Home Baza wiedzy/Technologia/Internetowa weryfikacja tożsamości za pomocą selfie – pełna historia
Baza wiedzy Technologia Weryfikacja tożsamości Oszustwa związane z tożsamością

Share the post "Internetowa weryfikacja tożsamości za pomocą selfie – pełna historia"

Internetowa weryfikacja tożsamości za pomocą selfie – pełna historia

Andrey Terekhin
29 stycznia 2025
Internetowa weryfikacja tożsamości za pomocą selfie

WPROWADZENIE

Internetowa weryfikacja tożsamości jest jednym z głównych wyzwań w XXI wieku. W kwietniu 2024 r. dane osobowe (PII, ang. Personally identifiable information) ponad pięciu milionów obywateli Salwadoru wyciekły do dark web’u. Wśród pełnych imion i nazwisk, adresów e-mail i adresów zamieszkania, zrzut danych zawierał również zdjęcia portretowe obywateli oznaczone numerem identyfikacyjnym ich salwadorskich dokumentów (DUI, ang. document identification number). Incydent ten stwarza wiele potencjalnych zagrożeń związanych z kradzieżą tożsamości i oszustwami, w tym wykorzystaniem danych PII w oszustwach i schematach wyłudzania pieniędzy.  

Ponieważ naruszenie danych dotknęło ponad 80% populacji kraju, sprawa ta podkreśla wrażliwość komponentu biometrycznego używanego przez wiele firm do identyfikacji i uwierzytelniania klientów online. 

Selfie stały się powszechne w scenariuszach zdalnej weryfikacji. Czy jednak mogą one być wystarczająco niezawodnym i bezpiecznym sposobem potwierdzania tożsamości klientów? Dowiesz się tego z tego artykułu.

Krótkie wyjaśnienie weryfikacji za pomocą selfie

Weryfikacja tożsamości za pomocą selfie polega na zrobieniu sobie zdjęcia w celu zdalnej weryfikacji tożsamości. W różnych scenariuszach użytkownicy mogą zaprezentować jedno lub kilka zdjęć bądź też nagrać wideo, wykonując sekwencję zadań, takich jak uśmiechanie się lub obracanie głowy.  

Po przesłaniu przez użytkownika swojego selfie, jest ono porównywane z obrazem referencyjnym z bazy danych firmy i/lub jego zdjęciem w wydanym przez rząd dokumencie tożsamości. 

Technologia ta jest szeroko stosowana podczas wdrażania i uwierzytelniania klientów, często w połączeniu z bazą danych i weryfikacją dokumentów tożsamości.

Selfie jako sposób weryfikacji użytkowników online jest uznawane i opisywane przez wiele organów regulacyjnych w różnych krajach. Dla przykładu oto kilka szczegółów, o których wspomina brytyjski Government Digital Service w swoim przewodniku opisującym ten proces:

  • Osoba fizyczna musi być obecna w momencie przechwytywania jej obrazu lub wideo; tj. nie można przesłać skanu lub pliku ze zdjęcia lub kanału wideo.
  • Obraz lub nagranie wideo nie może zostać przechwycone i ponownie wykorzystane („odtworzone”).
  • Obraz lub nagranie wideo danej osoby musi być porównane z prawdziwym obrazem lub nagraniem wideo.
  • Obraz lub film musi być udostępniony w sposób uniemożliwiający jego fałszerstwo.

Zazwyczaj weryfikacja tożsamości poprzez selfie jest tylko krokiem w procesie identyfikacji i uwierzytelniania:

 

Jakie są główne elementy procesu weryfikacji tożsamości selfie?

Weryfikacja obejmuje co najmniej trzy etapy, które zajmują kilka sekund: 

  • Przechwytywanie selfie: Użytkownik robi selfie (jedno lub kilka ujęć) lub nagrywa wideo i przesyła je do aplikacji lub usługi internetowej.
  • Analiza selfie: Selfie użytkownika jest porównywane z jego zdjęciem referencyjnym w bazie danych lub ze zdjęciem identyfikacyjnym. Jeśli istnieje zgodność, użytkownik jest weryfikowany jako legalny.
  • Testy żywotności (ang. liveness check) – kontrola opcjonalna: Podczas rozpoznawania twarzy istotne jest sprawdzenie, czy na selfie znajduje się prawdziwa osoba, a nie podróbka (na przykład deepfake, manekin lub maska).  

Weryfikacja selfie wymaga dobrej jakości obrazu. Z tego powodu bardzo ważne jest, aby zapewnić użytkownikom pewne podpowiedzi już na pierwszym etapie. Pomoże im to zrobić zdjęcie o odpowiedniej jakości przy pierwszej próbie. Technologie pod maską rozwiązań do weryfikacji twarzy, takie jak Advanced Image Capture, mogą również pomóc w tym procesie. 

Podczas analizy selfie oprogramowanie przeszukuje bazę danych znanych twarzy, aby określić, czy istnieje dopasowanie. Proces ten wykorzystuje podejście jeden do wielu (1:N), w którym jedno zdjęcie jest porównywane z wieloma zdjęciami w bazie danych (N).   

Testy żywotności mogą wykryć, czy w selfie znajdują się atrybuty nieantropomorficzne. Obejmują one między innymi papierowe zdjęcia 2D, lalki podobne do ludzkich, woskowe głowy, manekiny, sztuczny odcień skóry, szum moiré’a i nieoczekiwane cienie typowe dla Deep Fake’ów

Istnieją dwa rodzaje kontroli żywotności: aktywne i pasywne. Pierwszy z nich, wymaga serii zdjęć lub wideo w celu przeprowadzenia kontroli. Wiąże się to również z większym zaangażowaniem użytkownika. W przypadku pasywnej żywotności wystarczy jeden obraz, aby przeprowadzić kontrolę. Upłynnia to proces weryfikacji i sprawia, że przepływ jest bardziej bezproblemowy dla klientów. 

Chociaż jest to ściśle opcjonalne, wykrywanie żywotności jest niezbędne do zagwarantowania bezpiecznego procesu weryfikacji selfie ID.

Co daje internetowa weryfikacja tożsamości i dlaczego warto korzystać z tej technologii?

Weryfikacja tożsamości za pomocą selfie jest dobrym atutem do zastosowania wśród innych środków bezpieczeństwa. Zalety tej technologii obejmują 

  • Łatwość obsługi: Większość osób przynajmniej raz w życiu zrobiło sobie selfie. Ponadto wiele osób używa skanowania twarzy do odblokowywania smartfonów i publikowania zdjęć z przedniego aparatu w mediach społecznościowych. Oznacza to, że prośba o selfie podczas rejestracji nie będzie stanowić problemu dla większości użytkowników. 
  • Płynny i szybki proces: Zazwyczaj proces od przechwycenia do weryfikacji trwa zaledwie kilka sekund. W przypadku pasywnej aktywności wymagane jest tylko jedno zdjęcie. W Regula zapewniamy również jednorazową weryfikację, w której zarówno selfie, jak i identyfikator są przechwytywane jednocześnie i natychmiast weryfikowane. 
  • Wysoka dostępność: W porównaniu do innych rodzajów danych biometrycznych, takich jak odciski palców, rozpoznawanie twarzy jest jednym z najbardziej dostępnych sposobów weryfikacji dla użytkowników z różnych grup demograficznych. 
  • Dodatkowa warstwa bezpieczeństwa: Jako tylko niewielka część całego przepływu weryfikacji tożsamości, weryfikacja selfie w połączeniu z testami żywotności może zapobiec wielu atakom podszywania się, w których oszuści próbują wykorzystać czyjąś tożsamość do ominięcia środków bezpieczeństwa. 

Opracowując procedury weryfikacji, firmy często pomijają drobne szczegóły, które są kluczowe dla ich klientów. Zapoznaj się z głównymi obawami użytkowników końcowych związanymi z IDV, czytając ten artykuł: Weryfikacja tożsamości klienta: Czego naprawdę potrzebują klienci

Jakie są potencjalne pułapki?

Jak w przypadku każdej technologii, weryfikacja selfie ID ma swoje wady. Oto kilka kluczowych, które należy wziąć pod uwagę podczas korzystania z tej metody: 

  • Niski poziom bezpieczeństwa: Stosowana samodzielnie, weryfikacja tożsamości selfie wykazuje niską odporność na wyrafinowane ataki. Na przykład, przy dużej dostępności zdjęć w mediach społecznościowych, oszuści często wykorzystują te obrazy podczas ataków.  
  • Stronnicze algorytmy: Rozpoznawanie twarzy nadal pozostaje niedoskonałe pod względem dokładnej weryfikacji osób różnych narodowości i w różnym wieku. Oznacza to, że może wystąpić wzrost liczby fałszywych wyników przy pracy z konkretnymi użytkownikami.
  • Obawy dotyczące prywatności: Niektórzy klienci czują się niepewnie, jeśli chodzi o przekazywanie swoich danych biometrycznych stronom trzecim. Bardzo ważne jest, aby upewnić się, że ich dane będą odpowiednio przechowywane. (Przypadek Salwadoru pokazuje, że obawy te nie są bezpodstawne). 

Czy weryfikacja tożsamości za pomocą selfie jest zgodna z wymogami KYC?

W wielu krajach rozwiązania do weryfikacji przy użyciu selfie nie są wystarczająco solidne, aby zapewnić zgodność z polityką organów regulacyjnych w zakresie przeciwdziałania praniu pieniędzy (AML, ang. anti-money laundering) i wymaganiami Poznaj Swojego Klienta (KYC, ang. Know Your Customer). 

Amerykański Departament Handlu, za pośrednictwem Narodowego Instytutu Standardów i Technologii (NIST), definiuje niskie, średnie i wysokie poziomy bezpieczeństwa dla rejestracji i weryfikacji tożsamości. Podczas gdy niski poziom nie wymaga powiązania użytkownika z konkretną rzeczywistą tożsamością, zarówno średni, jak i wysoki poziom bezpieczeństwa oznaczają bardziej szczegółowe kontrole weryfikacyjne. Jednak sama weryfikacja selfie nie wystarczy do zweryfikowania użytkownika, potrzeba więcej dowodów tożsamości danej osoby: na przykład dokument(y) tożsamości, faktury, rachunki za media potwierdzające adres itp.

Niemniej jednak, przesyłanie selfie jest powszechne w procedurach KYC wielu amerykańskich organizacji. Na przykład Internal Revenue Service wymaga weryfikacji selfie wraz z wydanym przez rząd dokumentem tożsamości, aby przyznać dostęp do niektórych zasobów online.  

W niektórych regionach technologia ta nie jest uważana za wystarczającą do celów AML/KYC. W UE eIDAS służy jako jedna z wiodących ram AML/KYC. Ponieważ zakłada ona korzystanie z identyfikacji elektronicznej (eID), weryfikacja tożsamości selfie jest wykluczona z przepływu. Aby uzyskać eID, klienci muszą złożyć wniosek do jednego z zaufanych dostawców eID, który często wymaga weryfikacji osobistej lub wideo.

Rzeczywiste przykłady weryfikacji za pomocą selfie

Pomimo tego, że technologia ta nie jest bezbłędna, dobrze sprawdza się w określonych przypadkach użycia. Oto cztery typowe scenariusze, w których można polegać na weryfikacji tożsamości za pomocą selfie:

  • Dodatkowy krok w procesie wdrażania klienta: Niektóre firmy cyfrowe, które działają głównie z małymi transakcjami, takie jak firmy usługowe, car-sharing i operatorzy telekomunikacyjni, mogą wykorzystywać weryfikację selfie podczas identyfikacji nowych użytkowników.
  • Zwiększenie bezpieczeństwa przy odprawie: Potwierdzanie tożsamości osoby za pomocą selfie jest szeroko stosowane przez hotele i linie lotnicze jako część procedury samodzielnej odprawy za pomocą aplikacji mobilnych i kiosków.  
  • Potwierdzenie transakcji: Weryfikacja selfie może być również wykorzystywana do zatwierdzania płatności w bankowości internetowej. 
  • Natychmiastowy dostęp do platform cyfrowych: Weryfikacja selfie może zostać włączona do przepływu uwierzytelniania wieloskładnikowego dla użytkowników internetowych usług edukacyjnych i platform handlowych, w tym tych, którzy nie logowali się na swoje konto przez długi czas.  

Regula zapewnia SDK do weryfikacji twarzy, który można płynnie wdrożyć do bieżącego procesu. Dzięki Regula Face SDK możesz zbudować spersonalizowany przepływ użytkowników, biorąc pod uwagę preferencje i dane demograficzne docelowych odbiorców. Dodatkowo, dzięki lokalnemu modelowi działania („on premisess”), dane użytkownikow nie wychodzą nigdzie poza Twoją infrastrukturę, co jak pokazuje przypadek Salwadoru, bywa krytycznym czynnikiem w kontekście potencjalnych wycieków danych biometrycznych. Zarezerwuj rozmowę z naszym przedstawicielem, aby szczegółowo omówić swój przypadek.

Oryginalny tekst artykułu znajdziesz pod poniższym linkiem/The original text of the article can be found at the link:
https://regulaforensics.com/blog/selfie-id-verification/ 

Newsletter

Subskrybuj nasz Newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach technologicznych i aktualnościach, nowych wpisach, produktach, usługach ze świata obronności, bezpieczeństwa, kryminalistyki

Arrow Long Kontakt z nami

Napisz do nas