Оценка практической надёжности современных распространённых сканеров отпечатков пальцев
Предлагаю уважаемому сообществу высказаться. Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур? Известно, что 2002 году "аспирант университета Йокогамы Цутому Мацумото" продемонстрировал технологию изготовления желатиновых отпечатков, которые с вероятностью не менее 70% процентов обманывали все 11 протестированных из существовавших на тот момент коммерческих систем распознавания.
http://www.rol.ru/news/it/news/02/05/18_013.htm\
http://www.bre.ru/security/20994.html
http://2006.novayagazeta.ru/no.....6/02n/n02n-s27.shtml
http://modding.modnews.ru/view/585
http://www.authentec.com/products-pcsandperipherals.cfm
Предлагаю ограничить обсуждение полупроводниковыми сканерами, в которых сканирование осуществляется при движении пальца поперёк полоски сенсора. Насколько я выяснил, сейчас наиболее распространены термальные сканеры, а некоторое время назад были широко распространены емкостные.
Сегодня клавиатуру для настольного компьютера с интегрированным сканером отпечатков можно приобрести в Москве по цене около 600-800 рублей (20$): http://www.price.ru/bin/price/.....6&vcid=0104&where=00
Понятно что это не волшебная палочка, однако использование такого устройства с соответствующим софтом предположительно позволит упростить жизнь при необходимости часто вводить стойкий пароль Windows с клавиатуры: например в учреждении с посетителями или в окружении домашних. Т.е. устраняется опасность подглядывания пароля, а также купируется опасность от программ-кейлоггеров.
Cценарий применения выглядит как «привязка» клавиатурного пароля учётнонй записи Windows к сканам одного или нескольких пальцев. Однако известное мне ПО, выполняющее эти функции под Windows (от IBM/Lenovo и Authentec) хранит парольные фразы, но не является OpenSource.
Современные «массовые» сканеры, по заверениям производителей, в определённой мере застрахованы от обмана с помощью муляжей, поскольку анализируют тепловые и электрические свойства пальца. Считается, что даже отрезанный палец не сможет быть эффективно использован по прошествии небольшого времени.
Следует также учесть, что снять без согласия жертвы отпечатки, пригодные для вышеописанного «протяжного» типа сканера – не совсем тривиальная задача. Это не эллипсовидные «пальчики» а скорее «дорожки».
Ещё одно соображение. Муляж отпечатков можно применить только при наличии физического доступа к компьютеру со сканером. Нельзя, например, использовать его для удалённого входа в систему, как например подсмотренный клавиатурный пароль.
Есть и минус. В случае компрометации отпечатки пальцев сменить невозможно.
Предлагаю высказываться. Насколько имеет смысл заморачиваться с подобными устройствами в домашнем использовании и в малом и среднем бизнесе.
Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур?
комментариев: 11558 документов: 1036 редакций: 4118
Ваши рассуждения базируются на ложном допущении, что сканер и ПО, получающее данные аутентификации, соединены надёжным каналом. Это не так. Хотя тривиальный кейлоггер действительно бесполезен, поскольку клавиатура для аутентификации не используется, но данные аутентификации хранятся в системе и сама система является их получателем. Если наша модель угрозы — это противник, способный установить в систему зловредное ПО (кейлоггер), то что помешает ему поставить полноценный троян, открывающих бэкдор в систему?
unknown, /comment22295
ntldr, /comment22287
И ещё замечательный пост unknown'а тут: /comment22687.
Вы спрашиваете про нечто другое, про использование не с целью замены основной авторизации, а с целью "улучшить заведомо неидельную схему", но, думаю, вам стоит ознакомиться с вышецитируемым. Скорей всего ответ в плоскости: сейчас, возможно, это так (подделать быстро и дёшево нельзя), но завтра за технологию кто-нибудь основательно возьмётся и всё сделает. Защиты будет "как ни бывало", т.к. научной основы под этим никакой нет. Получается "через неясность". Стоит ли такой дополнительный "замок от дурака" навешивать на дверь – решать вам. Местное сообщество "защитой секретов от младшей сестры" не интересуется :-)
Безопасность через неясность
комментариев: 9796 документов: 488 редакций: 5664
Оффтопик, но для общего впечатления о биометрике.
Подделывание отпечатков пальцев — это вчерашний день.
Может интересно любителям биохакинга.
Некоторые считали, что самой надёжной, но слишком дорогой и поэтому пока непрактичной будет аутентификация по ДНК.
Исследователи из израильской компании Nucleix опубликовали статью в реферируемом журнале, а затем полностью представили технологию по методикам подделки ДНК с помощью сравнительного недорогого оборудования.
Неполный пруфлинк.
Можно взять образец слюны со стакана, волос и др. и выделить из них ДНК.
Можно конечно подбросить сами эти образцы на место преступления — но это не так убедительно.
Исследователи синтезировали копии ДНК и смогли внедрить их в образцы крови и слюны других людей, удалив из них оригинальные ДНК. Например сделали из мужской крови женскую и отдали на анализ в ничего не подозревающую криминалистическую лабораторию, которая подтвердила совпадение с образцом, который внедрили исследователи — кровь женская, совпадает с ДНК такой-то.
Как они утверждают — теперь можно конструировать картину преступления, водя за нос экспертов.
Но зачем же на этом останавливаться? Они пошли дальше и придумали способ, чтобы можно было синтезировать ДНК не по реальным образцам, а по компьютерной базе ДНК, у них получилось и это.
Кажется в последнем исследовании они придумали способ как из компьютерной базы ДНК преступников синтезировать универсальную ДНК, которая совпадала бы при анализе маркеров со всеми преступниками из базы сразу (может я чего не так понял, в этом неспециалист).
Правда, пока фальшивая ДНК — метилированная, а настоящая природная не содержит метилгрупп. Исследователи (по крайней мере их фирма) теперь зарабатывают деньги на продаже тестов на "метилированность ДНК". Наверное, когда прибыль упадёт, придумают и опубликуют способ как подделывать неотличимые ДНК.
Вот такая вот революция в криминалистике. Как говорят эксперты — "ДНК — золотой стандарт криминалистики рухнул".
Ну и делайте выводы, как коммерциализация технологий безопасности влияет на их качество и как производителям проще всего извлекать прибыль, производя такие продукты.
Практически вышеприведённые высказывания можно кратко свести к фразе «это неидеальная схема». Ну так идеалы вообще недостижимы в реальности.
Это именно попытка «улучшить заведомо неидеальную схему». Безопасность вообще это компромисс между удобством и надёжностью. На практике это те меры, с неудобством которых люди готовы примириться в длительной перспективе. Предложенная мера несколько повышает стоимость атаки и повышает удобство использования сильных паролей. При этом она открывает другие векторы атаки. Это не защита от атаки профессионала, это защита от дурака и защита от подглядывания. Плюс удобство для применения сильных паролей ценой их хранения в ПО сканера.
Попробуйте нормально поработать, когда для доступа к рабочей станции от вас хотя-бы 5 раз в день требуется вводить парольную фразу длиной 22-27 символов. Которая меняется хотя бы через 1,5 месяца. И притом ваша работа не сисадмин!
Практически сотрудники достаточно часто предоставляют друг другу свои пароли. Предложенная мера предполагает по сходной цене (выраженной в деньгах и неудобстве) вынудить их это не делать. Одно дело сказать коллеге свой пароль, другое – изготовлять муляж. Сказать пароль – это нематериальное деяние, улик оно не оставляет. Психологически совсем другое дело – изготовление, хранение и обновление муляжа.
К тому же абсолютно без гарантии успеха для непрофессионала. Применительно к вышеописанным сканерам. Не так ли? :)
Итак, носители практического опыта нас пока не посетили? :)
комментариев: 9796 документов: 488 редакций: 5664
В каком-то из обзоров было (не помню про какой тип сканеров), что количество ложных отклонений достаточно высоко и раздражает пользователей, а оптимум между false negative/false positive плохо настраивается.
Я на практике не сталкивался с ложными отклонениями как проблемой. Всё прекрасно работает с дефолтными настройками. Ну бывает, иногда первый раз криво пальцем проведёшь – так сразу повторил и всё. Процесс опознавания практически мгновенный. К тому же это бывает очень редко. В сканер вбиваются отпечатки нескольких пальцев на случай повреждения, например, указательного.
Преступник может заранее намазать перчатки синтезированным ДНК.
Не только перчатки, а весь костюм химзащиты :)
Чем это лучше по сравнению с "ненамазыванием"? Надежда на "пустить следствие по ложному следу в надежде что не разберутся"? Вспоминается рассказ (быль?) про кошмар криминалиста, где отпечатки пальцев проставлялись чьим-то отрезанным пальцем, впоследствии всё-таки найденным следаками в морозильнике :)
Вы не правильно интерпретируете. Я подсказал человеку, что хотя его вопрос и разумен в принципе, на конкретно данном сайте маловато народа, интересующегося такого вида "купированием", а потому ответа ждать прийдётся "долго".
Но тем не менее спасибо. А что, неужели никого не заинтересовало воспроизвести на практике (видео) инструкции по изготовлению муляжа?
Небольшой оффтоп от меня. Вот для развлечения видео на Youtube: MythBusters beat fingerprint security system обратите внимание на тип сканера – он как раз НЕ принадлежит к обсуждаемым.
Ещё могу сказать, что распечатка отпечатка пальца на принтере не смогла обмануть доступный мне сканер в клавиатуре IBM Preferred Pro Fingerprint
Меня заинтересовал сканер отпечатков в частности и как перспективный биометрический компонент многофакторной системы аутентификации для персонального применения.
Кстати, купить в Москве в розничном количестве по разумной цене (20$) клавиатуру со сканером мне пока не удалось...
комментариев: 11558 документов: 1036 редакций: 4118
Троллинг детектед. Вы не подумали, что незаинтересованность в биометрии обусловлена тем, что при наличии надёжных методов аутентификации nobody cares?