Вопреки рекламным заявлениям, применение биометрических технологий для аутентификации может быть крайне неточным, считает специалист по компьютерной безопасности Роджер Граймс. В Национальном институте стандартов и технологий США (NIST) уже много лет занимаются испытаниями точность различных биометрических решений (в основном распознавания отпечатков пальцев и лиц), пишет он. Любой разработчик биометрических технологий может отправить свое решение на испытания. К настоящему времени в NIST поступило 733 заявки на испытания методов распознавания отпечатков пальцев и более 450 заявок на испытания методов распознавания лиц. NIST требует точности распознавания порядка 1:100000, то есть одной ошибки на 100000 распознаваний. Пока лучшие методы достигают точности лишь в 1,9% — то есть ошибаются почти два раза из 100, и это в идеальных лабораторных условиях, подчеркивает Граймс. Таким образом, результаты независимых испытаний не соответствуют заявлениям разработчиков. Кроме того, разработчики в маркетинговых целях могут сознательно занижать строгость распознавания — чтобы пользователи не теряли без причины доступ к своим устройствам.
Помимо проблем надежности самой технологии распознавания, есть проблемы, неразрешимые принципиально. Одна из них — что делать в случае кражи биометрических данных? Пароли, пин-коды, карты доступа можно заменить, но как заменить отпечатки пальцев, лицо или голос? Граймс напоминает об утечке данных Управление кадровой службы США, произошедшей в 2015 году. Помимо прочего, тогда к злоумышленникам попали отпечатки пальцев порядка 6,5 млн человек.
Биометрические технологии сейчас больше служат для обеспечения удобства пользователей, чем для реальной безопасности. Тем, кто их внедряет, необходимо знать о положительных и отрицательных сторонах конкретных решений и выбирать решение в соответствии с потребностями.