Как обмануть распознавание лиц и можно ли обойти биометрический СКУД

Первый вопрос, который задаёт служба безопасности на любой демонстрации биометрической проходной, звучит одинаково: «А если я поднесу к камере фотографию сотрудника с телефона — пройду?» Вопрос честный и правильный. Если систему распознавания лиц обходит школьник с картинкой из мессенджера, ставить её на режимный объект бессмысленно. Поэтому давайте без маркетинга разберём, как именно пытаются обмануть такие системы, что этому противостоит и где всё-таки остаётся риск.

Сразу разведём два понятия, которые путают. Распознавание — это «чьё это лицо», сравнение с базой. А вот защита от подделки — это отдельный слой, который отвечает на вопрос «перед камерой вообще живой человек или его изображение». Этот слой называется liveness-детекцией, проверкой живости, и именно он решает судьбу всех атак, о которых пойдёт речь.

Атаки презентации: чем пытаются подменить лицо

В отрасли это называют presentation attacks — атаки предъявления. Идея у всех одна: показать камере не себя, а изображение или муляж нужного лица. Способов несколько, и они разной сложности.

Распечатанное фото. Самое примитивное: бумага или глянцевый снимок лица перед камерой. Иногда с вырезанными глазами, чтобы имитировать взгляд. Дёшево и доступно любому.

Фото или видео на экране телефона/планшета. Картинка с экрана выглядит «живее» бумаги: подсветка, цвет, можно прокрутить короткое видео, где человек моргает и поворачивает голову. Самый частый способ, потому что фотография сотрудника обычно у злоумышленника под рукой — из соцсетей или внутреннего чата.

Видеоповтор (replay). Заранее снятая запись настоящего прохода, проигранная на экране. Опаснее статичного фото, потому что содержит естественные микродвижения живого лица.

3D-маска. Силиконовая или бумажная маска, маска-слепок, реже — напечатанная на 3D-принтере. Дорого, трудоёмко, требует подготовки. Зато обходит простейшие проверки на «плоскость», потому что у маски есть объём.

Дипфейк. Синтезированное нейросетью видео нужного лица, подменяющее поток с камеры. Это уже не «поднести к объективу», а вмешательство в видеопоток — нужен доступ к каналу или к устройству. Угроза реальная для удалённой видеоидентификации (банковские приложения, дистанционная сдача биометрии), но для физического турникета на проходной, где камера в защищённом корпусе и поток идёт по локальной сети, порог входа высокий.

И отдельный, не атакующий, но коварный случай — однояйцевые близнецы. Их лица математически слишком похожи, и тут спасает не liveness, а либо повышенный порог сходства, либо второй фактор: к лицу добавляют карту или пин-код для критичных зон.

Почему 2D-система уязвима, а нормальная — нет

Корень проблемы простой. Если система смотрит только на плоскую картинку с обычной камеры и спрашивает себя лишь «похоже ли это на лицо из базы», то фотографию того же лица она тоже сочтёт похожей. Для алгоритма сравнения векторов распечатка Иванова и живой Иванов дают близкий результат — потому что геометрия лица на снимке и в жизни одна и та же.

Именно поэтому голое распознавание без проверки живости на проходную ставить нельзя. Узнавание лица и подтверждение, что лицо живое, — две разные задачи, и вторая не менее важная. Хорошая новость в том, что эту вторую задачу давно научились решать, и решают на нескольких уровнях сразу.

Как защищает liveness-детекция

Проверка живости бывает двух типов, и на серьёзных объектах их комбинируют.

Активная (active liveness). Система просит человека что-то сделать: моргнуть, повернуть голову, улыбнуться, проследить взглядом за точкой. Фотография так не умеет, видео на экране выдаёт себя задержкой и неестественностью реакции. Минус — нужно сотрудничество человека и пара лишних секунд, поэтому на потоковой проходной активную проверку используют реже, чаще в банковских и удалённых сценариях.

Пассивная (passive liveness). Человек ничего специально не делает, просто идёт к турникету, а система за доли секунды по самому изображению решает, живое ли это лицо. Удобно для потока, незаметно для человека. Именно её обычно ставят на проходные. Работает она не на одном признаке, а на нескольких сразу:

• Анализ текстуры. У живой кожи свой микрорельеф, поры, отражение света. У бумаги и экрана — характерные артефакты: муар, блики глянца, пиксельная сетка дисплея, ровная «мёртвая» фактура печати. Нейросеть, обученная на тысячах настоящих и поддельных предъявлений, ловит эту разницу.
• Микродвижения. Живое лицо никогда не стоит идеально неподвижно: микросаккады глаз, едва заметная мимика, пульсация. Фотография мертва, видео на экране движется «не так».
• 3D-сенсоры и инфракрасная подсветка. Камера глубины или ИК-датчик видят, что перед ней объёмный объект, а не плоскость. Плоское фото или экран отсеиваются сразу. ИК заодно показывает тепловую и отражательную картину, непохожую на экран. Это сильнейший барьер против фото и видеоповтора, и именно поэтому серьёзные терминалы оснащают двумя камерами или сенсором глубины.

На практике пассивный liveness с анализом текстуры плюс ИК или 3D отсекает распечатки, фото и видео с экрана почти полностью. Это не маркетинговое обещание, а то, что проверяется на пилоте за пять минут: подносите к терминалу телефон с фотографией сотрудника — и он вас не пускает. Мы всегда предлагаем сделать ровно это на демонстрации, чтобы безопасник убедился сам.

Почему нормальная система не пускает по фотографии

Сложим картину. Когда к камере подносят фото с экрана, исправная система ловит подделку по совокупности: плоская геометрия без объёма (3D/ИК), артефакты дисплея и муар в текстуре, отсутствие живых микродвижений, неестественные блики. Срабатывает не один признак, а несколько разом, поэтому обойти все сразу одной картинкой не выходит.

Поэтому корректная формулировка не «распознавание лиц легко обмануть», а «голое распознавание без liveness обмануть легко, а систему с антиспуфингом — на порядок труднее». Разница между дешёвым модулем «узнал лицо» и проходной с проверкой живости — это и есть разница между игрушкой и средством контроля доступа. При закупке имеет смысл прямо спрашивать поставщика: какой liveness, активный или пассивный, есть ли ИК или сенсор глубины, на каких атаках тестировали. Если внятного ответа нет — перед вами 2D-узнавание, и опасения безопасника обоснованы.

Честно: где остаётся риск

Обещать стопроцентную неуязвимость было бы тем самым маркетингом, против которого вся эта статья. Риск остаётся, и вот где именно.

• Дорогие 3D-маски и качественные силиконовые слепки способны обмануть часть систем. Защита — комбинация ИК, текстурного анализа и второго фактора на критичных зонах. Атака сложная, штучная и не про массовую проходную, но на режимном объекте её держат в голове.
• Дипфейк в видеопотоке — угроза для удалённой видеоидентификации, где злоумышленник может вклиниться в канал. Для физического турникета с камерой в защищённом корпусе и потоком по изолированной сети порог входа высокий, но канал всё равно надо защищать.
• Близнецы и очень похожие родственники — про точность распознавания, а не про liveness. Лечится повышенным порогом сходства и вторым фактором.
• Плохие условия съёмки — резкий контровой свет, глубокая тень, грязный объектив, человек в глубоком капюшоне или с лицом, наполовину закрытым шарфом. Это бьёт не столько по защите от подделки, сколько по самому распознаванию: растут отказы своим и ложные срабатывания. Правильная установка камеры и освещения тут важнее любого алгоритма, и на этом этапе экономить нельзя — кривой ракурс убивает даже лучший движок.
• Инсайдер с доступом к базе — это уже не про обман камеры, а про то, что кто-то может добавить чужое лицо в список допущенных или подменить шаблон. Защита тут организационная: разграничение прав, журнал изменений базы, разделение того, кто заводит сотрудников, и того, кто следит за проходной. Технология лиц не отменяет нормального администрирования доступа.

Вывод простой и не пугающий. Биометрический СКУД с настоящей liveness-детекцией — это не дырявая игрушка, которую обходят фотографией, а зрелый инструмент контроля доступа, у которого, как у любого инструмента, есть граница применимости. Понять, где эта граница проходит именно у вас, проще всего на пилоте: ставим распознавание на одной проходной, даёте безопаснику ломать его всеми способами две недели. Если интересно посмотреть, как это устроено и сколько стоит под ваш объект, — загляните на страницу распознавания лиц или сразу обсудите пилот. А про то, какой именно идентификатор поставить на проходную и почему лицо убирает передачу пропуска, мы разбирали в сравнении турникета с лицом и картой.