ТОЧНОСТЬ И БЕЗОПАСНОСТЬ БИОМЕТРИЧЕСКИХ СИСТЕМ КОНТРОЛЯ ДОСТУПА

Ошибки биометрических систем

Э.О. Руковод

Сопоставление биометрических образцов. Рассмотрим процесс верификации, который соответствует задаче классификации входных образов на два класса: «свой» и «чужой». Он реализуется простейшим типом биометрического мэтчера, который проводит сравнение двух образцов по принципу 1:1 для определения величины их сходства s. Величина сходства s в конечном итоге определяет, действительно ли оба образца принадлежат одному «реальному» объекту.

Обозначим два «реальных» образца как р и (3', а связанные с ними машинные репрезентации, - как В = f (р) и В' = f (р'), где f- процесс получения образцов р и р’ сенсором и извлечение из них необходимых отличительных свойств В и В' в экстракторе свойств. В общем случае реальные биометрические параметры р и р' - это функции времени. Кроме того, функция считывания f тоже зависит от времени, в течение которого происходит считывание, а также других факторов окружающей среды, поэтому обозначим эту функцию как f_t. Таким образом, машинные репрезентации В и В’ также являются функциями времени, т. е.:

Из этого следует, что уникальность биометрического параметра р и уникальность репрезентации В этого параметра на самом деле не являются бесспорными. Причем степень уникальности с течением времени сильно варьируется для разных биометрических идентификаторов (например, для пальца и лица). Поэтому масштабируемость свойств разных биометрических параметров очень различается.

Устройство для сопоставления биометрических образцов принимает решение, вычисляя вероятность того, что два представленных образца параметров двух человек (Объект 1 и Объект 2) являются одинаковыми, т. е. объекты 1 и 2 - это одна и та же личность. Вычисление вероятности сходства реализуется на базе алгоритма измерения сходства. В свою очередь, измерение сходства зависит от точности считывающего устройства и точности получения машинной репрезентации биометрического образца.

Независимо от типа биометрического идентификатора, биометрический параметр обрабатывается путем подсчета величины сходства s{В, В') на основе восприятия входных данных р и р':

На рис. 4.1 показано устройство для сопоставления биометрических образцов, реализующее вычисление величины сходства s(В, В').

Рис. 4.1. Устройство для сопоставления биометрических образцов

Будем полагать, что В - зарегистрированный (в момент времени t) образец (эталон), который изменяется только при определенных обстоятельствах, а В’ «живой» образец, требующий сопоставления с эталоном В. Величина s(?, В') только выражает некоторую степень сходства (подобия), при которой настоящие биометрические параметры р и (3' можно считать одинаковыми.

Если есть возможность применить вероятностный мэтчер, то s(В, В') можно получить путем подсчета вероятности р(р = р’), но в общем случае имеется мало информации о степени сходства, кроме того, что оно монотонно возрастает с увеличением вероятности.

Другой способ вычислить величину сходства - это определить расстояние d(B, В’) между образцами В и В' в некотором векторном пространстве биометрических свойств. Его можно преобразовать в величину сходства следующим соотношением:

То есть величина расстояния d(В, В’), изменяющаяся в диапазоне [О, оо), соответствует величине сходства s(В, В’) по вероятности [0, 1].

Два вида ошибок. При определении величины сходства s(?, В') образцов В (эталона) и В' («живого» образца) мэтчер, по существу, проверяет две гипотезы:

Н₀ - нулевая гипотеза: образцы одинаковы;

Н - альтернативная гипотеза: образцы неодинаковы.

При проверке гипотез Но и Н_х возможны следующие четыре ситуации.

• 1. Предъявленный образец В' на самом деле тождественен эталону В (гипотеза Но) и мэтчер принимает правильное решение, считая их тождественными, т. е. гипотеза Я₀ им верно принята.
• 2. Предъявленный образец В’ на самом деле тождественен эталону В (гипотеза Я₀), но мэтчер ошибается, считая их не тождественными, т. е. гипотеза Но им неверно отвергнута.
• 3. Предъявленный образец В' на самом деле не тождественен эталону В (гипотеза Н_х) и мэтчер принимает правильное решение, считая их не тождественными, т. е. гипотеза Н им верно принята.
• 4. Предъявленный образец В' на самом деле не тождественен эталону В (гипотеза Н_х), но мэтчер ошибается, считая их тождественными, т. е. гипотеза Н им неверно отвергнута.

При этом возникают два вида ошибок, которые может сделать мэтчер:

• • Ложное различие (ЛР) - решение, что биометрические параметры принадлежат разным людям, хотя на самом деле они принадлежат одной личности.
• • Ложное сходство (ЛС) - решение, что биометрические параметры принадлежат одной личности, хотя на самом деле это не так.

При указанной выше трактовке гипотез Но и Н_х ошибки мэтчера ЛР и ЛС называют соответственно ошибками первого и второго рода.

При выборе одной из гипотез мэтчер вычисляет величину сходства между образцами р’ и р по их машинным репрезентациям Е и В. Затем величина сходства s(В В) сравнивается с заданным порогом Г и по результату сравнения мэтчер принимает решение типа «да/нет»:

"Яо как истинную, если s(B В) > Т,

Принять гипотезу _ч

Я_Акак истинную, если s(B В) < Т.

Такое решение относятся к так называемым «тяжелым» решениям. В этом случае приложение не может выдавать никакие другие более «мягкие» решения типа: «различие невелико», «различие большое», «невозможно точно определить».

Достоверность величины различия при сравнении двух биометрических образцов зависит от многих факторов. Существует изменчивость входных сигналов для реальных биометрических образцов (3 и р', различие между сенсорами. Особенно много вариаций возникает в процессе получения машинных репрезентаций В = f (Р) и В' = f (р'), поскольку объект может представить реальные биометрические параметры р и Р' в разных условиях. Поэтому при получении и сопоставлении биометрических образцов вероятно появление гораздо большего числа вариантов, чем в других методах аутентификации. Например, при аутентификации с помощью пароля, ошибка может возникнуть только при неправильном вводе пароля.

Если получены два образца р и р’ одного и того же биометрического параметра одной личности, то величина сходства s(B В) не равна величине, выражающей полное сходство, кроме того случая, когда образцы являются копией друг друга. Точно так же, когда есть два образца Р и р' одного и того же биометрического параметра двух разных людей, то величина сходства s(В В) не равна минимальной возможной величине.

Процедуру сопоставления двух образцов Р и р' одного и того же биометрического параметра можно отобразить в виде наложения плотностей распределения />i(s) (величины различия) и p₂(s) (величины сходства), которые обладают существенно различными статистическими характеристиками (математическими ожиданиями и дисперсиями). При этом порог Т для величины сходства s(В В) выбирается так, чтобы соблюсти нужный баланс между ошибками 1-го и 2-го рода (рис. 4.2).

Существуют три возможных варианта выбора порога Т:

a) если порог Т расположен левее точки пересечения характеристик Р{$) и p₂(s то ошибка 1-го рода будет меньше ошибки 2-го рода;

b) если порог Т расположен правее точки пересечения характеристик ^i(s) и р₂(у> то ошибка 2-го рода будет меньше ошибки 1-го рода;

c) если порог Т расположен в точке /?i(s) = p₂(s), то ошибки 1-го и 2-го рода будут равны.

В системах информационной безопасности цена ошибки 2-го рода оказывается, как правило, выше цены ошибки 1-го рода, поэтому чаще выбирают вариант Ь. Вместе с тем из-за сложности выработки и реализации конкретных требований к соотношению ошибок аутентификации, для отдельных биометрических признаков достаточно часто используют компромиссный вариант с.

Рис. 4.2. Плотности распределения/?i(s) (величины различия) и p₂(s) (величины сходства)

Принимая во внимание механизм проверки гипотез Н₀ и Н_и можно более точно описать два типа ошибок мэтчера:

• • Ложное различие (ЛР) - принимается решение, что р' Ф Р, потому что sВ) < Т, хотя на самом деле р' = р. Гипотеза Н₀ признается ложной. Г ипотеза Hi принимается за истинную, хотя истинной является гипотеза Н₀.
• • Ложное сходство (ЛС) - принимается решение, что Р' = Р, потому что s В) > Г, хотя на самом деле р' Ф р. Г ипотеза Н₀ принимается за истинную, хотя истинной является гипотеза Н.

Ошибки мэтчера ЛР и ЛС привязаны к фиксированному моменту времени принятия решения. Однако при использовании биометрических систем на основе динамических параметров, характеризующихся значительной вариабельностью во времени, «одиночные» ошибки мэтчера не будут давать полной картины о степени сходства s сопоставляемых образцов Р и р В таких случаях принятие решения о степени сходства s образцов р и р' целесообразно выполнять за некоторый промежуток времени, достаточный для получения более достоверных результатов. Для этого используются характеристики, основанные на частоте появления ошибок:

• • частота появления ошибки ЛР называется коэффициентом ложного различия (КЛР);
• • частота появления ошибки ЛС называется коэффициентом ложного сходства (КЛС).

КЛР - это период времени, в течение которого биометрический образец В’ не совпадает с Л, в то время как (3' = (3. С точки зрения вероятности величина случайного сходства s вычисляется из распределения величины сходства/?_c(s) = /?(s|#oX когда s < Т (на рис. 4.2 область под кривой р_с(s) при s < 7). В таком случае КЛР можно выразить как функцию от Т:

КЛС - это период времени, в течение которого биометрический образец В^} совпадает с Л, в то время как (3' Ф (3. С точки зрения вероятности величина случайного сходства s вычисляется из распределения величины различий/?_p(s) = p(sH_A), когда s > Т(на рис.4.2 область под кривой p_v{s) при s > 7). В таком случае КЛС можно выразить как функцию от Т:

В биометрических приложениях распределение величины сходства /?_c(s) и распределение величины различия р_р(s) часто перекрывают друг друга (см. рис. 4.2). В таких случаях становится невозможным найти такую пороговую величину Г, при которой КЛР = 0 и КЛС = 0. Поэтому пороговая величина Т выбирается так, чтобы соотношение ошибок первого и второго рода было оптимальным.

Пороговая величина Т устанавливает компромисс между КЛС(7) и КЛР(7). При работе мэтчера с высокой Т получаем низкий КЛС, но высокий КЛР; низкая величина Т соответственно дает высокий КЛС и низкий КЛР.

Рабочие характеристики мэтчера. Если предположить, что КЛС(7) и КЛР(7) могут быть вычислены для любых значений Г, то функции КЛС(7) и КЛР(7) показывают долю ошибок при некоторой величине Т. Зависимости КЛС(7) и КЛР(7) можно представить, как двумерную характеристическую кривую (рабочую характеристику) мэтчера (РХМ):

Пример характеристической кривой РХМ(7) показан на рис. 4.3.

Из рис. 4.3 следует, что при низкой пороговой величине Г, КЛС будет высоким, а КЛР - низким и, наоборот, при высокой пороговой величине Г, КЛР будет тоже высоким, а КЛС - низким.

Рис. 4.3. Характеристическая кривая РХМ(7)

Мэтчер может работать, используя любую пороговую величину Г, которая является точкой на кривой РХМ. Это рабочая точка мэтчера, ее можно установить, выбрав любую из трех величин Г, КЛС или КЛР, а две другие тогда будут определяться автоматически. Рабочая точка мэтчера часто рассчитывается через Г, так как ее можно задать в настройках, а КЛС и КЛР вычисляются уже на основе Т. С другой стороны, когда формулируются требования биометрического приложения или когда происходит сравнение двух мэтчеров, рабочая точка устанавливается путем выбора КЛС или КЛР, так как пороговая величина это число, которое имеет значение только для отдельного мэтчера.

Большинство биометрических идентификаторов не могут гарантировать низкий коэффициент ошибок, достаточный для того, чтобы приложение было и безопасным (с низким КЛС), и удобным (с низким КЛР) одновременно. Предположим, например, что у нас есть точная кривая РХМ. Рис. 4.3 показывает, что мы можем выбрать одну из двух возможностей:

• • зафиксировать вероятность ложного сходства на некой (низкой) отметке КЛС = jci, при этом вероятность ложного различия определится как КЛР = _Уь
• • установить вероятность ложного различия на некой (низкой) отметке КЛР = у₂, при этом вероятность ложного сходства определится как КЛС = х₂.

Чтобы достичь «оптимального» соотношения между вероятностями ложного сходства и ложного различия, нужно получить тестовые данные и подсчитанные коэффициенты ошибок мэтчера, а затем выбрать рабочую точку, которая определяется пороговой величиной Т. Эту процедуру настройки мэтчера можно рассматривать как обучение на основе РХМ.

Сравнение мэтчеров. Так как кривая РХМ точно и детализировано характеризует работу отдельного мэтчера, она оказывается очень полезной в случае сравнения двух мэтчеров. Наиболее часто задаваемым вопросом в биометрии является следующий: есть два мэтчера а и б, как определить какой из них является более точным?

На этот вопрос редко можно ответить однозначно, так как ответ обычно зависит от рабочих точек мэтчеров. Кривая РХМ показывает соотношение между КЛС и КЛР при разных пороговых величинах, но работающий мэтчер принимает решения только при определенной величине Т и будет иметь определенные КЛС(7) и КЛР(7).

На рис. 4.4 показаны характеристические кривые РХМ двух мэтчеров и их рабочие точки при определенном КЛР. На графике видно, что мэтчер б всегда работает лучше мэтчера а, потому что при любом КЛС он имеет более низкий КЛР и, наоборот, при любом КЛР имеет более низкий КЛС. Это редкий случай, когда можно точно сказать - какой мэтчер лучше.

Очевидно, что при желании можно сделать КЛС или КЛР мэтчера а ниже, чем у мэтчера б, выбрав для мэтчеров разные рабочие точки, но это нельзя сделать для обоих коэффициентов одновременно. Таким образом, для характеристики качества работы мэтчера нужно гарантировать, что КЛС и КЛР были измерены в одной и той же рабочей точке.

Теперь рассмотрим две другие кривые РХМ, показанные на рис. 4.5.

Можно заметить, что в определенной рабочей точке (КЛСо, КЛРо) оба мэтчера одинаково точны. В рабочей точке КЛС1 мэтчер а более точен, чем мэтчер б, а в рабочей точке КЛС₂ все наоборот. Поэтому для данного примера можно заключить, что, если необходим низкий КЛС (ниже, чем КЛС₀), лучше использовать мэтчер а, например, в рабочей точке КЛС_Ь С другой стороны, если нужен низкий КЛР (ниже, чем КЛР₀), лучше выбрать мэтчер б, например, в рабочей точке КЛС₂.

Рабочая точка равных ошибок, как показано на рис. 4.5, соответствует коэффициенту равной вероятности ошибок (КРО), который является простым способом оценить качество мэтчера. Точка равных ошибок биометрического мэтчера (РО) это рабочая точка на кривой РХМ, в которой КЛС = КЛР. На рис. 4.5 коэффициент равных ошибок КРО_а мэтчера а очевидно меньше, чем коэффициент равных ошибок КРО^ мэтчера б.

Рис. 4.4. РХМ(7) двух мэтчеров аб примерные рабочие точки, установленные при помощи контрольного КЛР

Рис. 4.5. Качество работы мэтчера зависит от выбранной рабочей точки

КРО может точно указать, что один мэтчер лучше другого, но это актуально только в узких пределах рабочих точек: КЛС е [КРО_а, КРО^] или КЛР е [КРО_а, KPOj]. За этими пределами РХМ могут пересекаться, и тогда решение, принятое на основе КРО, будет неверным. Часто мэтчеры работают с далеко не равнозначными КЛС и КЛР, что делает КРО ненадежной характеристикой для оценки работы мэтчера.

Другой способ оценки качества мэтчера - измерение расстояния d между вероятностью распределения величины различия /?_р(s) и вероятностью распределения величины сходстваp_c(s) (см. рис. 4.2):

где д_р, д_с - среднее значение величин различия и сходства;

Ор, а_с - отклонение величин различия и сходства.

На рис. 4.6 показаны распределение вероятности различия р_р(s) и сходства p_c(s) для двух мэтчеров, которые при равных значениях р_с и разных значениях <т_р, а_с имеют равные расстояния d. Это обусловлено тем, что гауссово распределение с одинаковыми средними и разными отклонениями дает одно и то же расстояние d, порождая разные РХМ (рис.4.7).

Рис. 4.6. Распределение вероятности различия р_р(s) и сходства р_с(s)

для двух мэтчеров а и b

Рис. 4.7. РХМ(Г) мэтчеров а и б

Измерение расстояния d дает возможность сравнивать мэтчеры, но только при условии, что в их работе наблюдается большая разница.

Рис. 4.6-4.7 показывают, что относительная эффективность мэтчеров с одинаковым d зависит от выбранной рабочей точки. Очевидно, что РХПУ для двух мэтчеров будут разными и пересекающимися, поэтому выбор мэтчера зависит от рабочей точки. Небольшое изменение параметров даст другое расстояние d, величина которого будет или не будет соответствовать характеристикам мэтчеров, в зависимости от выбранной рабочей точки: мэтчер, имеющий большее d, может работать хуже в довольно большом диапазоне рабочих точек, даже в точке равных ошибок или в точке минимально ожидаемых ошибок.

Положительная биометрическая аутентификация. Положительная аутентификация, в зависимости от назначения биометрической системы, может быть реализована как верификация (верификационные биометрические системы) и как идентификация (идентификационные биометрические системы).

В верификационных системах для претендующей на доступ личности проверяется «та ли это личность, за которую она себя выдает». В идентификационных системах для претендующей на доступ личности проверяется «зарегистрирована ли эта личность в ББД системы».

Положительные и верификационные, и идентификационные БСКД могут совершать два вида ошибок - ложный доступ и ложный отказ уступа:

• • Ложный доступ (ЛД) - принятие (заявленной) личности за истинную, хотя на самом деле это не так; принятие гипотезы Н₀, хотя истинной является гипотеза Н. Частота появления ошибок ложного доступа называется коэффициентом ложного доступа (КЛД).
• • Ложный отказ доступа (ЛОД) - принятие (заявленной) личности за неподлинную, хотя на самом деле она таковой не является; принятие гипотезы Н, хотя истинной является Н₀. Частота появления ошибок ложного отказа называется коэффициентом ложного отказа доступа (КЛОД).

В случае ложного доступа не зарегистрированная в базе данных личность получает доступ к приложению, а в случае ложного отказа возникает проблема с удобством использования системы, когда легитимным пользователям отказывается в доступе к приложению или предписывается пройти дополнительную проверку.

Отрицательная биометрическая аутентификация. До сих пор гипотеза Н₀ принималась за «положительное утверждение». Вместе с тем возможен сценарий отрицательной аутентификации, когда гипотезы Н₀, Н изменяются на противоположные. Рассматривая два биометрических образца, мы можем построить две альтернативные гипотезы:

Но - нулевая гипотеза: образцы неодинаковы;

Н_А - альтернативная гипотеза: образцы одинаковы.

Путем вычислении величины сходства s(B, В'} биометрический мэтчер определяет, какая из гипотез истинная.

Такое биометрическое приложение проверяет истинность того, что представленный образец не принадлежит некоторому субъекту. Например, это может быть преступник из «списка наблюдения» с реальным биометрическим параметром р' и биометрическим образцом В. Проверка гипотез определяет открыто или тайно (путем наблюдения), что биометрический параметр р’ не является разыскиваемым параметром р. Гипотезы формулируются следующим образом:

Такие возможности часто относят только к биометрической идентификации. Тем не менее, когда говорится о тестировании гипотез, имеется в виду сопоставление 1:1с ошибками, которые определяются отдельно. Проверка указанных гипотез выполняется с целью выявить наличие в ББД системы биометрического параметра (3.

Существует два условия возникновения ошибок при отрицательном аутентификационном сценарии. То есть во время принятия решения могут быть допущены два типа ошибок:

• • ложно не замеченный параметр (3;
• • неверное соотнесение объекта р' с биометрическим параметром р.

Если пользоваться терминологией из теории обнаружения, эти ошибки

называются ложным отрицанием и ложным признанием соответственно:

• • Ложное отрицание (ЛО) - решение, что объект является легитимным, хотя на самом деле, он относится к «разыскиваемым» объектам с биометрическим параметром р; т. е. принимается гипотеза Н₀, хотя истинной является Hi. Частота, с которой появляется данная ошибка, называется коэффициентом ложного отрицания (КЛО).
• • Ложное признание (ЛП) - решение, при котором объект принимается за «разыскиваемого» объекта, имеющего параметр р, хотя на самом деле он является легитимным; т. е. принимается гипотеза Н_ь хотя истинной является Н₀ (этот случай также называется ложной тревогой). Частота, с которой появляется данная ошибка, называется коэффициентом ложного признания (КЛП).

Ложное отрицание приводит к тому, что нежелательная личность получает доступ к приложению и может возникнуть нарушение системы безопасности.

Ложное признание приводит только к неудобствам, так как легитимным объектам отказывается в доступе, вследствие чего требуется дальнейшая биометрическая или какая-либо другая проверка для получения доступа.

На рис. 4.8 показаны распределение /?₂(s) множества легитимных объектов и распределение/>i(s) множества нежелательных субъектов.

Разница между отрицательным и положительным аутентификационным приложением заключается в том, что ошибки несовпадения при отрицательной аутентификации ведут к ложному отрицанию, тогда как при положительной аутентификации ошибки несовпадения ведут к ложному отказу. Поэтому, если требуется высокий уровень безопасности, рабочая точка Т для отрицательной аутентификации будет находиться ниже, чем для положительной аутентификации, чтобы уменьшить количество ложных отрицаний.

Рис. 4.8. Распределение pi6>) множества легитимных объектов и распределение /?i(s) множества нежелательных объектов

Термины «ложное признание» (ЛП) и «ложное отрицание» (ЛО) используются исключительно для «сортировочных» приложений (т.е. - отрицательной идентификации). Термины «ложный доступ» (ЛД) и «ложный отказ доступа» (ЛОД) используются для положительной аутентификации (верификации или идентификации).

Компромиссы при выборе мэтчеров. Два типа ошибок, которые способна допустить верификационная система, могут иметь разные последствия, затрагивающие разных людей. Ложный доступ означает вхождение в систему неавторизованной личности, что снижает безопасность системы. Ложный отказ доступа означает, что авторизованный пользователь не может попасть в систему, это не влияет на безопасность, но причиняет беспокойство пользователю и может иметь другие последствия, препятствуя человеку заниматься своими делами.

Поэтому компромисс между КЛС и КЛР - это компромисс между безопасностью и удобством. Если взять эти крайности и установить КЛС = 1, то получится, что КЛР = 0, т. е. система будет очень удобной, но абсолютно ненадежной, и доступ будет предоставляться всем желающим. И наоборот, установив КЛР = 1, получим КЛС = 0, тогда система будет абсолютно безопасной, но ни один человек не сможет получить в нее доступ.

Удобство аутентификации это степень легкости, с которой правильно зарегистрированный пользователь проходит аутентификацию и получа4.1. Ошибки биометрических систем

ет доступ к приложению. Это понятие включает в себя готовность системы к работе, протекание самого процесса аутентификации, обработку исключительных случаев и случаи ложного различия (ложный отказ доступа).

Высокий КЛР будет создавать неудобства для легитимных пользователей, поэтому удобство аутентификационной системы можно определить как:

С другой стороны, высокий уровень безопасности верификационных систем будет обеспечен при высоком КЛС:

Следовательно, компромисс между безопасностью и удобством присутствует в любой биометрической системе, его можно показать при помощи РХМ.

Очевидно, что использование одного и того же биометрического мэт- чера в качестве и безопасного, и удобного приложения в большинстве случаев будет не самым лучшим вариантом. Более приемлемым решением компромисса между удобством и безопасностью будет использование двух мэтчеров с различными РХМ (рис. 4.9).

Рис. 4.9. РХМ мэтчеров aw 6

Кривая РХМ мэтчера а соответствует более безопасному мэтчеру, так как для низкого КЛС, близкого к оси у, связанный с ним КЛР ниже, чем эти же параметры мэтчера б. Если удобство важно, мэтчер б может быть настроен для работы в области низкого КЛР (кривая РХМ приближается к оси х) или в области повышенного уровня удобства. В этой области мэтчер б имеет более низкий КЛС.

Обычно при разработке биометрической системы ее рабочая точка выбирается путем установки КЛС (для безопасности) или КЛР (для удобства), и поэтому только часть кривой РХМ основного мэтчера является важной. Некоторые биометрические системы создаются для работы только на одной рабочей точке кривой, другие системы могут быть предназначены для работы на нескольких рабочих точках.

Более того, рабочая точка не обязательно должна быть статичной. Например, биометрическая аутентификация в аэропортах в зависимости от демографических и других особенностей контингента может быть мультимодальной и работать на разных рабочих точках кривой РХМ.

Компромисс между КЛС и КЛР - это компромисс между безопасностью и удобством. Поэтому при разработке биометрической аутентификационной системы в первую очередь нужно решить вопрос: «Что важнее для данного приложения - безопасность или удобство»?