Gå til innhold

Hackere stjal fingeravtrykk rett fra mobilsensoren


Anbefalte innlegg

Videoannonse
Annonse

Biometri kan brukes i autentisering. Men bare som identifikasjon. Aldri til verifikasjon av en identitet.

 

Kan du utdype litt? Til syvende og sist er det vel kun biometri som kan verifisere at du virkelig er den du utgir deg for å være? Da tenker jeg på summen av celler / molekyler / atomer / kvarker etc. som utgjør en person. Det finnes vel ingen andre former for identifisering som ikke også kan dupliseres?

Lenke til kommentar

Man kan dele måter en person identifiserer seg i 3, som gjerne kan kombineres for autentisering:

 

1) Noe man har som er en del av kroppen. Dette vil også inkludere ubevisste bevegelsesmønstre:

-kan lett kopieres uten at man merker det

-man kan ikke få utstedt nytt

 

2)Noe man har som ikke er en del av kroppen. Et kort, nøkkel, kodegenerator,...

-man merker om man ikke lengre har det

-kan få utstedt nytt

 

3) Noe man kan. Passord fx.

-kan fanges opp av andre uten at man merker det kun når man bruker det.

-kan få utstedt nytt

Lenke til kommentar

 

Biometri kan brukes i autentisering. Men bare som identifikasjon. Aldri til verifikasjon av en identitet.

Kan du utdype litt? Til syvende og sist er det vel kun biometri som kan verifisere at du virkelig er den du utgir deg for å være? Da tenker jeg på summen av celler / molekyler / atomer / kvarker etc. som utgjør en person. Det finnes vel ingen andre former for identifisering som ikke også kan dupliseres?

 

 

 

 

Biometri kan brukes i autentisering. Men bare som identifikasjon. Aldri til verifikasjon av en identitet.

 Identifisering og autentisering er ikke det samme.

 

 

For å svare på begge kan jeg legge ved en lang rant jeg skrev for en tid tilbake på facebook en plass.

 

Den tar for seg også hva autent/ident/ver-ifikasjon faktisk er og hvordan dette henger sammen. Noe som blir beskrevet noe kritikkverdig over.

 

 

Først er det på en plass med en formell definisjon så alle er klar over hva forskjellen mellom autentifikasjon, identifikasjon, verifikasjon og hvordan dette henger sammen.

Man sier ofte i "sikkerhetslære" at verifikasjon og identifikasjon er to sub-prosesser av autentifikasjon.

La oss ta noe alle kjenner, som brukernavn/passord paradigmen:

Det å skrive inn brukernavnet = indentifikasjon

Det å skrive inn korrekt brukernavn i samsvar med passord = verifikasjon.

 

Du har nå autentisert deg som den riktige brukeren av konto X og har fullført autentifikasjonsprosessen.

 

Hovedproblemet med all bruk av biometri i denne paradigmen er at det er ingen kontroll på å sjekke innehaveren av biometrien. Man tror ofte at dette ikke har noe å si men det har ved flere anledninger blitt bevist at slike scannere ikke har mulighet til og eks skille mellom hud og hud-lignende substanser (du trenger ikke lete lenger enn til mythbusters for å se dette i aksjon). Dette er et problem da man ikke kan stole på kilden til den biometriske dataen. Du har med andre ord ingen mulighet til å verifisere identiteten til innehaveren av verifikasjonsdataen. Det skal dog sies at det er en generell svakhet når det gjelder hele denne paradigmen og er ikke en ny eller unik problemstilling.

 

Andre problemer er at et biometri er statisk og unikt. Det vill aldri forandre seg. Dette er en svakhet og aktivt kjemper imot logikken og praksisen ved å ha unike måter å verifisere forskjellige identiteter til forskjellige tjenester. Sitter du med den biometriske dataen vill du sitte med den eneste unike formen for verifisering av den personen resten av livet. Skummelt? ja.

 

Det andre problemet er at biometrisk data er noe vi hele tiden gir fra oss. Om så det er i form av DNA (hudceller/hår), iris skannere (eks ved flyplasser. Hvor det blir brukt som en identifikasjon) eller fingeravtrykk (kaffekoppen din på jobb eller tastaturet ditt). Det er også kjent at facebook studerer hodeformen din for å ha muligheten til å kjenne igjen personer så den kan «tagge» personer automatisk.

Det betyr i praksis at du hele tiden gir små hint om den eneste måten du har valgt som verifikasjon. Du legger det ifra deg i klær, på kaffekoppen din, til legen, politiet blant annet.

 

Den sikreste måten for autentifikasjon er fortsatt å kombinere noe du vet med noe du har (som du ikke har kontroll over). Et godt eksempel er bankID brikken de aller fleste kjenner igjen når man skal logge inn på nettbanken.

 

 

Så for å summere opp dette:

Du kan stille deg i tvil om opphavet til den biometriske dataen.

Biometri er unikt og "statisk".

Du legger fra deg biometrisk data overalt.

 

Med andre ord det perfekte passord!

 

 

Ja, diskusjonen rundt biometri som verifikasjon av en identitet har plaga meg veldig mye.

Endret av raWrz
Lenke til kommentar

Hentet fra en annen tek.no artikkel:

 

 

I dag har flere av Android-modellene på markedet fingeravtrykkslesere. Du finner dem i telefoner fra gamle Motorola Atrix, til Samsung Galaxy S6. Også eldre Samsung-modeller, telefoner fra HTC og Huawei har liknende løsninger. Men de fungerer på forskjellig vis hvert sted.

Fingeravtrykk blir standardisert som sikkerhet i Android M.

 

Dette vil si at det er mobilprodusenten som har vært for lat her, ikke Android generelt.

Lenke til kommentar

Ja, diskusjonen rundt biometri som verifikasjon av en identitet har plaga meg veldig mye.

 

Men problemet med biometri som verifikasjon som beskrives her, er vel svakheter i teknologien (en klarer ikke se forskjell på hud og hudlignende substanser), og ikke svakhet i å benytte biometri som verifikasjon? Tilsynelatende er biometri statisk, men "kroppen" (huden, celler, molekyler, atomer etc.) til personen som biometrien tas fra er ikke det. Disse endres kontinuerlig hele tiden. En analogi med tanke på verifikasjon er autentikatorer ala google authenticator hvor "passordet / koden" kontinuerlig endres. Med fremtidig teknologi kan man se for seg at man scanner et øye/finger/telomer ved et gitt tidspunkt hvor så informasjonen endres med tiden. Dermed vil man ikke kunne plukke opp hårstrå etc. fordi de biometriske data har endret seg. Ergo er det at biometrien er statisk igjen en svakhet i teknologien, ikke en svakhet i bruk av biometri som verifikasjon. Det vil selvfølgelig være et spørsmål om man vil kunne ekstrapolere fra hårstrået man finner eller ikke, men det er såfall igjen et teknologisk spørsmål / begrensning. Eller mente du noe annet? 

 

Edit: trykkleifer

Endret av Yamarin415
Lenke til kommentar

Du legger fra deg biometrisk data overalt.

Med andre ord det perfekte passord!

 

 

Ja, ikke sant? 

 

Hvis: 

   det perfekte passord == biometriske data

utleder det: 

  Du legger fra deg det perfekte passord overalt. 

 

Noe som ikke anbefales i lystige lag. Det samme er grunnen til at Telenor, CDON og banker strengt tatt ikke skulle fått lov til å bruke personnummer som identifikator. Fingeravtrykket ditt og personnummeret ditt kan aldri byttes ut og burde derfor ikke kompromitteres i enhver banal sammenheng. Hvis noen ondsinnede har kontroll på personnummeret og fingeravtrykket ditt, kan de gjøre ganske mye skade. 

Endret av tommyb
Lenke til kommentar

Person/fødselsnummer og biometrisk data er en måte å identifisere noe(n).

 

Så, jo. Det er en helt legitim identifikator.

 

Det er bruken av det som verifikasjon som det burde stilles store spørsmålstegn rundt.

 

 

Det er kombinasjonen som er problematisk, og bruken av det til banale ting som er enkelt å stoppe.

Lenke til kommentar
  • 4 måneder senere...

Fingeravtrykk er ubrukelig i sikkerhetssammenheng. Selv om man har sensorer som er krypterte, og som kan merke om det er en faktisk finger foran de i stedet for en etterligning av en finger, så hindrer ikke dette folk fra å rett og slett true en bruker til å scanne fingeren sin. Med passord kan man i det minste påstå at man ikke husker passordet, men det skal mye til å glemme fingeren hjemme.

Lenke til kommentar
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...