Является ли аутентификация в ОС более безопасной при использовании считывателя отпечатков пальцев, чем (надежный) пароль?
Можно ли ее легко взломать?
Кстати, где хранится отпечаток пальца? На аппаратном чипе или в файловой системе?
Зависит ли она от аппаратного обеспечения считывателя?
Зависит ли она от реализации библиотеки/ОС?
Ответ 1
Проблема большинства биометрических систем заключается в том, что они по своей природе «шумные», что требует программного обеспечения для просеивания шума до истинного сигнала. Пароль – это несколько байт, где точность должна быть идеальной. Биометрический отпечаток пальца или сканирование радужной оболочки глаза, или сканирование сетчатки глаза, или голосовой отпечаток – все они должны иметь «достаточно близкий» порог, поскольку биометрические данные меняются изо дня в день или из недели в неделю. Для поражения таких систем используется «достаточно близкая» природа технологии биометрической аутентификации. Из-за этого простая биометрия, на мой взгляд, менее безопасна, чем правильно подобранный пароль. И это еще без учета деталей реализации, таких как возможности перехвата/воспроизведения сигнала между сканером и аутентификатором или легко подделываемые датчики проводимости кожи. При использовании в сочетании с паролем это может повысить безопасность. Но, как я уже сказал, ее не следует использовать вместо пароля.
Ответ 2
Одно время считалось, что это так. С тех пор было разработано несколько методов, позволяющих победить более дешевые версии этих сканеров.
Если сканер будет использоваться как часть двухфакторной или многофакторной аутентификации, то я считаю, что он повысит безопасность, увеличив сложность входа. Вот кто-то обсуждает это.
Кстати, где хранится отпечаток пальца? На аппаратном чипе или в файловой системе?
Обычно в файловой системе. Многие сканеры просто превращают отпечаток в хеш, который передается на главный компьютер. Kronos Touch ID – корпоративное решение, предназначенное для использования в качестве хронометража; он хранит данные в таблице Paradox(!) в виде хеша, так что совершенно ясно, откуда берется их прибыль при использовании этого устройства...
Зависит ли это от аппаратного обеспечения ридера?
Существует множество считывающих устройств, каждое со своими собственными методами. Хотя я не могу говорить об этом авторитетно, кажется, что «да» – довольно хороший ответ на этот вопрос.
Зависит ли это от реализации библиотеки/ОС?
Опять же, я думаю, что это зависит от типа считывающего устройства. Некоторые действительно передают больше, чем хеш (реальное изображение отпечатка пальца), а другие – нет.
Ответ 3
В зависимости от области применения и требуемого уровня безопасности, биометрия может иметь буквально фатальный недостаток. Давайте представим, что плохие парни действительно хотят получить то, что защищено системой безопасности, и готовы похитить что-то, чтобы получить это. Является ли аутентификация в ОС более безопасной при использовании считывателя отпечатков пальцев, чем (надежный) пароль? Можно ли его легко взломать? Да, довольно легко отрезать палец у авторизованного человека и использовать его для прохождения считывателя отпечатков пальцев. Или же злоумышленники могут подвергнуть человека принуждению и заставить его приложить палец к сканеру.
С другой стороны, в системе паролей можно установить один пароль для предоставления доступа, а другой пароль «принуждения», чтобы не только запретить доступ, но и вызвать помощь в случае его ввода. Лично я не работаю ни с одной системой, которая настолько важна, что я хотел бы потерять из-за нее палец. Если кто-то сильно захочет войти, я даже не хочу, чтобы у него возникло искушение взять мой палец...
Ответ 4
Безопасность сканера, вероятно, в значительной степени зависит от качества аппаратного обеспечения. Я полагаю, что большинство сканеров, поставляемых с ноутбуками в наши дни, довольно дешевы и не предназначены для ситуаций повышенной безопасности. Даже высококачественные сканеры, предназначенные для дверных замков, не являются непроницаемыми для дублирования отпечатков пальцев.
Ответ 5
Имея опыт использования ноутбука (по памяти HP), где и мой отпечаток пальца, и отпечаток пальца коллеги по работе давали доступ к одной и той же учетной записи пользователя, я должен сказать, что не может быть абсолютного ответа «да» или «нет». Большинство реализаций, которые я видел, используют всего несколько тестовых точек для определения отпечатка пальца. По моему мнению, меньше пары десятков точек недостаточно для обеспечения безопасности. Поэтому, поскольку это будет зависеть от реализации, если бы мне пришлось дать ответ «да» или «нет», то это должно быть «нет».
Security