Ответы на 4 вопроса об аутентификации по отпечатку пальца

Впервые в истории появился смартфон с возможностью аутентификации по отпечатку пальца. IPhone 5S, выпущенный той же компанией, которая в первую очередь популяризировала этот смартфон, поставлялся со сканером отпечатков пальцев на кнопке "домой". Вскоре после того, как этот телефон был выпущен, Samsung выпустила Galaxy S5 с собственным подходом к снятию отпечатков пальцев. На данный момент я почти уверен, что с этой возможностью будет выпущено больше телефонов, что в конечном итоге сделает ее отдельной функцией, которая будет использоваться в других областях, таких как аутентификация в приложениях. Поскольку мы находимся на пороге новой тенденции, сейчас самое время ответить на несколько вопросов о ней.

1. Безопаснее ли снимать отпечатки пальцев, чем использовать пароль?

сканер отпечатков пальцев-пароль

На этот вопрос очень сложно ответить, поскольку он зависит от того, какой процесс сопоставления использует конкретное приложение, подключенное к Интернету. Например, ваше устройство может связать ваш отпечаток пальца с паролем для определенного приложения, чтобы данные вашего отпечатка пальца считывались на устройстве, и устройство отправляло сохраненный пароль при обнаружении совпадения. Разрешите описать процесс, если я вас запутал:

  • Ваше устройство хранит ваш пароль к приложению и связывает ваш отпечаток пальца с этим паролем.
  • Вы кладете палец на экран или кнопку "Домой", чтобы войти в приложение.
  • Устройство отправляет приложению сохраненный пароль.

Этот процесс небезопасен, так как пароль все еще используется для аутентификации в приложении. Тот факт, что вы не вводите пароль самостоятельно, не делает его безопаснее. Теперь это представляет собой удобное преимущество, позволяющее вам добавлять другие ассоциации отпечатков пальцев к одному и тому же паролю (например, давая вашей жене возможность войти в ваш PayPal с помощью своего отпечатка пальца). Это означает, что другому человеку не нужно запоминать ваш пароль для входа в интерфейс.

Единственный действительно безопасный способ биометрической аутентификации (другими словами, с помощью отпечатка пальца) в приложении - это заставить само приложение записывать ваши биометрические данные для аутентификации. Это означает, что такие приложения, как PayPal, могут хранить ваш отпечаток пальца. Это также удобно, поскольку вам не нужно находиться на одном конкретном устройстве, чтобы использовать свой отпечаток пальца для аутентификации. Вышеупомянутый процесс изменится следующим образом:

  • Ваше приложение хранит зашифрованную копию вашего отпечатка пальца на защищенном сервере.
  • Вы кладете палец на экран или кнопку "Домой" для аутентификации.
  • Приложение аутентифицирует вас без получения пароля.

Это может заставить вас вздохнуть с облегчением, пока вы не задумаетесь о последствиях хранения данных отпечатков пальцев в нескольких местах.

2: Разоблачают ли меня отпечатки пальцев?

Да, это так. С дополнительной безопасностью снятия отпечатков пальцев возникает риск раскрытия вашего отпечатка пальца людям, которым вы, возможно, не хотите иметь эту информацию. Например, ваше правительство могло бы собирать данные об отпечатках пальцев у крупных фирм для создания собственного реестра. Хакер также может подключиться к базе данных, содержащей ваш отпечаток пальца, и использовать эти необработанные данные для аутентификации. Вы полностью зависите от принятых мер безопасности, чтобы защитить ваш отпечаток пальца, если таковой имеется.

Обнаружение отпечатков пальцев и аутентификация - не молодая технология. Однако это тоже не совсем мейнстрим. Нет стандартизации протоколов безопасности, обеспечивающих безопасное хранение отправляемых вами сырых данных на сервере. Однако что делает отпечатки пальцев более защищенными от взлома, чем пароли, так это их огромный размер и то, насколько сложно их расшифровать после зашифровывания, не зная криптографического ключа, который разблокировал бы все это.

Это одна из причин, по которой биометрическая аутентификация на вашем смартфоне на данный момент используется только для разблокировки экрана. Нам еще предстоит решить множество проблем и извлечь много уроков.

3: Может ли кто-нибудь отрезать мне палец, чтобы выдать себя за меня?

сканер отпечатков пальцев оторван

Это зависит от того, какой датчик использует ваш смартфон. Скорее всего, он будет использовать радиочастотный (RF) датчик, поскольку он наименее подвержен проблемам загрязнения. Однако еще одним преимуществом RF-датчиков является тот факт, что они также определяют, жив ли палец, на который на них нажимают. Если кончик вашего пальца холодный и сухой (как если бы он был отсоединен), датчик не будет работать. Радиочастотные датчики считывают ваш отпечаток пальца с дермальных слоев под самым внешним слоем кожи, что делает их не только очень точными, но и надежными в обеспечении того, чтобы на них давили живым пальцем.

Эта проблема возникла, когда был выпущен iPhone 5S, и поставщик датчиков отпечатков пальцев заявил, что это просто невозможно. Я подозреваю, что другие производители телефонов последуют примеру Apple из-за ее возможностей и портативности оборудования.

4: Можно ли как-нибудь обойти снятие отпечатков пальцев?

обход сканера отпечатков пальцев

Да. Ну вроде…

На YouTube есть видео, где люди делают это на iPhone 5S. Вот пример:

Любой, кто действительно хочет залезть в ваш телефон, должен будет создать шаблон вашего отпечатка пальца. Для этого этот человек должен знать, какой палец вы используете для аутентификации в телефоне. Если вы используете что-то другое, кроме указательного или большого пальца, это будет особенно сложно.

Кроме того, получение отпечатка пальца без доступа к самому пальцу - очень утомительный процесс. Даже если человеку удастся снять ваш отпечаток пальца, скажем, со стакана, который вы держали на вечеринке, это будет жирный отпечаток вашего пальца. Недостаточно сделать шаблон с гребнями и впадинами. Вы сможете обойти оптический датчик, но RF-датчик (или практически любой другой тип датчика) не обманете. Поскольку телефоны, как правило, отдают предпочтение радиочастотной технологии из-за ее простой реализации в экранах и кнопках, вам не нужно беспокоиться о том, что кто-то использует отпечаток пальца, который вы оставили на дверной ручке, чтобы взломать ваш телефон.

Все, о чем вам нужно беспокоиться, - это кто-то, у кого есть доступ к вашим пальцам. В качестве профилактической меры я бы посоветовал использовать другой палец, а не большой или указательный. Эти двое станут первыми целями злоумышленника. Это, вероятно, очевидно, но я все равно упомяну об этом: будьте осторожны с компанией, которую вы составляете.

Еще есть вопросы?

Оставьте комментарий ниже со своим вопросом, и я буду рад поговорить с вами о портативной технологии снятия отпечатков пальцев!

7 комментариев

  1. "3: Может ли кто-нибудь отрезать мне палец, чтобы выдать себя за меня?"
    Они не обязаны этого делать. Все, что им нужно сделать, это заставить вас потерять сознание, а затем использовать ваш палец. Конечно, они должны знать, какой палец вы используете для аутентификации. Будем надеяться, что технология будет ограничивать количество попыток, как и с паролями.


    Так что вам будет комфортно с 10% (неожиданно) вероятностью того, что ваша мера безопасности будет взломана с первой попытки! С точки зрения безопасности, это кажется мне довольно хрупким!

    1. Да, и - да ладно - я думаю, что около 99% пользователей отпечатков пальцев не используют свой 4-й палец левой ноги для аутентификации. Берут указательный палец. Так что у преступников есть неплохие шансы впервые использовать (без сознания) указательный палец ;-)

  2. Одним из преимуществ пароля является неограниченное количество возможных изменений в случае его взлома; у вас ограниченное количество искателей, если вы не отключите чей-то другой и, возможно, поставите его в микроволновую печь, чтобы дать ему необходимое тепло?


    Вы не можете ожидать, что палец останется неповрежденным после того, как вы поместите в микроволновую печь.

  3. Интересно ... можно ли использовать часть ладони в качестве области печати ...
    Да Да, я знаю, что вам нужно быть очень точным с датчиком, но возможно ли это ??

    У меня нет ридера, на котором можно было бы тестировать… Но интересно потестить.


    Вы, наверное, могли бы это сделать. Найдите область, похожую на отпечаток пальца, и попробуйте!

Комментарии закрыты.