id: Гость   вход   регистрация
текущее время 22:30 28/03/2024
создать
просмотр
ссылки

Оценка практической надёжности современных распространённых сканеров отпечатков пальцев

Предлагаю уважаемому сообществу высказаться. Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур? Известно, что 2002 году "аспирант университета Йокогамы Цутому Мацумото" продемонстрировал технологию изготовления желатиновых отпечатков, которые с вероятностью не менее 70% процентов обманывали все 11 протестированных из существовавших на тот момент коммерческих систем распознавания.


http://www.rol.ru/news/it/news/02/05/18_013.htm\


http://www.bre.ru/security/20994.html


http://2006.novayagazeta.ru/no.....6/02n/n02n-s27.shtml


http://modding.modnews.ru/view/585


http://www.authentec.com/products-pcsandperipherals.cfm


Предлагаю ограничить обсуждение полупроводниковыми сканерами, в которых сканирование осуществляется при движении пальца поперёк полоски сенсора. Насколько я выяснил, сейчас наиболее распространены термальные сканеры, а некоторое время назад были широко распространены емкостные.


Сегодня клавиатуру для настольного компьютера с интегрированным сканером отпечатков можно приобрести в Москве по цене около 600-800 рублей (20$): http://www.price.ru/bin/price/.....6&vcid=0104&where=00


Понятно что это не волшебная палочка, однако использование такого устройства с соответствующим софтом предположительно позволит упростить жизнь при необходимости часто вводить стойкий пароль Windows с клавиатуры: например в учреждении с посетителями или в окружении домашних. Т.е. устраняется опасность подглядывания пароля, а также купируется опасность от программ-кейлоггеров.


Cценарий применения выглядит как «привязка» клавиатурного пароля учётнонй записи Windows к сканам одного или нескольких пальцев. Однако известное мне ПО, выполняющее эти функции под Windows (от IBM/Lenovo и Authentec) хранит парольные фразы, но не является OpenSource.


Современные «массовые» сканеры, по заверениям производителей, в определённой мере застрахованы от обмана с помощью муляжей, поскольку анализируют тепловые и электрические свойства пальца. Считается, что даже отрезанный палец не сможет быть эффективно использован по прошествии небольшого времени.


Следует также учесть, что снять без согласия жертвы отпечатки, пригодные для вышеописанного «протяжного» типа сканера – не совсем тривиальная задача. Это не эллипсовидные «пальчики» а скорее «дорожки».


Ещё одно соображение. Муляж отпечатков можно применить только при наличии физического доступа к компьютеру со сканером. Нельзя, например, использовать его для удалённого входа в систему, как например подсмотренный клавиатурный пароль.


Есть и минус. В случае компрометации отпечатки пальцев сменить невозможно.


Предлагаю высказываться. Насколько имеет смысл заморачиваться с подобными устройствами в домашнем использовании и в малом и среднем бизнесе.


Есть ли у кого-нибудь практический опыт обмана сканера отпечатков устанавливаемых на относительно современные корпоративные модели ноутбуков и клавиатур?


 
На страницу: 1, 2 След.
Комментарии
— SATtva (01/12/2009 18:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё одно соображение. Муляж отпечатков можно применить только при наличии физического доступа к компьютеру со сканером. Нельзя, например, использовать его для удалённого входа в систему, как например подсмотренный клавиатурный пароль.

Ваши рассуждения базируются на ложном допущении, что сканер и ПО, получающее данные аутентификации, соединены надёжным каналом. Это не так. Хотя тривиальный кейлоггер действительно бесполезен, поскольку клавиатура для аутентификации не используется, но данные аутентификации хранятся в системе и сама система является их получателем. Если наша модель угрозы — это противник, способный установить в систему зловредное ПО (кейлоггер), то что помешает ему поставить полноценный троян, открывающих бэкдор в систему?
— Гость (01/12/2009 18:55)   <#>
Конечно вы правы, но всё-таки зловредное ПО нужно писать и нацеливать на софт от конкретного производителя сканера. Это немного затрудняет задачу атакующего. Т.е. готовыми рецептами против "системы вообще" он не обойдётся. Поэтому я и пишу: "купирует", а не "устраняет" угрозу кейлоггера. Строго говоря, в первую очередь првлекательность этого устройства для меня состоит в том, что не надо постоянно вводить парол, чтобы "разлочить" ПК после короткой отлучки.
— Гость (01/12/2009 21:26)   <#>
считыватели отпечатков на флэшках, ноутбуках, компьютерных мышках не более, чем игрушки.

unknown, /comment22295

Если же нет убедительного доказательства того, что извлечение ключа из токена или обход сканера отпечатков пальцев не проще лобовой атаки на стойкий пароль, то я такую защиту использовать не буду, и вам не советую.

ntldr, /comment22287

И ещё замечательный пост unknown'а тут: /comment22687.

Вы спрашиваете про нечто другое, про использование не с целью замены основной авторизации, а с целью "улучшить заведомо неидельную схему", но, думаю, вам стоит ознакомиться с вышецитируемым. Скорей всего ответ в плоскости: сейчас, возможно, это так (подделать быстро и дёшево нельзя), но завтра за технологию кто-нибудь основательно возьмётся и всё сделает. Защиты будет "как ни бывало", т.к. научной основы под этим никакой нет. Получается "через неясность". Стоит ли такой дополнительный "замок от дурака" навешивать на дверь – решать вам. Местное сообщество "защитой секретов от младшей сестры" не интересуется :-)
— Гость (01/12/2009 21:28, исправлен 02/12/2009 09:28)   <#>
Получается "через неясность"

Безопасность через неясность

— unknown (02/12/2009 09:58, исправлен 02/12/2009 10:11)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Оффтопик, но для общего впечатления о биометрике.


Подделывание отпечатков пальцев — это вчерашний день.


Может интересно любителям биохакинга.


Некоторые считали, что самой надёжной, но слишком дорогой и поэтому пока непрактичной будет аутентификация по ДНК.


Исследователи из израильской компании Nucleix опубликовали статью в реферируемом журнале, а затем полностью представили технологию по методикам подделки ДНК с помощью сравнительного недорогого оборудования.


Неполный пруфлинк.


Можно взять образец слюны со стакана, волос и др. и выделить из них ДНК.
Можно конечно подбросить сами эти образцы на место преступления — но это не так убедительно.


Исследователи синтезировали копии ДНК и смогли внедрить их в образцы крови и слюны других людей, удалив из них оригинальные ДНК. Например сделали из мужской крови женскую и отдали на анализ в ничего не подозревающую криминалистическую лабораторию, которая подтвердила совпадение с образцом, который внедрили исследователи — кровь женская, совпадает с ДНК такой-то.
Как они утверждают — теперь можно конструировать картину преступления, водя за нос экспертов.


Но зачем же на этом останавливаться? Они пошли дальше и придумали способ, чтобы можно было синтезировать ДНК не по реальным образцам, а по компьютерной базе ДНК, у них получилось и это.


Кажется в последнем исследовании они придумали способ как из компьютерной базы ДНК преступников синтезировать универсальную ДНК, которая совпадала бы при анализе маркеров со всеми преступниками из базы сразу (может я чего не так понял, в этом неспециалист).


Правда, пока фальшивая ДНК — метилированная, а настоящая природная не содержит метилгрупп. Исследователи (по крайней мере их фирма) теперь зарабатывают деньги на продаже тестов на "метилированность ДНК". Наверное, когда прибыль упадёт, придумают и опубликуют способ как подделывать неотличимые ДНК.


Вот такая вот революция в криминалистике. Как говорят эксперты — "ДНК — золотой стандарт криминалистики рухнул".


Ну и делайте выводы, как коммерциализация технологий безопасности влияет на их качество и как производителям проще всего извлекать прибыль, производя такие продукты.

— Гость (02/12/2009 10:57)   <#>
Спасибо за отзывы! :)

Практически вышеприведённые высказывания можно кратко свести к фразе «это неидеальная схема». Ну так идеалы вообще недостижимы в реальности.

Это именно попытка «улучшить заведомо неидеальную схему». Безопасность вообще это компромисс между удобством и надёжностью. На практике это те меры, с неудобством которых люди готовы примириться в длительной перспективе. Предложенная мера несколько повышает стоимость атаки и повышает удобство использования сильных паролей. При этом она открывает другие векторы атаки. Это не защита от атаки профессионала, это защита от дурака и защита от подглядывания. Плюс удобство для применения сильных паролей ценой их хранения в ПО сканера.

Попробуйте нормально поработать, когда для доступа к рабочей станции от вас хотя-бы 5 раз в день требуется вводить парольную фразу длиной 22-27 символов. Которая меняется хотя бы через 1,5 месяца. И притом ваша работа не сисадмин!

Практически сотрудники достаточно часто предоставляют друг другу свои пароли. Предложенная мера предполагает по сходной цене (выраженной в деньгах и неудобстве) вынудить их это не делать. Одно дело сказать коллеге свой пароль, другое – изготовлять муляж. Сказать пароль – это нематериальное деяние, улик оно не оставляет. Психологически совсем другое дело – изготовление, хранение и обновление муляжа.

К тому же абсолютно без гарантии успеха для непрофессионала. Применительно к вышеописанным сканерам. Не так ли? :)

Итак, носители практического опыта нас пока не посетили? :)
— unknown (02/12/2009 11:31)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


В каком-то из обзоров было (не помню про какой тип сканеров), что количество ложных отклонений достаточно высоко и раздражает пользователей, а оптимум между false negative/false positive плохо настраивается.
— Гость (02/12/2009 13:15)   <#>
По поводу ДНК: не понял в чём проблема. Хорошо, можно синтезировать новые "образцы с ложной ДНК", но это так же, как и "заметать улики". Наверняка на месте преступления будут содержаться и настоящие и "ложные" следы, если кто-то захочет их подкинуть. Как сделать так, чтобы были исключительно ложные следы? Это ничем не проще, и не выгоднее, чем просто постараться не оставлять следов. Я понимаю, если бы преступник после совершения преступления мог бы взять и поменять свою оригинальную ДНК – тогда было бы всё веселее, но и в таком подходе это не панацея: следы (предыдущей) ДНК везде среди вещей, которыми индивид пользуется, и затереть их спецом не просто (как полагаю).
— Гость (02/12/2009 13:22)   <#>


Я на практике не сталкивался с ложными отклонениями как проблемой. Всё прекрасно работает с дефолтными настройками. Ну бывает, иногда первый раз криво пальцем проведёшь – так сразу повторил и всё. Процесс опознавания практически мгновенный. К тому же это бывает очень редко. В сканер вбиваются отпечатки нескольких пальцев на случай повреждения, например, указательного.
— Гость (02/12/2009 14:46)   <#>
«это неидеальная схема»
Просто часть посетителей этого сайта интересуют только идеальные схемы и при этом некоторые из них почему-то полагают, что так должно быть и для всех :)
По поводу ДНК: не понял в чём проблема.
Преступник может заранее намазать перчатки синтезированным ДНК.
— Гость (02/12/2009 14:59)   <#>

Не только перчатки, а весь костюм химзащиты :)
— Гость (02/12/2009 15:54)   <#>
Преступник может заранее намазать перчатки синтезированным ДНК.

Чем это лучше по сравнению с "ненамазыванием"? Надежда на "пустить следствие по ложному следу в надежде что не разберутся"? Вспоминается рассказ (быль?) про кошмар криминалиста, где отпечатки пальцев проставлялись чьим-то отрезанным пальцем, впоследствии всё-таки найденным следаками в морозильнике :)

некоторые из них почему-то полагают, что так должно быть и для всех :)

Вы не правильно интерпретируете. Я подсказал человеку, что хотя его вопрос и разумен в принципе, на конкретно данном сайте маловато народа, интересующегося такого вида "купированием", а потому ответа ждать прийдётся "долго".
— Гость (03/12/2009 10:46)   <#>
Другими словами, обращение к практикам в области безопасности, вызвало интерес, в основном у практиков оффтопика. :) Даже практиков модерирования не привлекли высказывания не по теме. :)

Но тем не менее спасибо. А что, неужели никого не заинтересовало воспроизвести на практике (видео) инструкции по изготовлению муляжа?

Небольшой оффтоп от меня. Вот для развлечения видео на Youtube: MythBusters beat fingerprint security system обратите внимание на тип сканера – он как раз НЕ принадлежит к обсуждаемым.

Ещё могу сказать, что распечатка отпечатка пальца на принтере не смогла обмануть доступный мне сканер в клавиатуре IBM Preferred Pro Fingerprint

Меня заинтересовал сканер отпечатков в частности и как перспективный биометрический компонент многофакторной системы аутентификации для персонального применения.
— Гость (03/12/2009 10:54)   <#>
Возможно, негативное мнение порождено отсутствием "железа" для испытаний? Другими словами "чёрной завистью" ? :) Возможно неосознаваемой... Ну что ж, все мы люди...

Кстати, купить в Москве в розничном количестве по разумной цене (20$) клавиатуру со сканером мне пока не удалось...
— SATtva (03/12/2009 11:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Другими словами "чёрной завистью" ?

Троллинг детектед. Вы не подумали, что незаинтересованность в биометрии обусловлена тем, что при наличии надёжных методов аутентификации nobody cares?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3