Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 19
а интересно насколько падает надежность если подписывает в дупель пьяный субъект, если пишут не рукописный буквы, а печатными, увеличивается ли надежность, если будет не подпись, а предложение или два?
Ну и чисто ради любопытства: если метод не дает высокой гарантии — зачем он?
Ну и чисто ради любопытства: если метод не дает высокой гарантии — зачем он?
хм.
Кажется, тут может быть уязвимость. При неограниченном количестве попыток можно превратить одну подпись в другую так, что хозяин не сможет подписать документ.
В случае успешной аутентификации пользователя, введенная реализация рукописного слова добавляется в эталон, вытесняя из него самую позднюю реализацию. Таким образом, эталон рукописного пароля всегда обновляется и становится не чувствительным к изменениям почерка пользователя.
Кажется, тут может быть уязвимость. При неограниченном количестве попыток можно превратить одну подпись в другую так, что хозяин не сможет подписать документ.
Это хорошо, что Вашу подпись умеет писать отец :) — человек, которому Вы доверяете.
А вот представьте если на его месте окажется злоумышленник…
Банкам все равно кто предъявил образец подписи. Образцы сравнивают как изображения.
Я тоже не могу одинаково расписываться… При этом динамика моей подписи на 80% траектории подписи достаточно стабильна.
Signtologin этого достаточно, чтобы меня идентифицировать
А вот представьте если на его месте окажется злоумышленник…
Банкам все равно кто предъявил образец подписи. Образцы сравнивают как изображения.
Я тоже не могу одинаково расписываться… При этом динамика моей подписи на 80% траектории подписи достаточно стабильна.
Signtologin этого достаточно, чтобы меня идентифицировать
Теоретически это возможно, если злоумышленник распишется 10 раз успешно за хозяина, так как в эталон записываются только успешные реализации! А успешная реализация возможна если процент совпадения превысил заданный порог. Следовательно, геометрия подписи кардинально измениться не может!
То есть очередь в 10 подписей. Динамика 80%. 10 раз авторизуемся с подписью в которую добавили особенность так, что бы она попадала в погрешность в 20%. Ещё 10 раз, добавляем следующую особенность. И так до получения нужного результата.
Конечно, надо проверять экспериментально, но над защитой от этого я бы подумал.
Конечно, надо проверять экспериментально, но над защитой от этого я бы подумал.
После каждого апдейта эталона можно нотифицировать владельца подписи по независимому каналу (смс/электропочта например). Или ввести таймаут после каждого апдейта (чтобы нельзя было за полчаса полностью сменить эталон). Или еще вариант — при слишком быстрой динамике смены эталона — блокировать его апдейт до последующего подтверждения владельцем.
При регистрации Google отправил письмо о подтверждении регистрации в спам с сообщением: «Будьте осторожны! Подобные письма были отмечены другими пользователями как спам.»
С тачпада на ноутбуке расписываться конечно очень неудобно, тем более что приходится одновременно его зажимать тем пальцем, которым расписываешься. Однако система пускает примерно в четверти попыток) По крайне мере я, глядя на этот ужас который у меня вышел на тачпаде — свою подпись бы не узнал) Ну а вот уже при попытке войти нарисовав свою подпись на тачскрине (как положено) — система меня не пустила)
Поддержки стандартного wacom пера нет (surface pro 2). Тачскрин работает, но согласитесь пером было бы гораздо лучше + регистрация уровня давления.
1. По моему при определённой сноровке и некоторой тренировке такую подпись можно очень просто подделать.
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…
1. Вы говорите про приложение, которое будет по рисунку обводить траекторию? Нужно будет повторить динамику. В явном виде её нет на изображении, можно только догадываться.
2. У нас есть защита от 2-х одинаковых до пиксела реализациях, т.к. повторить подписи с точностью 1:1 невозможно!
3. А какая разница? Мы же не проводим сравнение 1:N (один ко многим). У нас сравнивается введенная реализация с конкретным эталоном (один к одному)
по ЭЦП: Если Вам нужно быть на 100% уверенным, что договор подписан лично руководителем, а не тем кому он делегировал свою ЭЦП, то тогда наша технология для Вас :) А если нужно формально соблюсти юридическую значимость, то ЭЦП + pin-код достаточно!
2. У нас есть защита от 2-х одинаковых до пиксела реализациях, т.к. повторить подписи с точностью 1:1 невозможно!
3. А какая разница? Мы же не проводим сравнение 1:N (один ко многим). У нас сравнивается введенная реализация с конкретным эталоном (один к одному)
по ЭЦП: Если Вам нужно быть на 100% уверенным, что договор подписан лично руководителем, а не тем кому он делегировал свою ЭЦП, то тогда наша технология для Вас :) А если нужно формально соблюсти юридическую значимость, то ЭЦП + pin-код достаточно!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Биометрическая подпись на документе