Биометрия вместо паролей: безопасность или новая лазейка для мошенников?

Логотип компании
Биометрия вместо паролей: безопасность или новая лазейка для мошенников?
изображение создано нейросетью
Технологии биометрии все чаще используются в корпоративной сфере. Системы распознавания лиц, отпечатков пальцев постепенно заменяют традиционные методы аутентификации, такие как пароли и карты доступа, для контроля доступа в офисы, в финансовые системы и корпоративные сервисы. Максим Шаманаев, ведущий специалист по информационной безопасности компании Б-152, рассказал IT-Wоrld том, почему с биометрией нужно обращаться осторожнее и как ее защитить.

Биометрия в бизнесе

Сегодня биометрические технологии всё активнее внедряются в корпоративные системы безопасности. Например, системы контроля доступа, использующие распознавание лиц или отпечатки пальцев, помогают защищать офисы и другие корпоративные здания. В банковской сфере биометрия активно применяется для удалённой аутентификации, предоставляя пользователям возможность подтверждать транзакции и операции, не используя традиционные методы, такие как карты или пароли. В 2025 году Единая биометрическая система (ЕБС) продолжает развиваться в России, позволяя гражданам удаленно получать доступ к государственным и банковским услугам, подтверждая личность через лицо и голос. Эти инновации становятся важными для упрощения и ускорения бизнес-процессов.

Почему растет популярность биометрии

С биометрией ваш пароль всегда при вас. Его нельзя забыть, записать на стикере и потерять. Доступ к устройству или приложению занимает доли секунды: приложил палец, взглянул в камеру — и вы уже в системе. Это огромный шаг вперед для пользовательского опыта и корпоративной безопасности.

Биометрия привлекает компании, поскольку снижает риски несанкционированного доступа и мошенничества. Биометрические системы, использующие 3D-карты лиц, сканирование вен и анализ тепловых карт, обеспечивают высокий уровень защиты для корпоративных данных.

Биометрические системы, использующие 3D-карты лица, сканирование рисунка вен или анализ тепловых карт, обеспечивают высокий уровень защиты корпоративных данных и ресурсов, которые могут быть под угрозой с использованием традиционных методов аутентификации.

В РФ внедряется оплата по биометрии с учетом льгот и ограничений

Если обычный цифровой пароль может оказаться в слитой базе данных, то утечка биометрических данных происходит иначе. Даже если они оказались в даркнете, их практически невозможно обратно расшифровать для использования, так как они не хранятся в виде готового изображения, а преобразуются в сложный цифровой шаблон.

Однако, хотя взлом биометрической системы требует невероятно больших ресурсов, это не дает абсолютной гарантии. Риски всё же остаются.

Уязвимости и риски биометрии

В отличие от паролей, биометрические данные — такие, как отпечатки пальцев, лицо или голос — не подлежат изменению. Для бизнеса, работающего с конфиденциальной информацией, это может стать серьезной угрозой. Утечка биометрических данных может привести к долгосрочным последствиям, включая мошенничество и утрату контроля над корпоративной информацией.

Если мошенники получили доступ к цифровым шаблонам, то могут вставить их в отдельный цифровой «паспорт» и обмануть систему аутентификации. Это называется атакой повтора (replay attack) – перехват корректных данных для входа и использование их. Система видит ранее использованные, но подлинные данные, поэтому предоставляет доступ.

Для организаций, работающих с высокочувствительной информацией, риски возрастают, так как мошенники могут использовать цифровые маски и технологии дипфейков, чтобы обмануть системы распознавания лиц. Иногда для входа в аккаунт достаточно даже реалистичной 3D маски. В 2016 году в США студенты ради эксперимента взломали системы распознавания лиц. Используя цифровые маски, они успешно обманули четыре из пяти алгоритмов. Годом позже сотрудники компании Bkav, специализирующейся на кибербезопасности, тоже смогли взломать устройство, надев маску. Конечно, за 9 лет защиту усилили, но всё равно не стоит полностью исключать риски.

Иван Головко: Как один техрадар устраняет хаос в ИТ-ландшафте крупных компаний
Электронные сертификаты и ЦФА в социальной политике. О чем говорили на «ИТ-Диалоге»
Микросервисная архитектура, ЦФА и Open API: что определит развитие финтеха в 2026 году

Важно и то, где и как применяется биометрия. В разных компаниях и секторах уровень защиты биометрических данных может существенно различаться. В недорогих системах биометрическая информация может передаваться в открытом виде, что ставит под угрозу корпоративную безопасность. Для защиты чувствительных данных важно использовать современные системы, которые обеспечивают защищенное хранение данных, например, через Secure Enclave или аналогичные технологии.

Биометрия на приеме: как Госдума хочет защитить телемедицину от посторонних

Мы также должны говорить честно о пользовательском недоверии и недопонимании. Многие пользователи уже сдали биометрию, не до конца осознав, зачем. Или не помнят, как «отдали» свои данные банку или салону связи. Такая неосознанность делает риски еще выше: люди не знают, что ими можно воспользоваться. И ещё один важный аспект — безопасность каналов и хранилищ. Формально у нас в РФ есть регуляторные требования, инструкции и проверки. Но не везде они исполняются добросовестно. А значит, возможны утечки — и, если это произойдёт на уровне централизованной базы, катастрофа будет масштабной. Причём даже один такой случай может подорвать доверие ко всей инфраструктуре.

Например, инцидент с платформой BioStar 2 привёл к утечке высокочувствительной информации: под угрозой оказались биометрические данные сотрудников тысяч компаний по всему миру. В свободном доступе оказались цифровые отпечатки пальцев и сканы лиц более миллиона человек.

Биометрия всё чаще навязывается по умолчанию. Пока она не заменяет полностью пароль или документ, но тренд на «автоматизацию» может легко скатиться в исключительность: «не сдал биометрию — у тебя нет доступа». И вот здесь опасно поторопиться.

Читайте также
Александр Бастрыкин: «Главная задача — защита граждан и бизнеса в цифровой среде»
Только в 2024 году следователи СК расследовали свыше 21 тыс. преступлений в сфере ИКТ — на 12% больше, чем годом ранее. Рост числа и сложности эпизодов требует институциональных и технологических решений.

Как мошенники используют биометрию

В 2021 году злоумышленники обманным путем получили доступ к аккаунту мужчины на Госуслугах и оформили на него кредит в микрофинансовой организации, подписав его электронной подписью. Дело в том, что электронную подпись можно сделать дистанционно, подтвердив личность с помощью голоса и лица. То есть мошенники воспользовались украденной биометрией. В данной ситуации суд решил, что договор займа был заключен без волеизъявления истца, поэтому постановил признать его недействительным.

Но далеко не всегда аналогичные проблемы разрешаются хорошо. Компании, которые используют биометрические данные для подтверждения личности в своих системах, могут столкнуться с риском мошенничества. В случае утечек биометрии злоумышленники могут использовать поддельные данные для получения неправомерного доступа к финансовым и операционным системам. В таких ситуациях жалобы и судебные разбирательства могут быть сложными из-за отсутствия доказательств злоупотреблений.

В бизнесе также могут возникать ситуации, когда биометрические данные сотрудников или партнеров оказываются в руках мошенников. Например, злоумышленник, представившись сотрудником банка или службы безопасности компании, может попросить сотрудников пройти повторную проверку, подключившись к камере и одновременно запустив процесс подтверждения финансовых операций. Это может привести к несанкционированным переведенным средствам или кражам данных.

В другом случае мошенники могут использовать технологии дипфейков для создания поддельных профилей и имитации голосовых данных ключевых сотрудников компании. Они могут обмануть коллег или партнёров, повторяя их интонацию и манеру речи, что затрудняет выявление мошенничества на ранних стадиях. В ходе общения мошенники могут попросить перевести деньги на другие счета, используя фальшивые профили руководителей и других ключевых фигур в компании.

Риски особенно велики, когда бизнес использует видеоподтверждение личности для выполнения транзакций или доступа к важным системам. Злоумышленники могут пройти такую проверку, используя нужные ракурсы лица или другие методы, полученные через взломы или утечку данных.

Как себя защитить? Краткая памятка

Для компаний важно внедрить многофакторную аутентификацию, которая обеспечит дополнительный уровень защиты, даже если биометрические данные были скомпрометированы. Также рекомендуется использовать шифрование, VPN-соединения и системы мониторинга, чтобы минимизировать риски утечек и обеспечить защиту корпоративных данных. Биометрия может быть безопасной, если она используется грамотно, с альтернативными методами и жёстким контролем защиты. Однако поспешное внедрение без должного контроля может превратить биометрию из средства защиты в уязвимость.

Стоит помнить, что биометрия вместо паролей – это не про технологии, а про ответственность. Биометрия может быть безопасной, если применена грамотно, добровольно, с альтернативами и с жёстким контролем защиты. Но при поспешном и формальном внедрении, без доверия, без понятных гарантий, она становится не защитой, а очередной уязвимостью.

Опубликовано 05.11.2025

Об авторах
Максим Шаманаев
Максим Шаманаев
ведущий специалист по информационной безопасности компании Б-152
Информационная безопасностьБиометрическая идентификация
Похожие статьи
Как новые потребности бизнеса меняют рынок ИБ-решений
Как новые потребности бизнеса меняют рынок ИБ-решений
Российский рынок инфобезопасных решений живет в отличной от других ИТ-сегментов реальности: здесь давно и широко представлены зрелые отечественные продукты, а процесс импортозамещения начался много лет назад. Однако это одно из направлений, где технологические вызовы стоят острее всего.
OCS Distribution11.11.25
Гайд: как защитить данные от нарушений со стороны привилегированных пользователей?
Гайд: как защитить данные от нарушений со стороны привилегированных пользователей?
Как защитить данные даже от тех, кто имеет к ним полный доступ? В новом гайде IT-World расскажет, как DCAP-система «СёрчИнформ FileAuditor» помогает компаниям контролировать действия привилегированных пользователей, предотвращать инциденты и расследовать попытки обхода ограничений. Пошагово разбираем, как выстроить надежную защиту без ущерба для работы ИТ-службы.
Алексей Парфентьев02.11.25
Александр Бастрыкин: «Главная задача — защита граждан и бизнеса в цифровой среде»
Александр Бастрыкин: «Главная задача — защита граждан и бизнеса в цифровой среде»
Только в 2024 году следователи СК расследовали свыше 21 тыс. преступлений в сфере ИКТ — на 12% больше, чем годом ранее. Рост числа и сложности эпизодов требует институциональных и технологических решений.
Ольга Попова02.11.25
Артем Шейкин: «Ключ к обмену инцидентами — правовые гарантии»
Артем Шейкин: «Ключ к обмену инцидентами — правовые гарантии»
Тема кибербезопасности все чаще звучит не только на ИТ-форумах, но и в законодательных дискуссиях. Сенатор Артем Шейкин, первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, считает, что цифровое регулирование должно развиваться так же быстро, как технологии, но без избыточного давления на бизнес и граждан. IT-World обсудил с ним, как выстраивается баланс между гибкостью и контролем, почему доверие к искусственному интеллекту требует четких правил и каким может быть законодательство в наше время.
Ольга Попова02.11.25
Загрузить ещё1 2 3 4 5 »» Следующая →
Для корректной работы сайта мы используем куки.