web-dev-qa-db-ja.com

機密情報の生体認証における誤った受け入れ率

すべてのタイプの生体認証は、誤った受け入れ率を持ちます。これは、システムが不正なユーザーによるアクセス試行を誤って受け入れる可能性です。もちろん、生体認証を他の認証要素(パスワードやセキュリティデバイスなど)と組み合わせると、誰かがアクセスできる可能性が大幅に減少します。

ただし、非常に機密性の高い情報を扱う場合(たとえば、銀行へのアクセス、PCIコンプライアンス、HIPAAコンプライアンスを必要とするシステムなど)、1回の違反でも大きなリスクを示唆する可能性がある場合、生体認証の許容可能な誤認率は、組み合わされたときにどうなるでしょうか。別の認証要素を使用して?

たとえば、FARが1%で、その認証形式とパスワード認証を組み合わせた場合、この場合はそれで問題ありませんか? 0.1%はどうですか? 0.001?これは比較的主観的であることに気づきますが、どの範囲が適切かはわかりません。したがって、可能であれば、実際のデータ、研究、またはユースケースを評価してください。

3
Mike

Apple Touch IDのFARは1/50,000で、Face IDのFARは1/1,000,000です。

https://support.Apple.com/en-us/HT208108

Androidは、FARが0.002%(50,000分の1)以下であることも主張しています。 (出典:Android 7.0互換性定義ドキュメント)

Eyeverifyという会社には、このトピックに関して非常に関連性の高いブログがあります。彼らも、50,000分の1のFARで十分であり、銀行セクターに顧客がいることを示唆しているようです。

https://www.eyeverify.com/blog/ceo-editorial-a-call-for-payment-grade-industry-standards

4
Tyrian Pi

この計算を行うときは、確率に取り組む必要があります。

銀行の例を使用してください。銀行の金庫で使用される指紋認証の場合、FARは1%ですが、網膜スキャンは、たとえば0.2%FARの場合もあります。しかし、この網膜スキャンが別の銀行のマネージャーによって認証されていることを想像してください。1つの指紋と1つの網膜スキャンを使用して、金庫を開くには両方が存在する必要があります。

したがって、これら両方の組み合わせのFARを計算することはできますが、誤検知をトリガーできる人を見つけることの確率が指数関数的に高くなるため、これはリスクの正確な表現ではありません。

すべての高価値システムでは、リスクベースの評価はイベントの確率に基づいている必要があります。これはあなたの質問に直接答えることはできないかもしれませんが、状況に役立つかもしれません。つまり、代わりに

「許容できるFARとは」

尋ねることはより有益かもしれません:

「フォールスポジティブを使用して生体認証を回避する確率に基づく、許容可能なリスクとは」

0
Trickycm