id: Гость   вход   регистрация
текущее время 17:18 28/03/2024
создать
просмотр
ссылки

Оценка практической надёжности современных распространённых сканеров отпечатков пальцев

Предлагаю уважаемому сообществу высказаться. Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур? Известно, что 2002 году "аспирант университета Йокогамы Цутому Мацумото" продемонстрировал технологию изготовления желатиновых отпечатков, которые с вероятностью не менее 70% процентов обманывали все 11 протестированных из существовавших на тот момент коммерческих систем распознавания.


http://www.rol.ru/news/it/news/02/05/18_013.htm\


http://www.bre.ru/security/20994.html


http://2006.novayagazeta.ru/no.....6/02n/n02n-s27.shtml


http://modding.modnews.ru/view/585


http://www.authentec.com/products-pcsandperipherals.cfm


Предлагаю ограничить обсуждение полупроводниковыми сканерами, в которых сканирование осуществляется при движении пальца поперёк полоски сенсора. Насколько я выяснил, сейчас наиболее распространены термальные сканеры, а некоторое время назад были широко распространены емкостные.


Сегодня клавиатуру для настольного компьютера с интегрированным сканером отпечатков можно приобрести в Москве по цене около 600-800 рублей (20$): http://www.price.ru/bin/price/.....6&vcid=0104&where=00


Понятно что это не волшебная палочка, однако использование такого устройства с соответствующим софтом предположительно позволит упростить жизнь при необходимости часто вводить стойкий пароль Windows с клавиатуры: например в учреждении с посетителями или в окружении домашних. Т.е. устраняется опасность подглядывания пароля, а также купируется опасность от программ-кейлоггеров.


Cценарий применения выглядит как «привязка» клавиатурного пароля учётнонй записи Windows к сканам одного или нескольких пальцев. Однако известное мне ПО, выполняющее эти функции под Windows (от IBM/Lenovo и Authentec) хранит парольные фразы, но не является OpenSource.


Современные «массовые» сканеры, по заверениям производителей, в определённой мере застрахованы от обмана с помощью муляжей, поскольку анализируют тепловые и электрические свойства пальца. Считается, что даже отрезанный палец не сможет быть эффективно использован по прошествии небольшого времени.


Следует также учесть, что снять без согласия жертвы отпечатки, пригодные для вышеописанного «протяжного» типа сканера – не совсем тривиальная задача. Это не эллипсовидные «пальчики» а скорее «дорожки».


Ещё одно соображение. Муляж отпечатков можно применить только при наличии физического доступа к компьютеру со сканером. Нельзя, например, использовать его для удалённого входа в систему, как например подсмотренный клавиатурный пароль.


Есть и минус. В случае компрометации отпечатки пальцев сменить невозможно.


Предлагаю высказываться. Насколько имеет смысл заморачиваться с подобными устройствами в домашнем использовании и в малом и среднем бизнесе.


Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур?


 
На страницу: 1, 2 След.
Комментарии
— Гость (03/12/2009 13:48)   <#>
[offtop]
Другими словами, обращение к практикам в области безопасности, вызвало интерес, в основном у практиков оффтопика. :)

Если это и оффтопик, то с превеликой натяжкой. Какая-то полезная информация по теме была дана. Иначе была бы тема-висяк вообще без ответов, а, значит, и полезной информации спрашивающему (это лучше, да?).

Не стоит идти в кильватере сетевой гопоты.

Ссылка вела на интересный сайт, где много интересного и полезного подано в шутливой форме, а "слов из песни не вырежишь". Определённые слова возникают, когда в жизни появляются соответствующие им явления. Сейчас существует такое, что словами 70ых невыразимо в принципе. Вам не следовало бы прогуливать пары по философии.

Чувствую, что кормлю троллей.
[/offtop]
— He_SATtva (03/12/2009 17:30)   <#>
Предлагаю всем...
Предлагаю лично Вам: перестаньте предлагать всем. И если не можете без мата тексте – лучше молчите. :)
— Infinity (04/12/2009 22:20, исправлен 04/12/2009 22:23)   профиль/связь   <#>
комментариев: 16   документов: 4   редакций: 2

Может информация устарела но она давольно интересна, есть серия Разрушителей легенд, где Джейми и Адам проверяют эти устройства в двух вариантах, биометрическое устройство автаризации в Windows и биометрический дверной замок, оба устройства им удаёться обмануть, подробнее тут.

— Гость (05/12/2009 00:46)   <#>

На первой странице внизу я запостил ссылку на этот ролик на YourTube.

Там другие сканеры. Правда насчёт Windows там вроде нет.
— Гость (05/12/2009 00:49)   <#>
Под Винду другой сканер. Просмотрел ещё раз
— Гость (21/12/2009 10:49)   <#>


А можно подробнее про надёжные средства аутентификации?
— Genosse (21/12/2009 17:48)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
А можно подробнее про надёжные средства аутентификации?

Я полагаю, что даже оставаясь строго в рамках обсуждаемой темы, а речь идёт о сугубо дактилоскопических биометрических считывающих устройствах, невозможно полностью игнорировать ценовой аспект.
— Гость (21/12/2009 22:28)   <#>
Что касается ценового аспекта, то красная цена вышеозначенным датчикам – 5 баксов. Веб-цена клавиатуры с датчиком 23 бакса. Это тут у нас лохов доят на тысячи. В действительности это решение из разряда "дешево и сердито". А вот меру этой "сердитости" хотелось бы оценить. Подкупает удобство.
— Migel (21/12/2009 22:41, исправлен 21/12/2009 22:46)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
— Гость (21/12/2009 22:28) <#>
В действительности это решение из разряда "дешево и сердито". А вот меру этой "сердитости" хотелось бы оценить. Подкупает удобство.

Начнем обсуждение сначала?
И уже в который раз Вам скажут что это совсем небезопасно...
Пароль можно изменить, а вот с отпечатками потрудней.


П. С.: такое впечатление что Вы закупили дешевых сканеров и теперь, перед тем как "парить" их доверчивым гражданам, решили спросить мнение на pgpru. Что ж выбор сайта правильный, но думаю это не поможет.

— Гость (22/12/2009 01:10)   <#>
А как вы вообщее смеете делать такие предположения? Вы непорядочный человек и судите по себе о других? Я теперь с гораздо бОльшим основанием могу предположить, например, что это ВЫ хотите продолжать "парить" дешёвые сканеры по три тысячи.

Ничего более того, что я сказал в первом постинге никто по существу не сказал. В частности про невозможность изменить биометрические характеристики. Но все хотят выпендриться. Вставить свои пять копеек.

Заклинаю, прошу! Говорите пожалуйста по существу или молчите. Особенно интересны обоснованные количественные оценки и результаты практических экспериментов. А то языком болтать все горазды.

С надеждой на победу бобра над ослом. :)
— Migel (22/12/2009 20:09, исправлен 22/12/2009 20:58)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
— Гость (22/12/2009 01:10) <#>
А как вы вообщее смеете делать такие предположения? Вы непорядочный человек и судите по себе о других? Я теперь с гораздо бОльшим основанием могу предположить, например, что это ВЫ хотите продолжать "парить" дешёвые сканеры по три тысячи.

Где основания так думать? А вот у меня есть основания, судя по Вашей писанине.
И кстати, я пишу судя не по себе, а судя по том опыте, который приобрел за эти годы, имея дело с такими вот "умельцами".


Ничего более того, что я сказал в первом постинге никто по существу не сказал.

Если Вы не хотите видеть того что Вам пишут, то смысл тогда следующего:

Заклинаю, прошу! Говорите пожалуйста по существу или молчите. Особенно интересны обоснованные количественные оценки и результаты практических экспериментов. А то языком болтать все горазды.

Примеры практических экспериментом Вам уже называли.


Если Вы по прежнему упорно не хотите видеть уязвимости такой системы, это Ваши личные проблемы.


Или хотите "парить" сканеры со словами :"Покупайте, даже на самом pgpru (Вы не ошиблись, это тот самый ресурс) кто-то где-то намекнул что они надежные"?
Расчет понятен, для пользователей которым лень пароль набирать и не совсем понимают что такое инф. безопасность.


П. С.: нет никакого желания кому-то что либо доказывать. Придерживаюсь правила "Заблуждаетесь – продолжайте дальше", "Спросили – ответил".

— Гость (22/12/2009 21:59)   <#>
если честно не понял о чем спор, и вникать в суть так не хочется.. но раз предложили высказаться, то выскажусь.. при массовом использовании биометрические сканеры, имхо, больше для удобства, чем для усиления защиты.. и использовать их надо, естественно, в сочетании с другими средствами защиты, "охрана, электронные замки на дверях, токен + дактилоскопический сканер".. приложить палец к сканеру намного проще, чем запоминать кучи паролей.. можно изготовить муляж, но ведь и пароли могут проснифать, подсмотреть (да и пользователи часто используют один пароль в куче разных мест, что не есть хорошо), а сканер просто упрощает жизнь, но не является последней защитной крепостью, просто кирпичек в системе.. :)
— Гость (23/12/2009 11:26)   <#>
Стоит ли такой дополнительный "замок от дурака" навешивать на дверь – решать вам. Местное сообщество "защитой секретов от младшей сестры" не интересуется
Ведь выше уже всё сказали по существу...
— Гость (23/12/2009 11:29)   <#>
Естественно. Также как и то, что практическая безопасность – это всегда компромисс.

Но это пока всё ещё слишком общо. Хотелось бы оценить КОНКРЕТНЫЕ современные сканеры по отношению к атакам осуществляемым "кухонными" средствами.

Первое, что приходит в голову, на основании опубликованных мной выше сценариев, это полить суперклеем свой отпечаток пальца, сделанный на поверхности компакт-диска. А потом поместить получившуюся пленку на другой палец.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3