Czy uwierzytelnianie odcisków palców jest bezpieczne?

Czy uwierzytelnianie systemu operacyjnego jest bezpieczniejsze przy użyciu czytnika linii papilarnych niż (silne) hasło? Czy można to łatwo zhakować?

Nawiasem mówiąc, gdzie jest przechowywany odcisk palca? Na chipie sprzętowym czy systemie plików?

Czy to zależy od sprzętu czytnika?

Czy to zależy od implementacji biblioteki / systemu operacyjnego?

Problem z większością systemów biometrycznych polega na tym, że są one z natury „hałaśliwe”, co wymaga oprogramowania do przesiewania szumu do prawdziwego sygnału. Hasło to kilka bajtów, w których dokładność musi być idealna. Biometryczny odcisk palca, skan tęczówki oka, skan siatkówki lub druk głosowy muszą mieć próg „wystarczająco blisko”, ponieważ dane biometryczne zmieniają się z dnia na dzień lub z tygodnia na tydzień. Pokonanie takich systemów wykorzystuje „wystarczająco blisko” charakter technologii uwierzytelniania biometrycznego.

Z tego powodu prosty biometryczny jest, moim zdaniem, mniej bezpieczny niż poprawnie wybrane hasło. Nie dotyczy to nawet szczegółów implementacji, takich jak możliwości przechwytywania / odtwarzania sygnału między skanerem a uwierzytelniaczem lub łatwe do obalenia czujniki przewodności skóry (poliż papier!).

W połączeniu z hasłem może zwiększyć bezpieczeństwo. Ale jak powiedziałem, nie należy go używać zamiast hasła.

Bezpieczeństwo skanera prawdopodobnie zależy w dużej mierze od jakości sprzętu. Domyślam się, że większość skanerów, które są obecnie wyposażone w laptopy, są dość tanie i nie są przeznaczone do sytuacji o wysokim poziomie bezpieczeństwa. Nawet wyższej jakości skanery przeznaczone do zamków drzwi nie są odporne na powielanie odcisków palców. Ten klip Mythbusters udowadnia to samo.

Jak powiedział Harley, wiele wyzwań jest zawsze bezpieczniejszych niż jedno wyzwanie.

Odciski palców są na ogół bezpieczniejsze niż hasło, ale wszystkie są względne.

Ale wiesz, co jest bezpieczniejsze niż odcisk palca? Odcisk palca i hasło. Coś, co masz plus coś, o czym wiesz, jest o wiele bezpieczniejsze niż jedno z nich.

Problem z wszystkimi danymi biometrycznymi polega na tym, że w przypadku naruszenia bezpieczeństwa materiałów (takich jak odciski palców, siatkówka lub DNA) bardzo trudno jest je zmienić.

Biometria jest formą identyfikacji, a nie uwierzytelnienia.

Edycja: W następnej kolejności znalazłem ten wspaniały artykuł: Uwierzytelnianie i identyfikacja.

• Czy uwierzytelnianie systemu operacyjnego jest bezpieczniejsze przy użyciu czytnika linii papilarnych niż (silne) hasło? Czy można to łatwo zhakować?

W pewnym momencie tak było. Od tego czasu opracowano kilka metod pokonania tańszych wersji tych skanerów.

Jeśli jest stosowany jako część procesu uwierzytelniania dwuskładnikowego lub wieloskładnikowego, to uważam, że zwiększy bezpieczeństwo poprzez zwiększenie trudności wejścia. Oto ktoś o tym dyskutuje .

• Nawiasem mówiąc, gdzie jest przechowywany odcisk palca? Na chipie sprzętowym czy systemie plików?

Zazwyczaj system plików. Wiele skanerów po prostu zmienia wrażenie w skrót, który jest przesyłany do komputera-hosta. Kronos Touch ID to rozwiązanie korporacyjne przeznaczone do użytku jako zegar czasu; przechowuje dane w tabeli Paradox (!) jako skrót , więc jest całkiem jasne, skąd pochodzą ich marże zysku dzięki temu urządzeniu ...

• Czy to zależy od sprzętu czytnika?

Jest wielu czytelników, każdy z własnymi metodami. Chociaż nie mogę w tej sprawie rozmawiać z żadnym autorytetem, wydaje się, że „tak” jest całkiem dobrą odpowiedzią na to pytanie.

• Czy to zależy od implementacji biblioteki / systemu operacyjnego?

Ponownie myślę, że zależy to od rodzaju czytnika. Niektóre faktycznie przesyłają więcej niż skrót (rzeczywisty obraz odcisków palców), podczas gdy inne nie.

Bruce Schneier napisał świetną analizę biometrii, w której bada zalety i wady stosowania technik takich jak czytniki linii papilarnych do uwierzytelniania. Wskazuje, że odciski palców są trudne do sfałszowania, ale są łatwe do kradzieży. Osobiście tydzień, który spędziłem zamknięty z własnego serwera, po tym, jak wystarczająco mocno przeciąłem palec, aby uszkodzić mój odcisk palca, wystarczy, aby oderwać mnie od czytników odcisków palców.

Wrócę i edytuję ten adres URL, gdy tylko nie będę „nowym użytkownikiem”

http://www.schneier.com/blog/archives/2009/01/biometrics.html

Osobiście bardzo nie lubię biometrii. Gdybym wydawał pieniądze na system odcisków palców, wolałbym użyć PKI i hasła + certyfikatu dla dowodu osobistego.

W zależności od zastosowania i wymaganego poziomu bezpieczeństwa biometria może mieć dosłownie fatalną wadę. Udawajmy, że źli naprawdę chcą tego, co jest chronione przez system bezpieczeństwa, i są gotowi porwać i / lub zabić kogoś, aby je zdobyć.

Czy uwierzytelnianie systemu operacyjnego jest bezpieczniejsze przy użyciu czytnika linii papilarnych niż (silne) hasło? Czy można to łatwo zhakować?

Tak, dość łatwo jest oderwać palec od upoważnionej osoby i użyć go do przekazania czytnika linii papilarnych. Lub złoczyńcy mogą poddać osobę przymusowi i zmusić ją do położenia palca na skanerze.

Z drugiej strony można ustawić system haseł z jednym hasłem, aby umożliwić dostęp, a drugim hasłem „przymusowym”, aby nie tylko odmówić dostępu, ale także wezwać pomoc, jeśli zostanie wprowadzona.

Osobiście nie pracuję na żadnym systemie, który jest tak ważny, że chciałbym stracić nad nim palec. Jeśli ktoś chce wystarczająco mocno, nie chcę nawet, aby kusiło mnie, by wziąć mój palec ...

Jak jest podłączony skaner linii papilarnych? Czy skanowany komputer korzysta z pewnego rodzaju szyfrowania między skanerem a komputerem. Jeśli nie, co powstrzymałoby mnie przed włożeniem urządzenia między skanerem a komputerem, a następnie pobraniem odcisku palca?

Naprawdę nie możesz zmienić swojego odcisku palca. Jeśli mogę przechwycić odcisk palca w taki sposób, że mogę po prostu ciągle wysyłać te same dane, oznacza to, że twój system jest zepsuty.

Securiy odcisków palców opiera się na danych biometrycznych, w których koncepcja jest prosta, że ​​odciski palców wszystkich osób żyjących na Ziemi są różne. Logika jest prawdziwa, ale całkowicie zależy od technologii, której używasz, jeśli program lub sprzęt ulegnie awarii, może to również być ryzykowne.

Doświadczyłem laptopa (HP z pamięci), na którym zarówno mój odcisk palca, jak i odcisk palca współpracownika udzielili dostępu do tego samego konta użytkownika, muszę powiedzieć, że nie może być absolutnej odpowiedzi tak lub nie. Większość implementacji, które widziałem, używają tylko kilku punktów testowych do ustalenia odcisku palca. Moim zdaniem, mniej niż kilkadziesiąt punktów jest niewystarczające dla właściwego bezpieczeństwa. Ponieważ to będzie zależeć od implementacji, jeśli będę musiał udzielić odpowiedzi tak lub nie, to musi być nie.