Gå til innhold

Nå kan hackere stjele fingeravtrykket ditt kun ved hjelp av et bilde av hånden din

AfterGlow

Av AfterGlow
i Diskuter artikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
tommyb

tommyb

Skrevet
Skrevet

Det har aldri vært det minste trygt å bruke fingeravtrykk til autentisering, strengt tatt gjelder det for alle former for biometri. Identifisering, ja, autentisering og tilgangskontroll, nei.

 

Så lenge "ingen" klarer å skjønne noe såpass grunnleggende, kan jeg heller ikke tiltro dem med å lagre en digital kopi av mitt fingeravtrykk, hashet eller ikke.

  • Liker 4
Lenke til kommentar
Rudde

Rudde

Skrevet
Skrevet

Det har aldri vært det minste trygt å bruke fingeravtrykk til autentisering, strengt tatt gjelder det for alle former for biometri. Identifisering, ja, autentisering og tilgangskontroll, nei.

 

Så lenge "ingen" klarer å skjønne noe såpass grunnleggende, kan jeg heller ikke tiltro dem med å lagre en digital kopi av mitt fingeravtrykk, hashet eller ikke.

 

Hvilken verdi har et hashet fingeravtrykk?

Lenke til kommentar
ZeRKoX

ZeRKoX

Skrevet
Skrevet (endret)

Hvilken verdi har et hashet fingeravtrykk?

Det kommer ann på hashingalgoritmen. All data som lagres på en pc kan hashes, sånn for å kverulere.

 

Fingeravtrykk kan ikke hashes på samme måte som ett passord, siden en er avhengig av litt marginer for endring når avtrykkene leses inn. Flipper du ett bitt på vei inn i en hashfunksjon, flippes ca halvparten på andre siden, og det er dermed ikke mulig å bruke på fingeravtrykk. Det som derimot gjøres er å lage det de kaller for ett "template", som konstrueres slik at det er vanskelig å gjenskape ett fingeravtrykk fra det.

Endret av ZeRKoX
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

 

Det har aldri vært det minste trygt å bruke fingeravtrykk til autentisering, strengt tatt gjelder det for alle former for biometri. Identifisering, ja, autentisering og tilgangskontroll, nei.

 

Så lenge "ingen" klarer å skjønne noe såpass grunnleggende, kan jeg heller ikke tiltro dem med å lagre en digital kopi av mitt fingeravtrykk, hashet eller ikke.

 

Hvilken verdi har et hashet fingeravtrykk?

Mulig det ikke heter "hash" for fingeravtrykk, men prinsippet er at man i stedet for å lagre fingeravtrykket rått leser av endel egenskaper, som hver gang man viser fingern skal kunne leses av likt. Dette kjøres da gjennom en enveis-algoritme og resultatet lagres. Da kan dette sammenlignes flere ganger uten at man kan si så mye om selve fingeravtrykket fra det.

Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet

"Fingeravtrykk kan som kjent allerede innhentes fysisk via for eksempel glatte overflater på objekter som tilhører offeret"

 

Betyr ikke det at offeret eier saken? Bedre å skrive objekter offeret har tatt på synes jeg. Bare til å plukke med seg et glass fra en resturant etter at offeret har gått vekk fra bordet det så har man det man trenger :)

 

"Dermed er det tilsynelatende store kunnskaper og ferdigheter som skal til før man potensielt kan omgå den biometriske sikkerhetsløsningen dersom man bare er i besittelse av det riktige utstyret"

 

Mangler det et ord der, som for eksempel "ikke"? Virker som om man ikke trenger store kunnskapene for å gjøre dette :D

 

For å kommentere saken litt så har det aldri vært vanskelig å få fingeravtrykk av noen på gamlemåten, å ta det fra et objekt som det står. Men dette gjør det nok mye enklere å få tak i fingeravtrykk fra kjente personer som man ikke har fysisk tilgang til. Politikere, filmstjerner etc blir det jo tatt ganske mange bilder av som det er fri tilgang på.

 

Artig sak dette her, får håpe det kommer en sak snart hvor dette har skjedd og fått en eller annen konsekvens, for underholdningens skyld da selvfølgelig :p

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Ett av grunnproblemene med fingeravtrykk er at du etterlater deg det over alt, og du kan ikke endre den.

Så her stiller fortsatt passord og PIN koder sterkere da disse kan endres og etterlates ikke over alt uten at du er klar over det.

 

Personlig var fingeravtrykk en perfekt løsning på laptopen for sudoing i Linux, så slapp jeg å taste inn det lange passordet hver gang jeg skulle inn i ett root shell :p, riktignok var ikke fingeravtrykket godt nok for innlogging fra hverken innsiden eller utsiden.

  • Liker 1
Lenke til kommentar
raWrz

raWrz

Skrevet
Skrevet (endret)

 

 

Det har aldri vært det minste trygt å bruke fingeravtrykk til autentisering, strengt tatt gjelder det for alle former for biometri. Identifisering, ja, autentisering og tilgangskontroll, nei.

 

Så lenge "ingen" klarer å skjønne noe såpass grunnleggende, kan jeg heller ikke tiltro dem med å lagre en digital kopi av mitt fingeravtrykk, hashet eller ikke.

Hvilken verdi har et hashet fingeravtrykk?

Mulig det ikke heter "hash" for fingeravtrykk, men prinsippet er at man i stedet for å lagre fingeravtrykket rått leser av endel egenskaper, som hver gang man viser fingern skal kunne leses av likt. Dette kjøres da gjennom en enveis-algoritme og resultatet lagres. Da kan dette sammenlignes flere ganger uten at man kan si så mye om selve fingeravtrykket fra det.

 

 

Skjønner ikke hvordan et fingeravtrykk blir lagra har noe som helst å si for mitt poeng.

 

Problemet med fingeravtrykk er at du legger dem fra deg overalt. Ved litt triksing og epoxzy så har hvilken som helst et fult fungerende print av fingeren din. Mythbusterst (faktisk) har testet dette.

 

Problemet her er som 007CD nevnte kort, fingeravtrykket ER deg så derfor bruker du noe som identifiserer deg som autentisering av deg.

 

For å dra strikken litt langt;

Ville du brukt navnet ditt som passord til en tjeneste?

 

Jeg tror ikke det.

 

 

 

Hva med øyeskannere?

 

Med tablet så kan en jo kreve hele håndflaten for å logge inn (i teorien)

Det er en del vanskeligere å fake. Men prinsippet er fortsatt det samme. Irisen er unik til ditt øye = passordet er identiteten din.

 

 

Som VentureBeat peker på betyr imidlertid ikke dette at løsningen er utdatert av den grunn, da den fremdeles har en viktig plass innen totrinnsverifikasjon og at den fremdeles er sikrere enn PIN-koder og passord.

 

 

Dette sitatet er så skremmende at jeg veit ikke hva jeg skal gjøre. Forfatteren av den artikkelen har ingen basic sikkerhet overhodet.

 

Edit:

 

Jeg kom på, best practice med sikkerhet er alltid noe du har + noe du "veit"

Så hvis du kombinerer fingeravtrykket ditt + noe du veit for å lage et passord så har du et (veldig diskuterbart) legitimt bruk av fingeravtrykk.

 

Her er eks. RSA kodebrikker et godt eksempel.

Der pleier man ha en 4 siffer kode som du veit + en kodebrikke som sammen lager et passord.

 

Men nå er det jo kjent at NSA har svekket hvordan RSA brikkene lager kodene. Så det er i praksis ikke veldig trygt lengre.

http://en.wikipedia.org/wiki/RSA_BSAFE

Endret av raWrz
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

 

 

Skjønner ikke hvordan et fingeravtrykk blir lagra har noe som helst å si for mitt poeng.

 

Problemet med fingeravtrykk er at du legger dem fra deg overalt. (...)

 

Nada. Det har ikke det sprøtt med ditt opprinnelige poeng å gjøre, som jeg forøvrig var helt enig i. Det var et helt frittstående poeng i seg selv. Den har kanskje noe med den neste setninga di der å gjøre; at man legger fra deg fingeravtrykk overalt. Inntil "ingen" har klart å skjønne noe såpass grunnleggende som det jeg sa, eller det du sa før meg, så tiltror jeg ikke dem å ha en gjenbrukbar kopi av mitt fingeravtrykk.

 

Det med lagringa var et uviktig sidespor.

 

 

 

Problemet her er som 007CD nevnte kort, fingeravtrykket ER deg så derfor bruker du noe som identifiserer deg som autentisering av deg.

 

For å dra strikken litt langt;

Ville du brukt navnet ditt som passord til en tjeneste?

 

 

Nope. Jeg ville heller ikke brukt postnummeret mitt som passord, men det vel er minst en nettbutikk som gjør det...

 

 

Jeg kom på, best practice med sikkerhet er alltid noe du har + noe du "veit"

 

Med biometri kan du øke et hakk, og kreve noe du har + noe du veit + noe du er. Dette er vel de tre primære former for menneskelig autentikasjon (Schneider). Mindre praktisk, naturligvis.

 

Fred B. Schneider, som naturligvis er mye flinkere enn meg, sier forøvrig noe annet enn det jeg sa oppi der, nesten motsatt, at:

 

 

Having looked at all these methods for authentication, we can see that as a secondary form of authentication (but not identification!) biometrics might be promising.

 

Så han er ikke like avvisende til biometri som det magerefleksen min tilsier.

 

Edit: Måtte nesten sjekke opp hva Bruce Schneider sa også:

 

 

Biometrics are easy, convenient, and when used properly, very secure; they're just not a panacea. Understanding how they work and fail is critical to understanding when they improve security and when they don't.

Endret av tommyb
  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...