Оценка практической надёжности современных распространённых сканеров отпечатков пальцев
Предлагаю уважаемому сообществу высказаться. Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур? Известно, что 2002 году "аспирант университета Йокогамы Цутому Мацумото" продемонстрировал технологию изготовления желатиновых отпечатков, которые с вероятностью не менее 70% процентов обманывали все 11 протестированных из существовавших на тот момент коммерческих систем распознавания.
http://www.rol.ru/news/it/news/02/05/18_013.htm\
http://www.bre.ru/security/20994.html
http://2006.novayagazeta.ru/no.....6/02n/n02n-s27.shtml
http://modding.modnews.ru/view/585
http://www.authentec.com/products-pcsandperipherals.cfm
Предлагаю ограничить обсуждение полупроводниковыми сканерами, в которых сканирование осуществляется при движении пальца поперёк полоски сенсора. Насколько я выяснил, сейчас наиболее распространены термальные сканеры, а некоторое время назад были широко распространены емкостные.
Сегодня клавиатуру для настольного компьютера с интегрированным сканером отпечатков можно приобрести в Москве по цене около 600-800 рублей (20$): http://www.price.ru/bin/price/.....6&vcid=0104&where=00
Понятно что это не волшебная палочка, однако использование такого устройства с соответствующим софтом предположительно позволит упростить жизнь при необходимости часто вводить стойкий пароль Windows с клавиатуры: например в учреждении с посетителями или в окружении домашних. Т.е. устраняется опасность подглядывания пароля, а также купируется опасность от программ-кейлоггеров.
Cценарий применения выглядит как «привязка» клавиатурного пароля учётнонй записи Windows к сканам одного или нескольких пальцев. Однако известное мне ПО, выполняющее эти функции под Windows (от IBM/Lenovo и Authentec) хранит парольные фразы, но не является OpenSource.
Современные «массовые» сканеры, по заверениям производителей, в определённой мере застрахованы от обмана с помощью муляжей, поскольку анализируют тепловые и электрические свойства пальца. Считается, что даже отрезанный палец не сможет быть эффективно использован по прошествии небольшого времени.
Следует также учесть, что снять без согласия жертвы отпечатки, пригодные для вышеописанного «протяжного» типа сканера – не совсем тривиальная задача. Это не эллипсовидные «пальчики» а скорее «дорожки».
Ещё одно соображение. Муляж отпечатков можно применить только при наличии физического доступа к компьютеру со сканером. Нельзя, например, использовать его для удалённого входа в систему, как например подсмотренный клавиатурный пароль.
Есть и минус. В случае компрометации отпечатки пальцев сменить невозможно.
Предлагаю высказываться. Насколько имеет смысл заморачиваться с подобными устройствами в домашнем использовании и в малом и среднем бизнесе.
Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур?
Если это и оффтопик, то с превеликой натяжкой. Какая-то полезная информация по теме была дана. Иначе была бы тема-висяк вообще без ответов, а, значит, и полезной информации спрашивающему (это лучше, да?).
Ссылка вела на интересный сайт, где много интересного и полезного подано в шутливой форме, а "слов из песни не вырежишь". Определённые слова возникают, когда в жизни появляются соответствующие им явления. Сейчас существует такое, что словами 70ых невыразимо в принципе. Вам не следовало бы прогуливать пары по философии.
Чувствую, что кормлю троллей.
[/offtop]
комментариев: 16 документов: 4 редакций: 2
Может информация устарела но она давольно интересна, есть серия Разрушителей легенд, где Джейми и Адам проверяют эти устройства в двух вариантах, биометрическое устройство автаризации в Windows и биометрический дверной замок, оба устройства им удаёться обмануть, подробнее тут.
На первой странице внизу я запостил ссылку на этот ролик на YourTube.
Там другие сканеры. Правда насчёт Windows там вроде нет.
А можно подробнее про надёжные средства аутентификации?
комментариев: 101 документов: 0 редакций: 3
Я полагаю, что даже оставаясь строго в рамках обсуждаемой темы, а речь идёт о сугубо дактилоскопических биометрических считывающих устройствах, невозможно полностью игнорировать ценовой аспект.
комментариев: 90 документов: 0 редакций: 0
Начнем обсуждение сначала?
И уже в который раз Вам скажут что это совсем небезопасно...
Пароль можно изменить, а вот с отпечатками потрудней.
П. С.: такое впечатление что Вы закупили дешевых сканеров и теперь, перед тем как "парить" их доверчивым гражданам, решили спросить мнение на pgpru. Что ж выбор сайта правильный, но думаю это не поможет.
Ничего более того, что я сказал в первом постинге никто по существу не сказал. В частности про невозможность изменить биометрические характеристики. Но все хотят выпендриться. Вставить свои пять копеек.
Заклинаю, прошу! Говорите пожалуйста по существу или молчите. Особенно интересны обоснованные количественные оценки и результаты практических экспериментов. А то языком болтать все горазды.
С надеждой на победу бобра над ослом. :)
комментариев: 90 документов: 0 редакций: 0
Где основания так думать? А вот у меня есть основания, судя по Вашей писанине.
И кстати, я пишу судя не по себе, а судя по том опыте, который приобрел за эти годы, имея дело с такими вот "умельцами".
Если Вы не хотите видеть того что Вам пишут, то смысл тогда следующего:
Примеры практических экспериментом Вам уже называли.
Если Вы по прежнему упорно не хотите видеть уязвимости такой системы, это Ваши личные проблемы.
Или хотите "парить" сканеры со словами :"Покупайте, даже на самом pgpru (Вы не ошиблись, это тот самый ресурс) кто-то где-то намекнул что они надежные"?
Расчет понятен, для пользователей которым лень пароль набирать и не совсем понимают что такое инф. безопасность.
П. С.: нет никакого желания кому-то что либо доказывать. Придерживаюсь правила "Заблуждаетесь – продолжайте дальше", "Спросили – ответил".
Но это пока всё ещё слишком общо. Хотелось бы оценить КОНКРЕТНЫЕ современные сканеры по отношению к атакам осуществляемым "кухонными" средствами.
Первое, что приходит в голову, на основании опубликованных мной выше сценариев, это полить суперклеем свой отпечаток пальца, сделанный на поверхности компакт-диска. А потом поместить получившуюся пленку на другой палец.