. Dlatego wdrożenie tej technologii może poprawić satysfakcję klientów.

Wyższe wskaźniki konwersji. Pasywne uwierzytelnianie upraszcza proces weryfikacji, czyniąc go bardziej płynnym i mniej inwazyjnym dla użytkowników. Prowadzi to do wyższych wskaźników konwersji podczas rejestracji użytkowników i kolejnych działań w usłudze online. Na przykład użytkownicy nie muszą wielokrotnie wprowadzać swoich danych logowania, ponieważ wystarczy selfie, aby zweryfikować transakcję. To może przyspieszyć proces realizacji transakcji i zmniejszyć wskaźniki porzucenia koszyka w e-commerce.

Zgodność z dostępnością. Pasywne uwierzytelnianie to także doskonałe rozwiązanie, jeśli wśród Twoich klientów znajdują się osoby starsze lub osoby z różnymi rodzajami niepełnosprawności. Zgodnie z wytycznymi W3C Web Accessibility Initiative (WAI), jednym ze sposobów uczynienia uwierzytelniania bardziej dostępnym jest użycie rozpoznawania twarzy przez urządzenie mobilne użytkownika, zamiast wymagania loginu i hasła. Zwykle oznacza to, że użytkownik może po prostu rzucić okiem na kamerę frontową, aby się uwierzytelnić.

Kiedy pasywne uwierzytelnianie z wykrywaniem żywotności jest dobrym rozwiązaniem?

Komponent rozpoznawania twarzy jest szeroko stosowany w różnych branżach, takich jak bankowość, lotnictwo i telekomunikacja.

Pasywne uwierzytelnianie z wykrywaniem żywotności może stanowić kluczową technologię w tym procesie. Sprawdźmy, w jakich przypadkach jest to najczęściej stosowane:

1. Rejestracja nowych klientów

Pasywne uwierzytelnianie z wykorzystaniem rozpoznawania twarzy może stanowić część płynnego procesu rejestracji, który obejmuje przesyłanie dokumentów tożsamości. Przykładem są usługi car-sharingowe, które zazwyczaj wymagają przesłania selfie kierowcy jako dodatkowego kroku w procesie weryfikacji.

Rozwiązania do weryfikacji tożsamości, takie jak Regula Document Reader SDK w połączeniu z Regula Face SDK, przeprowadzają ekspresową weryfikację, dopasowując selfie do zdjęcia na prawie jazdy i potwierdzając tożsamość nowego użytkownika. Dodatkowo przeprowadzany jest test wykrywania żywotności, aby upewnić się, że zarówno dokument tożsamości, jak i selfie są autentyczne, a nie sfałszowane.

2. Kontrola obecności

Pasywne uwierzytelnianie jest kluczowym elementem wielu aplikacji do kontroli obecności pracowników. Zwykle aplikacje te rejestrują lokalizację użytkownika wraz z jego selfie oraz aktualnym czasem, zapewniając niezawodną weryfikację pracowników zdalnych, osób pracujących na część etatu, kierowców itp.

Pasywne uwierzytelnianie może być także częścią systemu kontroli obecności na miejscu. Mechanizm ten wykorzystywany jest w punktach rejestracji obecności w firmach produkcyjnych i logistycznych, szpitalach, szkołach, organizacjach ochrony czy na placach budowy.

3. Spełnianie wymogów regulacyjnych w e-commerce

Pasywne uwierzytelnianie może być pomocne w scenariuszach weryfikacji wieku, gdy trzeba upewnić się, że towary i usługi objęte ograniczeniami wiekowymi są niedostępne dla nieletnich. Wymóg ten dotyczy szerokiego kręgu firm internetowych, jak np. stron z hazardem, sklepów z kosmetykami specjalistycznymi i sklepów z fajerwerkami.

Wiele witryn e-commerce stosuje najprostszy sposób weryfikacji wieku: zaznaczenie odpowiednich pól, prosząc kupujących o potwierdzenie, że są powyżej minimalnego wieku. Jednak regulatorzy uznają tę metodę za mało skuteczną w zakresie weryfikacji zgodności z wymaganiami.

Jeżeli chcesz dowiedzieć się więcej na temat planowanych regulacji dotyczących weryfikacji wieku w Polsce, przeczytaj: Weryfikacja wieku w świetle planowanej ustawy – jakie zmiany czekają nas w roku 2025? 

Oprogramowanie do weryfikacji wieku wdrożone w procesie zakupu wydaje się rozsądniejszym rozwiązaniem. Tutaj pasywne uwierzytelnianie wchodzi do gry, umożliwiając weryfikację zarówno wieku, jak i tożsamości użytkownika.

4. Budowanie procesu logowania bez hasła

Uwierzytelnianie oparte na rozpoznawaniu twarzy staje się coraz bardziej powszechne w wykonywaniu różnych zadań online. Co więcej, technologia ta cieszy się dużą popularnością wśród użytkowników. Liczba globalnych użytkowników korzystających z modułu rozpoznawania twarzy będzie nadal rosła w nadchodzących latach – z 671 milionów w 2020 roku do 1,4 miliarda do 2025 roku.

Pasywne uwierzytelnianie to doskonały wybór w przypadku procesu logowania, który nie wymaga od użytkowników wprowadzania haseł czy odpowiadania na pytania zabezpieczające. Ta metoda może być połączona z systemem jednolitego logowania (SSO), umożliwiając pracownikom lub klientom korzystanie z tego samego sposobu identyfikacji do uzyskania dostępu do wszystkich aplikacji i usług firmy.

5. Wzmacnianie obwodu bezpieczeństwa

Wprowadzenie automatyzacji weryfikacji tożsamości (IDV) w Twojej firmie zapewnia płynniejsze doświadczenie użytkownika. Dodatkowo przyczynia się do ochrony systemu, dodając kolejne warstwy bezpieczeństwa.

Pasywne uwierzytelnianie biometryczne może być częścią systemu uwierzytelniania wieloskładnikowego (MFA), połączonego z hasłami jednorazowymi, kodami SMS, a nawet innymi biometriami, takimi jak odciski palców. Ponieważ w tym procesie wykorzystywane są różne czynniki, wszystkie technologie wzajemnie się uzupełniają, eliminując ograniczenia występujące przy stosowaniu tychże metod indywidualnie.

Rozwiązania Regula w celu ulepszenia procesu weryfikacji

Podejmując decyzję o rodzaju uwierzytelniania, które chcesz dodać do swojego procesu weryfikacji, warto również uwzględnić równowagę między doświadczeniem użytkownika (UX) a bezpieczeństwem. Choć aktywne uwierzytelnianie może wydawać się bardziej bezpieczne, pasywne wykrywanie żywotności jest zawsze bardziej bezbłędną i wygodną opcją dla klientów. Dylemat polega na wyborze pomiędzy wyższą konwersją a wyższym poziomem bezpieczeństwa.

Jako doświadczony deweloper rozwiązań do weryfikacji tożsamości, Regula oferuje dobrze zrównoważone scenariusze uwierzytelniania, które uwzględniają zarówno ryzyka biznesowe, jak i zagrożenia dla bezpieczeństwa.

Regula Face SDK pomaga zapobiegać oszustwom biometrycznym poprzez wykrywanie różnych ataków prezentacyjnych, takich jak używanie urządzeń elektronicznych, wydrukowanych zdjęć czy realistycznych masek. Dodatkowo rozwiązanie oferuje łatwy sposób weryfikacji użytkowników.

Zobacz produkt w akcji lub zapytaj konsultantów Korporacji Wschód o szczegóły.

Regula Face SDK🔗 Szybka, dokładna weryfikacja biometryczna z rozpoznawaniem twarzy, wykrywaniem aktywności, dopasowywaniem twarzy i kompatybilnością z dowolnym urządzeniem użytkownika.

Oryginalny tekst artykułu znajdziesz pod poniższym linkiem/The original text of the article can be found at the link: https://regulaforensics.com/blog/passive-authentication/