iBeta Level 1 PAD: 0% Успешных Атак из 360 Попыток (RU)

Соответствие лица настолько надежно, насколько надежна проверка живости. Если злоумышленник может использовать распечатанную фотографию, воспроизвести видео или надеть маску и пройти проверку, биометрия становится театром. Обнаружение атак предъявления (PAD) — это дисциплина, позволяющая отличить реального, присутствующего человека от подделки, а работоспособность системы PAD доказывается путем проведения независимой лабораторной атаки на нее.

Didit сделал именно это. Биометрическая система определения живости Didit прошла тестирование iBeta Level 1 Presentation Attack Detection в соответствии с ISO/IEC 30107-3, достигнув 0% успешных атак и 0% IAPAR за 360 попыток атаки, протестированных iBeta Quality Assurance — аккредитованной NIST/NVLAP лабораторией. В этом руководстве объясняется, что такое тестирование PAD, как iBeta его проводит и что именно означает результат Didit.

Ключевые выводы

• Didit прошел тестирование iBeta Level 1 PAD в соответствии с ISO/IEC 30107-3 — международным стандартом для обнаружения атак предъявления биометрических данных.
• 0% успешных атак / 0% IAPAR за 360 попыток атаки — каждая попытка подделки была корректно отклонена.
• Протестировано iBeta Quality Assurance, аккредитованной NIST/NVLAP испытательной лабораторией (код лаборатории 200962) — независимой третьей стороной, а не самооценкой.
• Результат — Уровень 1. Didit сообщает об Уровне 1 — он не заявляет об Уровне 2. Письмо о соответствии датировано 04.02.2026, после тестирования, проведенного с 05.01.2026.
• Сертифицированная система — это действующая система — биометрическая система определения живости Didit, те же пассивные и активные модули определения живости, которые вы интегрируете.

Что такое обнаружение атак предъявления

Атака предъявления — это любая попытка обойти биометрическую систему путем предъявления подделки датчику — распечатанной фотографии, экрана, воспроизводящего видео, бумажной маски, силиконовой маски, вырезки. Обнаружение атак предъявления (PAD) — это способность системы обнаруживать и отклонять эти подделки, при этом принимая подлинных, живых пользователей.

ISO/IEC 30107-3 — это международный стандарт, который определяет, как объективно тестировать систему PAD. Вместо того чтобы позволять поставщику описывать свою защиту от спуфинга маркетинговым языком, стандарт устанавливает структурированную методологию: определенный набор типов атак («видов»), набор подлинных субъектов и метрики, которые количественно определяют, как часто атаки успешны и как часто реальные пользователи ошибочно отклоняются. Заголовочная метрика для стороны злоумышленника — это IAPAR — Impostor Attack Presentation Accept Rate, доля презентаций атак, которые система ошибочно принимает. Чем ниже, тем лучше; 0% означает, что ни одна атака не прошла.

Как iBeta проводит тест

iBeta Quality Assurance — одна из лабораторий, проводящих оценки PAD по ISO/IEC 30107-3, и она аккредитована NIST/NVLAP (код испытательной лаборатории 200962) — это означает, что национальная программа аккредитации подтвердила компетентность лаборатории в проведении этих тестов. Эта аккредитация делает результат достоверным: атаки разрабатываются и выполняются независимой экспертной лабораторией, а не поставщиком.

Для оценки Didit тест был структурирован следующим образом:

• 6 зарегистрированных субъектов, каждый из которых выполнил 5 успешных подлинных аутентификаций, чтобы убедиться, что реальные пользователи проходят проверку.
• 6 видов атак предъявления, каждая из которых была предпринята 10 раз на каждого субъекта — что привело к 360 общим попыткам атаки (6 видов × 10 попыток × 6 субъектов).
• Тестируемой системой была Didit Biometric Authentication v2.0, доступ к которой осуществлялся через нативный Safari на Apple iPhone 13 Pro под управлением iOS 18.4.1, с серверными облачными компонентами — реальная конфигурация устройства и облака.
• Период тестирования: с 05.01.2026 по 04.02.2026, с письмом о соответствии, датированным 04.02.2026, подписанным директором по биометрии iBeta.

Результат: 0% успешных атак PA / 0% IAPAR. Из всех 360 попыток атаки ни одна подделка не была принята. Система соответствует ISO/IEC 30107-3 Уровень 1.

Уровень 1 против Уровня 2 — честное заявление

Тестирование PAD по ISO/IEC 30107-3 имеет уровни, которые различаются по сложности атак, направленных на систему. Уровень 1 использует легкодоступные, недорогие инструменты для атак предъявления. Уровень 2 включает более сложные, изготовленные на заказ инструменты.

Результат Didit — Уровень 1, и Didit сообщает об этом как об Уровне 1 — а не об Уровне 2. Типовой 12-месячный цикл повторного тестирования для таких писем означает, что следующая оценка должна быть проведена примерно 04.02.2027, после чего можно будет рассмотреть обновление до Уровня 2. Точность в отношении уровня имеет значение: покупатель, оценивающий заявления о защите от спуфинга, должен быть уверен, что «Уровень 1» означает Уровень 1.

Почему это важно

Определение живости — это контроль, который останавливает наиболее распространенное — и наиболее масштабируемое — мошенничество с идентификацией: предъявление чужой фотографии или дипфейк-видео вместо физического присутствия. Для регулируемого процесса регистрации сила определения живости напрямую влияет на то, насколько уверенно вы можете полагаться на биометрию, и регулирующие органы все чаще ожидают, что защита от спуфинга будет доказана, а не просто заявлена.

Независимый результат теста PAD превращает заявление о защите от спуфинга в доказательство. «Наша живость надежна» — это маркетинг. «0% успешных атак за 360 попыток в аккредитованной оценке iBeta Level 1 по ISO/IEC 30107-3» — это факт, который команда по соблюдению нормативных требований может привести в анкете по безопасности или в представлении регулирующему органу.

Как Didit помогает

Независимо протестированная живость в продукте. Биометрическая система определения живости, оцененная iBeta, — это та же самая система, которая обеспечивает работу процесса верификации Didit. Пассивная живость доступна по цене 0,10 доллара, а активная живость — 0,15 доллара, в сочетании с сопоставлением лиц (1:1) по цене 0,05 доллара — а полный базовый пакет KYC (верификация личности, пассивная живость, сопоставление лиц, IP-анализ) стоит 0,33 доллара за верификацию, с выводом менее чем за 2 секунды.

Распространяемый результат. Письмо о соответствии iBeta Level 1 PAD может быть распространено по запросу и доступно по ссылке с сайта Didit — поэтому оно может поддерживать заявления о биометрии и защите от спуфинга в маркетинге, анкетах по безопасности и представлениях регулирующим органам без соглашения о неразглашении.

Честная отчетность. Didit сообщает о полученном результате — Уровень 1, 0% IAPAR за 360 попыток — и не преувеличивает его как Уровень 2. Календарь продления отслеживает повторное тестирование, которое должно быть проведено примерно 04.02.2027.

Часть полного стека аттестации. Результат iBeta присоединяется к сертификации ISO/IEC 27001:2022 (сертификат № ES144068), аттестации SOC 2 Type 1 (безопасность, доступность, конфиденциальность) и заключению испанского государственного песочницы — которое само по себе основано на лицевой биометрии с активной живостью — что удаленная верификация Didit превосходит стандарты личной проверки. Биометрическая сила, измеренная тестом iBeta, является одной из причин, по которой это правительственное заключение было достижимо.

Сферы применения

• Регулируемая регистрация, где защита от спуфинга должна быть доказана надзорному органу или аудитору.
• Вертикали высокого риска (финтех, криптовалюты, iGaming), где атаки предъявления являются частым вектором мошенничества.
• Анкеты по безопасности, которые специально запрашивают результаты тестирования ISO/IEC 30107-3 PAD.
• Процессы подтверждения возраста и биометрической аутентификации, которые зависят от надежной проверки живости.

Часто задаваемые вопросы

Didit iBeta Уровень 1 или Уровень 2?

Уровень 1. Didit прошел тестирование iBeta Level 1 PAD по ISO/IEC 30107-3 с 0% успешных атак. Didit сообщает об Уровне 1 и не заявляет об Уровне 2; обновление до Уровня 2 может быть рассмотрено при следующем повторном тестировании.

Что означает 0% IAPAR?

IAPAR — Impostor Attack Presentation Accept Rate — это доля атак предъявления, которые система ошибочно принимает. 0% означает, что из всех 360 попыток атаки в оценке ни одна подделка не была принята.

Сколько атак было протестировано?

360 попыток атаки — 6 видов атак предъявления, каждая из которых была предпринята 10 раз, на 6 зарегистрированных субъектов.

Кто проводил тест?

iBeta Quality Assurance, аккредитованная NIST/NVLAP испытательная лаборатория (код лаборатории 200962), в соответствии с ISO/IEC 30107-3. Письмо о соответствии датировано 04.02.2026.

Могу ли я получить результат iBeta?

Да. Письмо о соответствии iBeta Level 1 PAD может быть распространено по запросу и доступно по ссылке из центра безопасности и соответствия Didit.

Готовы начать?

Ознакомьтесь с полным стеком аттестации Didit в центре безопасности и соответствия, изучите проверки живости и биометрии на странице продукта «Верификация личности» и ознакомьтесь с прозрачными ценами за проверку на странице цен. Когда будете готовы, начните бесплатно — 500 бесплатных проверок KYC каждый месяц, с живостью, протестированной iBeta Level 1, в каждом процессе.