Как работает проверка активности: пассивная и активная (RU)

Обнаружение активности — это биометрическая проверка, которая подтверждает, что человек в кадре камеры реален и физически присутствует, а не является фотографией, маской или синтетическим видео. Это технический уровень, который отличает «лицо появляется на изображении» от «живой человек действительно находится там».

Без этого подделать сопоставление лиц очень просто. Злоумышленник с фотографией цели — свободно доступной в социальных сетях или в базе данных утечек — может поднести ее к камере и пройти проверку сопоставления лиц. Обнаружение атак презентации, или PAD, — это дисциплина, которая закрывает этот пробел. Модули проверки активности Didit работают в каждой сессии верификации и выдают решение менее чем за 2 секунды.

Ключевые выводы

• Обнаружение активности отвечает на один вопрос: присутствует ли живой человек перед камерой прямо сейчас?
• Пассивная проверка активности (0,10 $) не требует действий пользователя — модель анализирует один снимок на наличие признаков жизни.
• Активная проверка активности (0,15 $) предлагает выполнить действие — повернуться, моргнуть или следить за целью — и проверяет реальную физическую реакцию.
• PAD (Presentation Attack Detection) — это стандарт ISO/IEC 30107-3, который определяет типы атак и пороги принятия.
• Пассивная проверка активности Didit сертифицирована iBeta по уровню 1 PAD: 0% успешных атак и 0% IAPAR (Impostor Attack Presentation Accept Rate) за 360 попыток.
• Полный основной процесс KYC (Знай своего клиента) — верификация личности + пассивная проверка активности + сопоставление лиц + анализ IP — стоит 0,33 $, с 500 бесплатными проверками каждый месяц.

Что такое обнаружение активности?

Обнаружение активности — это часть биометрического процесса, которая проверяет, является ли субъект реальным, физически присутствующим человеком, а не подделкой. Формальный термин для этой области — Обнаружение атак презентации (PAD), стандартизированное в ISO/IEC 30107-3. Система PAD классифицирует каждую сессию как подлинную или как атаку презентации: попытку обмануть биометрический датчик, представив что-либо, кроме живого лица.

Основным показателем производительности является IAPAR — Impostor Attack Presentation Accept Rate. Он измеряет долю попыток спуфинга, которые система ошибочно классифицирует как подлинные. Чем ниже IAPAR, тем лучше; 0% означает, что система отклонила каждую атаку в тестовом наборе.

Почему это важно

Само по себе сопоставление лиц задает вопрос: соответствует ли это лицо эталонному изображению? Оно не задает вопрос: это живой человек? Это разные вопросы. Мошенник, получивший фотографию документа — из утечки данных, профиля в социальных сетях или фишингового скана удостоверения личности, — может ответить на первый вопрос, не присутствуя при этом вообще.

Проверка активности закрывает этот пробел. В сочетании с проверкой документов и сопоставлением лиц она составляет трехстороннюю проверку, которая лежит в основе регулируемого KYC: правильный документ, правильное лицо и живой человек, держащий их вместе.

Регуляторы все чаще ссылаются на биометрическую проверку активности в рамках дистанционной идентификации. Общий процесс верификации Didit получил аттестацию Tesoro/SEPBLAC/CNMV — единственный провайдер, официально аттестованный правительством государства-члена ЕС как более безопасный, чем личная идентификация — и проверка активности является основным компонентом этой гарантии.

Пассивная проверка активности: как это работает

Пассивная проверка активности ничего не требует от пользователя. Человек смотрит в камеру; система захватывает кадр или короткую последовательность и анализирует ее без каких-либо подсказок.

Анализ выходит далеко за рамки проверки обнаружения лица. Модель ищет сигналы, которые отличают реальную трехмерную поверхность от плоской репродукции: микротекстура кожи по сравнению с бумагой или экраном, подсказки глубины в освещении и тенях, то, как свет отражается от изогнутого лица по сравнению с плоской подложкой, и естественные микродвижения — непроизвольные микроморгания, движение дыхания — которые статические изображения не могут воспроизвести.

Результатом является классификация (подлинная или атака) плюс оценка достоверности, возвращаемая менее чем за 2 секунды. Поскольку пассивная проверка активности не требует действий пользователя, она легко интегрируется в любой процесс регистрации с минимальными препятствиями.

Обнаруживает: печатные фотографии, экраны, воспроизводящие лицо, воспроизведение видео, снятого без конкретной задачи в реальном времени.

Лучше всего подходит для: регистрации потребителей, подтверждения возраста, повторной аутентификации — любого процесса, где препятствия влияют на конверсию.

Активная проверка активности: как это работает

Активная проверка активности добавляет этап выполнения задания в реальном времени. Система предлагает пользователю выполнить физическое действие: повернуть голову под определенным углом, моргнуть, улыбнуться или отследить движущуюся точку на экране. Отклик записывается и сопоставляется с тем, что произвел бы живой, физически присутствующий человек.

Задача рандомизируется для каждой сессии. Напечатанная фотография не может повернуть голову. Предварительно записанное видео не может соответствовать задаче, для которой оно не было снято. Это делает активную проверку активности более устойчивой к атакам повтора и синтетическому видео раннего поколения.

Обнаруживает: все, что обнаруживает пассивная проверка, плюс некоторые атаки повтора, когда злоумышленник использует предварительно записанное видео для спуфинга сессии.

Лучше всего подходит для: процессов с высоким риском — финансовая регистрация с требованиями AML (борьба с отмыванием денег), восстановление ценных учетных записей, регулируемая регистрация криптовалют.

Примеры использования

Регистрация потребителей в сфере финтех. Необанки и платежные платформы используют пассивную проверку активности в основном процессе KYC, чтобы каждый новый пользователь был подтвержден как живой человек до активации учетной записи. Общая стоимость 0,33 $ делает это жизнеспособным в масштабе.

Соответствие требованиям криптобирж и VASP. Биржи и поставщики услуг виртуальных активов, сталкивающиеся с требованиями FATF, нуждаются в биометрической гарантии, которая выдерживает проверку регулирующих органов. Активная проверка активности является адекватным уровнем.

Цифровые услуги с возрастными ограничениями. Игры, потоковые сервисы и регулируемые потребительские платформы, использующие оценку возраста по лицу, нуждаются в проверке активности, чтобы подтвердить, что анализируемое лицо принадлежит живому человеку перед камерой, а не поднятой фотографии.

Повторная аутентификация учетной записи. Когда пользователь инициирует действие высокой ценности — крупный перевод, изменение учетных данных — биометрическая аутентификация (0,10 $) в сочетании с проверкой активности повторно подтверждает, что зарегистрированный пользователь физически присутствует, а не злоумышленник, захвативший учетную запись с доступом к устройству.

Как Didit помогает

Проверка активности выполняется в рамках сессии верификации Didit — не как отдельный автономный вызов. Интеграция работает следующим образом:

1. В консоли Business Console откройте Workflow Builder и добавьте Пассивную проверку активности или Активную проверку активности в свой рабочий процесс наряду с верификацией личности и сопоставлением лиц.
2. Из вашей бэкенд-системы создайте сессию: POST /v3/session/ с workflow_id, vendor_data и callback_url.
3. Перенаправьте пользователя на session.url — размещенный пользовательский интерфейс Didit обрабатывает доступ к камере, захват и запуск модели PAD. Для добавления проверки активности в существующий процесс не требуется никаких изменений в SDK на стороне клиента.
4. Получите результат через веб-хук (session.status.updated) или опросите GET /v3/session/{sessionId}/decision/. Массив liveness_checks[] в ответе содержит статус, оценку достоверности и обнаруженный тип атаки, если применимо.

Workflow Builder позволяет настроить ветвление по результату проверки активности: направить DECLINED на ручной просмотр, разрешить одну повторную попытку или жестко отклонить — все это без развертывания кода.

Часто задаваемые вопросы

В чем разница между пассивной и активной проверкой активности?

Пассивная проверка активности анализирует один снимок без запроса пользователя. Активная проверка активности предлагает выполнить задание в реальном времени — повернуться, моргнуть или отследить — на которое должен отреагировать живой человек. Пассивная проверка имеет меньшее сопротивление; активная обеспечивает более высокую гарантию от атак повтора.

Что означает iBeta Level 1 PAD?

iBeta — это независимая лаборатория, аккредитованная NIST. Тестирование Level 1 PAD охватывает атаки с использованием печатных фотографий, воспроизведения с экрана и предварительно записанного видео в соответствии с ISO/IEC 30107-3. Didit достиг 0% успешных атак и 0% IAPAR за 360 протестированных попыток. Уровень 2 расширяет охват до 3D-масок и протезов — отдельный, более требовательный тест, который Didit в настоящее время не заявляет.

Сколько стоит проверка активности?

Пассивная проверка активности стоит 0,10 $ за проверку; активная проверка активности — 0,15 $. Обе учитываются в 500 бесплатных проверках, включенных каждый месяц — без минимумов, без платы за место.

Предотвращает ли проверка активности атаки с использованием дипфейков?

PAD решает проблемы атак, когда артефакт представляется перед физической камерой. Атаки инъекции — когда синтетическое видео подается непосредственно в конвейер захвата, минуя камеру — это отдельный класс угроз, требующий дополнительных слоев сигнала. См. руководство по обнаружению атак инъекции, чтобы узнать, как Didit решает обе проблемы.

Заменяет ли проверка активности проверку документов?

Нет. Проверка активности подтверждает присутствие живого человека; она не подтверждает, кто он. Проверка документов и сопоставление лиц устанавливают личность; проверка активности подтверждает присутствие. Все три вместе составляют безопасный KYC.

Готовы начать?

• Изучите функцию → Документация по обнаружению активности
• Посмотрите на платформе → Страница продукта «Верификация личности»
• Проверьте цену → Цены — Пассивная проверка активности 0,10 $, Активная проверка активности 0,15 $, 500 бесплатных/месяц
• Начните бесплатно → business.didit.me