Xác thực vân tay có an toàn không?

Xác thực hệ điều hành có an toàn hơn bằng cách sử dụng đầu đọc dấu vân tay hơn mật khẩu (mạnh) không? Điều đó có thể bị hack dễ dàng?

Nhân tiện, dấu vân tay được lưu trữ ở đâu? Trên chip phần cứng hay trên hệ thống tập tin?

Điều đó có phụ thuộc vào phần cứng của người đọc không?

Đó có phải là phụ thuộc từ việc thực hiện thư viện / hệ điều hành?

Vấn đề với hầu hết các hệ thống sinh trắc học là chúng vốn đã 'ồn ào', đòi hỏi phần mềm phải lọc nhiễu thành tín hiệu thực. Mật khẩu là một vài byte trong đó độ chính xác cần phải hoàn hảo. Dấu vân tay sinh trắc học, hoặc quét mống mắt, hoặc quét võng mạc hoặc in giọng nói, tất cả đều cần có ngưỡng 'đủ gần' vì sinh trắc học thay đổi từ ngày này sang ngày hoặc tuần này sang tuần khác. Đánh bại các hệ thống như vậy tận dụng tính chất 'đủ gần' của công nghệ xác thực sinh trắc học.

Bởi vì điều này, theo tôi, một sinh trắc học đơn giản là kém an toàn hơn so với mật khẩu được chọn chính xác. Và điều đó thậm chí không đi vào chi tiết thực hiện như khả năng thu / phát lại tín hiệu giữa máy quét và trình xác thực hoặc các cảm biến dẫn điện da dễ dàng bị lật đổ (liếm giấy!).

Khi được sử dụng cùng với một mật khẩu, nó có thể tăng cường bảo mật. Nhưng như tôi đã nói, nó không nên được sử dụng thay vì mật khẩu.

Tính bảo mật của máy quét có thể phụ thuộc phần lớn vào chất lượng của phần cứng. Tôi đoán rằng hầu hết các máy quét đi kèm với máy tính xách tay ngày nay đều khá rẻ và không dành cho các tình huống bảo mật cao. Ngay cả các máy quét chất lượng cao hơn có nghĩa là cho khóa cửa không bị trùng lặp với dấu vân tay. Clip này của Mythbuster chứng minh càng nhiều.

Giống như Harley đã nói, nhiều thử thách luôn an toàn hơn một thử thách duy nhất.

Dấu vân tay thường an toàn hơn mật khẩu, nhưng tất cả đều tương đối.

Nhưng bạn có biết những gì an toàn hơn một dấu vân tay? Một dấu vân tay và mật khẩu. Một cái gì đó bạn có cộng với một cái gì đó bạn biết là xa, an toàn hơn nhiều so với một mình.

Vấn đề với tất cả sinh trắc học là khi tài liệu bảo mật của bạn (như dấu vân tay, võng mạc hoặc DNA) bị xâm phạm, rất khó thay đổi.

Sinh trắc học là một hình thức nhận dạng, không xác thực.

Chỉnh sửa: Theo dõi, tôi tìm thấy bài viết tuyệt vời này: Xác thực và Nhận dạng.

• Xác thực hệ điều hành có an toàn hơn bằng cách sử dụng đầu đọc dấu vân tay hơn mật khẩu (mạnh) không? Điều đó có thể bị hack dễ dàng?

Tại một thời điểm, nó được cho là như vậy. Kể từ đó, đã có một số phương pháp được phát triển để đánh bại các phiên bản rẻ hơn của các máy quét này.

Nếu nó được sử dụng như một phần của quy trình xác thực hai yếu tố hoặc đa yếu tố, thì tôi tin rằng nó sẽ tăng cường bảo mật bằng cách tăng độ khó của việc nhập cảnh. Đây là ai đó đang thảo luận về điều này.

• Nhân tiện, dấu vân tay được lưu trữ ở đâu? Trên chip phần cứng hay trên hệ thống tập tin?

Điển hình là hệ thống tập tin. Nhiều máy quét chỉ đơn giản là biến ấn tượng thành một hàm băm được truyền đến PC chủ. Kronos Touch ID là một giải pháp công ty có nghĩa là sử dụng như một khóa thời gian; nó lưu trữ dữ liệu trong bảng Paradox (!) dưới dạng băm , vì vậy khá rõ ràng lợi nhuận của họ đến từ đâu với thiết bị này ....

• Điều đó có phụ thuộc vào phần cứng của người đọc không?

Có nhiều độc giả, mỗi người có phương pháp riêng. Mặc dù tôi không thể nói với bất kỳ cơ quan nào về vấn đề này, có vẻ như "có" là một câu trả lời khá hay cho câu hỏi này.

• Đó có phải là phụ thuộc từ việc thực hiện thư viện / hệ điều hành?

Một lần nữa, tôi nghĩ rằng nó phụ thuộc vào loại người đọc. Một số thực sự truyền nhiều hơn một hàm băm (hình ảnh dấu vân tay thực tế), trong khi một số khác thì không.

Bruce Schneier đã viết một phân tích tuyệt vời về sinh trắc học, nơi ông khám phá những mặt tích cực và tiêu cực của việc sử dụng các kỹ thuật như đầu đọc dấu vân tay để xác thực. Ông chỉ ra rằng dấu vân tay rất khó giả mạo, nhưng chúng là tầm thường để đánh cắp. Cá nhân tôi, tuần tôi đã bị khóa khỏi phòng máy chủ của mình sau khi tôi cắt ngón tay của mình đủ mạnh để làm hỏng dấu vân tay của tôi là đủ để chửi tôi khỏi đầu đọc dấu vân tay.

Tôi sẽ quay lại và chỉnh sửa URL này ngay khi tôi không phải là "người dùng mới"

http://www.schneier.com/blog/archives/2009/01/biometrics.html

Cá nhân tôi không thích sinh trắc học một chút. Nếu tôi bỏ tiền ra cho một hệ thống vân tay, tôi thà sử dụng PKI và mật khẩu + chứng chỉ cho ID.

Tùy thuộc vào ứng dụng và mức độ bảo mật cần thiết, sinh trắc học có thể có một lỗ hổng nghiêm trọng theo nghĩa đen. Hãy giả vờ rằng những kẻ xấu thực sự muốn bất cứ thứ gì được bảo vệ bởi hệ thống an ninh, và sẵn sàng bắt cóc và / hoặc giết ai đó để lấy nó.

Xác thực hệ điều hành có an toàn hơn bằng cách sử dụng đầu đọc dấu vân tay hơn mật khẩu (mạnh) không? Điều đó có thể bị hack dễ dàng?

Có, thật dễ dàng để lấy ra một ngón tay từ một người được ủy quyền và sử dụng nó để vượt qua đầu đọc dấu vân tay. Hoặc, những kẻ xấu có thể đặt người dưới sự cưỡng bức và buộc họ đặt ngón tay lên máy quét.

Mặt khác, một hệ thống mật khẩu có thể được thiết lập với một mật khẩu để cấp quyền truy cập và một mật khẩu "khó khăn" khác để không chỉ từ chối quyền truy cập mà còn gọi trợ giúp nếu được nhập.

Cá nhân, tôi không làm việc trên bất kỳ hệ thống nào quan trọng đến mức tôi muốn mất một ngón tay trên nó. Nếu ai đó muốn đủ tệ, tôi thậm chí không muốn họ bị lấy ngón tay ...

Máy quét dấu vân tay được đính kèm như thế nào? Máy quét mà bạn đang xem có sử dụng một số loại mã hóa giữa máy quét và máy tính không. Nếu không, điều gì sẽ ngăn tôi chèn thiết bị giữa máy quét và máy tính của bạn và sau đó chụp dấu vân tay của bạn?

Bạn thực sự không thể thay đổi dấu vân tay của bạn. Nếu tôi có thể chụp dấu vân tay theo cách mà tôi có thể chỉ cần gửi cùng một dữ liệu nhiều lần thì hệ thống của bạn đã bị hỏng.

In dấu vân tay securiy dựa trên sinh trắc học trong đó khái niệm đơn giản là ấn tượng ngón tay cái của tất cả các cá nhân sống trên trái đất này là khác nhau. Logic là đúng nhưng nó hoàn toàn phụ thuộc vào công nghệ bạn đang sử dụng nếu chương trình hoặc phần cứng bị trục trặc thì nó cũng có thể gặp rủi ro.

Đã trải nghiệm một máy tính xách tay (HP từ bộ nhớ) trong đó cả dấu vân tay của tôi và của đồng nghiệp được cấp quyền truy cập vào cùng một tài khoản người dùng, tôi phải nói rằng không thể có câu trả lời tuyệt đối có hoặc không có. Hầu hết các triển khai tôi từng thấy chỉ sử dụng một vài điểm kiểm tra để xác định dấu vân tay. Theo tôi, bất cứ điều gì ít hơn một vài chục điểm là không đủ để bảo mật đúng cách. Vì vậy, bởi vì nó sẽ phụ thuộc vào việc thực hiện nếu tôi phải đưa ra câu trả lời có hoặc không, nó phải là không.