Comments 66
А кто говорил, что биометрические данные (а именно отпечаток) — это супер-пупер защита. Как-никак аналог пин-коду. Хотя исследование прикольное.
+6
Зато в тюрьму по отпечаткам — легко и непринуждённо.
+1
Не следует путать идентификацию и аутентификацию. Компрометация отпечатка никак не скажется на надежности идентификации персоны (в случае если стоит перед тобой неизвестный человек и нужно выяснить личность по его отпечатку, когда-то ранее внесенному в базу), но вот аутентификацию в каких-либо более-менее критичных системах делать по пальцу не очень разумно. Да и не делает это никто, кроме как в кино.
+7
Но ведь по скомпрометированному отпечатку можно изготовить искусственный палец и наследить им на месте преступления.
0
И как это может помешать идентифицировать человека по отпечатку?
0
Если снимать отпечатки напрямую с человека, то никак. Я и товарищ выше говорим о случаях, когда по отпечаткам, оставленным на месте преступления идентифицируют преступника.
+2
Аутентификация в любых более-менее критичных системах должна быть двухфакторной просто.
+1
Отпечаток пальца не является стопроцентно надёжным способом идентификации персоны, и это было неоднократно показано на практике. В 1995 году был проведён тест среди экспертов по отпечаткам пальцев. Им было предложено сопоставить семь наборов отпечатков снятых с мест преступлений с четырьмя полными наборами отпечатков снятых после ареста. Всего в тесте принимали участие что-то около ста пятидесяти человек. То ли 60%, то ли все 70% экспертов — сертифицированных признанных специалистов, между прочим — не смогли выполнить задание без ошибок. Кроме того, насколько я знаю, не существует убедительных научных доказательств уникальности отпечатков пальцев. Ошибки идентификации случались раньше, и продолжают случаться. Например Ширли МакКи, офицер полиции, которую чуть не упекли за убийство. В итоге бюджету Шотландии эта ошибка стоила 750000 фунтов стерлингов только в виде компенсации за проведенное под арестом время. И таких примеров ещё много. Тот же троллинг конференции криминалистов, когда им дали их же собственные отпечатки и эталонные наборы известных маньяков прошлого для идентификации с весьма печальным результатом. Возможность подлога тоже высока. Но тем не менее, валидность такого способа идентификации не поддаётся сомнению в суде.
+3
Причины этих проблем не в самих отпечатках, а в людях, в том, как отпечатки собирают, обрабатывают и анализируют. Раньше всего несколько точек контрольных было, маленькие базы отпечатков, не было коллизий. Базы сильно подросли, точности стало не хватать, начались описанные выше проблемы. Увеличили разрешение/количество контрольных точек — проблемы на какое-то время ушли. Вот и всё, никакой мистики или теории заговора.
+1
Сколько нужно «точек», чтобы гарантировать отсутствие ложных срабатываний? Когда человеческий фактор будет исключён из процесса полностью? Где научные доказательства уникальности каждого отпечатка? Вы совершенно правы, никакой мистики и теорий заговора нет. Есть проблема, на которую проще закрыть глаза, чем потом разбираться с последствиями.
0
Обширнее база — больше точек требуется.
Человеческий фактор устраняется полностью только вместе с человеком. bender_rodriges.jpg
В любой системе есть ошибки. В любой. Давайте сразу обернемся в простыню и поползем на кладбище. Всё тлен и тщета.
Человеческий фактор устраняется полностью только вместе с человеком. bender_rodriges.jpg
В любой системе есть ошибки. В любой. Давайте сразу обернемся в простыню и поползем на кладбище. Всё тлен и тщета.
0
Отпечатки не являются ни необходимым, ни достаточным условием для посадки же. Одна из возможных улик, не более.
+1
И тем не менее, эта одна из возможных улик может решить судьбу подсудимого.
0
В случае с присяжными, например, все решает их мнение. Убедят ли их улики в виновности подсудимого или нет. А в итоге все зависит от таланта адвоката vs следователя.
0
Я вот никак не могу понять о чем вы говорите. Совпали мои отпечатки(потому что, случайность) с отпечатками на месте преступления. Я был с друзьями и вообще возможно в другом городе. Никто меня никуда не посадит. Я был недалеко, у меня были мотивы и тд и еще отпечатки совпали, да отпечатки решат мою судьбу, но это 99.99999% и был я. Тот мизерный шанс когда я мог быть причастен к преступлению да еще мои отпечатки совпали с отпечатками преступника не стоит упоминания потому что он мизерный, крайне мизерный, один на миллион или вообще на всю практику судопроизводства.
0
Это общественный стереотип
Но мало того что возможность смены биометрических параметров исключена, например в случае компрометации базы.
Так еще их легко подделать.
Но мало того что возможность смены биометрических параметров исключена, например в случае компрометации базы.
Так еще их легко подделать.
0
Зависит от применения. Если идентификация на проход в охраняемое здание, то фальшивые данные подсунуть тяжело. А у смартфонов любая защита в принципе не надежнее tot13.
0
Автор бесстрашно решил что Чак пригоден для КДПВ
+1
Но почему у парня из первого видео так жестоко трясутся руки? :)
+3
Ну это же биометрический хакер Starbug, он применяет активную защиту от камеры, чтобы не своровали его отпечатки пальцев.
+20
Теперь я знаю как в армейской столовой можно 2 раза пообедать!
+3
В случае, если кто-то не очень понял по немецкому видео, что происходит:
Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.
- cканируем или фотографируем отпечаток;
- переводим в монохром: выступы белым, ямки чёрным;
- печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
- гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
- отмываем бумагу водой;
- травим хлоридом железа;
- смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
- наносим жидкую резину (силиконовую замазку для щелей, что угодно);
- после затвердевания получаем наш палец.
Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.
+8
UFO just landed and posted this here
Больше всех попали мусульмане, иншалла ☝️
+5
Никогда биометрии не доверял. В наше время снять «пальчики» с дверной ручки или бутылки из-под воды и откатать в силиконе не сложно даже дилетанту, а с появлением камер с высоким разрешением/скоростью и аутетникация по радужке уже ненадежна. Только глазное дно пока более-менее…
0
Опрос в конце «Вы доверяете биометрии?» не соответствует статье. Фото в паспорте — тоже биометрия. Если не доверять биометрии — то чему доверять? Наличию чипа? Так чип можно украсть, это еще проще.
Биометрия наше все. Просто нужно развивать технологии, а не пальцем в ридере ковыряться. Идентификация по лицу, сетчатке, руке и пр. По зубам, по ДНК в конце концов. Другого просто ничего нет.
Биометрия наше все. Просто нужно развивать технологии, а не пальцем в ридере ковыряться. Идентификация по лицу, сетчатке, руке и пр. По зубам, по ДНК в конце концов. Другого просто ничего нет.
+7
Так лицо даже подделывать не надо — просто подсовываешь в сканер 10" планшет с фото пациента.
0
Уже развиты и используются системы, которые сканируют лицо в объеме (форму черепа). Их сложнее обмануть, чем просто камеру.
0
Берем тот же сканер и 3D принтер… все равно биометрия — это то же самое что написать свой пароль на листочке и приклеить на лоб.
0
Сканирование лица в HD 4Dinf тоже вполне по силам совреиенным технологиям. Под этим имею ввиду сканирование 3D по многу «кадров» в течение некоторого промежутка времени (порядка 3-5 сек, — оно суть 4е измерение), с применением инфракрасной камеры.
Аутентификация производится по факту правдоподобности (HD) и 3D-различности «3D-кадров», а также дополнительный уровень аутентификации определяется через ИК-спектр по уникальному тепловому рисунку лица. (температурный паттерн лица www.gadgetblog.ru/8315/ )
Живость лица определяется опять же по тому принципу, что оно не только имеет характерную геометрическую 3D-модель и образ (текстуру) в видимом спектре, но и тому, что оно не статично геометрически и присутствует соответствующий образ 3D-модели в ИК спектре и его характерные пульсации для процесса сердцебиения.
Тоже конечно теоретически взломать можно, построив убедительную модель головы. =) Но это уже не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов.
В принципе, теоретически, не видно помех сделать модель (копию) нужного тела человека с любой степенью детализации. И даже засунуть в этот плод хакерского прогресса ИИ, на мощностях небольшого компа на органических транзисторах, спрятанного в псевдокостях, — чтобы «тело» не выглядело пустым болванчиком, вплоть до частичного прохождения теста Тьюринга, и подходящей имитацией характера и привычек «цели» с соответствующей подходящей базой знаний. Если это не реальность 2015, то вполне может быть реальностью 2030, благо по всем озвученным направлениям технологии в зародышевом или относительно развитом состоянии уже сегодня.
Аутентификация производится по факту правдоподобности (HD) и 3D-различности «3D-кадров», а также дополнительный уровень аутентификации определяется через ИК-спектр по уникальному тепловому рисунку лица. (температурный паттерн лица www.gadgetblog.ru/8315/ )
Живость лица определяется опять же по тому принципу, что оно не только имеет характерную геометрическую 3D-модель и образ (текстуру) в видимом спектре, но и тому, что оно не статично геометрически и присутствует соответствующий образ 3D-модели в ИК спектре и его характерные пульсации для процесса сердцебиения.
Тоже конечно теоретически взломать можно, построив убедительную модель головы. =) Но это уже не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов.
В принципе, теоретически, не видно помех сделать модель (копию) нужного тела человека с любой степенью детализации. И даже засунуть в этот плод хакерского прогресса ИИ, на мощностях небольшого компа на органических транзисторах, спрятанного в псевдокостях, — чтобы «тело» не выглядело пустым болванчиком, вплоть до частичного прохождения теста Тьюринга, и подходящей имитацией характера и привычек «цели» с соответствующей подходящей базой знаний. Если это не реальность 2015, то вполне может быть реальностью 2030, благо по всем озвученным направлениям технологии в зародышевом или относительно развитом состоянии уже сегодня.
0
Хм, так то оно так, в том же айфоне тоже обещали кучу проверок и «не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов» и что в итоге: скотч и палец и все взламывается.
Подозреваю что с лицом все будет даже проще, чем с 3д принтером возится — надо просто изготовить что-то вроде маски и надеть ее на такое же лицо. Врядли точность инфракрасной карты будет достаточно высока для улавливания существенной разницы между персонами.
Подозреваю что с лицом все будет даже проще, чем с 3д принтером возится — надо просто изготовить что-то вроде маски и надеть ее на такое же лицо. Врядли точность инфракрасной карты будет достаточно высока для улавливания существенной разницы между персонами.
0
Вы путаете два разных процесса.
Биометрия непригодна для аутентификации. Для авторизации она вполне нормально подходит.
Биометрия непригодна для аутентификации. Для авторизации она вполне нормально подходит.
0
А не наоборот? Аутентификация — процедура проверки подлинности, авторизация — предоставление прав.
+1
Вы немного путаете понятия, хоть и привели верное определение.
Аутентификация расширяет авторизацию. Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой. Например с помощью пароля.
И вы правы — Авторизация определяет предоставленные права, но без Аутентификации она недостоверна.
С биометрией эти оба этапа объединены в один и более того проводятся по одним и тем же признакам. С точки зрения ИБ так делать нельзя. Более того есть проблема в случае компрометации базы признаков. Если пароли можно сменить, отпечатки пальцев уже не сменить.
Аутентификация расширяет авторизацию. Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой. Например с помощью пароля.
И вы правы — Авторизация определяет предоставленные права, но без Аутентификации она недостоверна.
С биометрией эти оба этапа объединены в один и более того проводятся по одним и тем же признакам. С точки зрения ИБ так делать нельзя. Более того есть проблема в случае компрометации базы признаков. Если пароли можно сменить, отпечатки пальцев уже не сменить.
0
Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой.
Сначала идёт этап аутентификации. Система определяет, что вы — это вы. Вы показываете логин, а то, что вы — это вы доказываете при помощи секрета (пароля). Прошли аутентификацию — после этого система авторизует вас, выдаёт на этот логин определённые права.
Меня учили так.
Поэтому когда вы пишете своё предложение «на этапе авторизации» — мне хочется уточнить, что выдавать права нужно после аутентификации, что вы путанно выражаетесь — и лучше говорить так, чтобы было сразу ясно без пояснений.
Фраза «аутентификация расширяет авторизацию» — фраза с моей точки зрения вообще малоосмысленная. «Этап А расширяет этап Б», это равные этапы, поэтому уже нехорошо говорить, что один этап расширяет другой. Я ещё мог бы понять фразу «последующий этап расширяет предыдущий», но когда что-то предшествующее расширяет последующее — это есть процесс говорения весьма запутанных фраз.
Биометрия пригодна как раз для аутентификации «Да, Иванов — это я, вот мой уникальный неподдельный секрет (сетчатка глаза)». Как тут верно пишут — претензии как раз к тому, что легко подделываются все эти отпечатки, сетчатки и т.п.
А как и что авторизовать, какие права выдавать — это уже зависит от системы, роль биометрии как средства аутентификации закончилась.
В общем, странное у вас на мой взгляд видение аутентификации и авторизации.
0
Вы оба путаете, по моему. Упускаете такой шаг как идентификацию.
Идентификация: Кто этот тип? Вася.
Аутентификация: Действительно Вася? Да, пароль знает.
Авторизация: Вася входит в список доступа, открываем дверь.
Биометрия подходит для идентификации (определить, кем может являться субъект). Пароль — для аутентификации (подтвердить, что субъект действительно им являеся). А механизм дверного замка — для авторизации (предоставить субъекту положенные ему права).
Т.е., по биометрическим данным можно определить только кем субъект точно не является — если мой рост 160см, то я точно не Валуев, но даже если я ростом 213см, то всё равно не факт, что я Валуев.
Идентификация: Кто этот тип? Вася.
Аутентификация: Действительно Вася? Да, пароль знает.
Авторизация: Вася входит в список доступа, открываем дверь.
Биометрия подходит для идентификации (определить, кем может являться субъект). Пароль — для аутентификации (подтвердить, что субъект действительно им являеся). А механизм дверного замка — для авторизации (предоставить субъекту положенные ему права).
Т.е., по биометрическим данным можно определить только кем субъект точно не является — если мой рост 160см, то я точно не Валуев, но даже если я ростом 213см, то всё равно не факт, что я Валуев.
0
UFO just landed and posted this here
>Ну или возле двери по башке дали, руку приложили и зашли в хату.
Так что мешает возле двери (или где угодно) по башке дать и ключи отобрать?
Биометрию как правило сочетают с другим фактором аутентификации. Например идея (вроде уже реализованная): замок на двери со сканером отпечатков, если с той стороны двери обнаружено определенное BT или wi-fi устройство — открываем сразу, если не обнаружено — требуем донабрать пин (на крайняк — повернуть ключ). Удобство на высоте, защищенность как минимум не хуже чем у традиционных ключей, с которых опытный щипач без проблем сделает слепок без вашего ведома (и вообще, любой замок поддается взлому). Добавляем маленький obscurity (в дополнение к основным методам защиты это неплохо) — сканер отпечатков малозаметный, если не искать целенаправленно — не увидишь. Классический замок собрать для троллинга вора — сделать его принципиально не проворачивающимся, пока отпечаток не сосканирован. Или еще что-нибудь подобное.
Так что мешает возле двери (или где угодно) по башке дать и ключи отобрать?
Биометрию как правило сочетают с другим фактором аутентификации. Например идея (вроде уже реализованная): замок на двери со сканером отпечатков, если с той стороны двери обнаружено определенное BT или wi-fi устройство — открываем сразу, если не обнаружено — требуем донабрать пин (на крайняк — повернуть ключ). Удобство на высоте, защищенность как минимум не хуже чем у традиционных ключей, с которых опытный щипач без проблем сделает слепок без вашего ведома (и вообще, любой замок поддается взлому). Добавляем маленький obscurity (в дополнение к основным методам защиты это неплохо) — сканер отпечатков малозаметный, если не искать целенаправленно — не увидишь. Классический замок собрать для троллинга вора — сделать его принципиально не проворачивающимся, пока отпечаток не сосканирован. Или еще что-нибудь подобное.
0
Биометрия не слишком надежна, это факт, но она отлично работает, как часть многофакторной авторизации. Одним из факторов может быть пароль — фактор знания. Другим — получаемая на телефон СМС — фактор владения (подтвержденным телефонным номером). Ну или владение неким физическим ключом, например. Третьим — биометрия — биометрический фактор. Один из этих факторов можно так или иначе скомпрометировать, два или три одновременно скомпрометировать гораздо сложнее.
Исходя из этого, не придумал, что ответить в опросе. Самой биометрии можно доверять или не доверять одновременно, в зависимости от условий применения.
Исходя из этого, не придумал, что ответить в опросе. Самой биометрии можно доверять или не доверять одновременно, в зависимости от условий применения.
+1
Существует всего два «фактора» в многофакторной аутентификации: «что я имею» и «что я знаю». Токен и ПИН к нему. SSH-ключ и пассфраза к нему. Металлический ключ + цифровой код к сейфу.
А биометрия это такой плохой вариант «что я имею»: при компрометации сменить почти невозможно, отпечатки везде остаются, сетчатку тоже наверное уже можно сфотографировать издалека, и так далее.
А биометрия это такой плохой вариант «что я имею»: при компрометации сменить почти невозможно, отпечатки везде остаются, сетчатку тоже наверное уже можно сфотографировать издалека, и так далее.
+1
Я классически лоханулся перепутав аутентификацию и авторизацию, но факторы я назвал правильно. Их три (как минимум). Биометрия это не то, чем я владею, а то, что является частью меня. Фактор владения как бы не обязан идентифицировать человека (ключ от замка может быть у разных людей одновременно, например), а биометрический обязан. Ддругое дело, что сейчас очень уж легко компрометируется, или может быть утрачен, а хозяин действительно не может его заменить. Тем не менее, биометрия в сочетании с фактором владения или знания нередко применяется в различных замках и всяких таких системах контроля доступа.
Надо еще учитывать, что хотя, к примеру, отпечаток пальца легко получить и подделать, но это уже прямая атака на конкретного субъекта, тогда как, скажем, пароль может быть получен в результате атаки в режиме «ничего личного» в массовом порядке при фишинге или вирусной атаке. Надежность того или иного способа или их сочетания надо оценивать в конкретных условиях. И не забывать, что безопасность находится в компромисе с удобством.
Надо еще учитывать, что хотя, к примеру, отпечаток пальца легко получить и подделать, но это уже прямая атака на конкретного субъекта, тогда как, скажем, пароль может быть получен в результате атаки в режиме «ничего личного» в массовом порядке при фишинге или вирусной атаке. Надежность того или иного способа или их сочетания надо оценивать в конкретных условиях. И не забывать, что безопасность находится в компромисе с удобством.
0
Ну. как — то не совсем корректно всю биометрию к отпечатку пальца сводить, имхо. Есть сканеры по рисунку кровеносных сосудов — megaobzor.com/kompaniya-Fujitsu-anonsirovala-samyy-malenkiy-skaner-krovenosnyh-sosudov.html.
Так же, более сложные сканеры, смотрят тепловой спектр пальца — живой объект или нет. А взлом бытовых сканеров — это не показатель судить об индустрии.
Так же, более сложные сканеры, смотрят тепловой спектр пальца — живой объект или нет. А взлом бытовых сканеров — это не показатель судить об индустрии.
+1
Отпечатки пальцев, сетчатка глаза, это только для идентификации пользователя, которое отвечает на вопрос кто? Для доступа в систему, применяют инструменты — смарткарты, ключи, токены, отвечают на вопрос — чем? И третье, пароль, ключевое слово для доступа.
0
(надеюсь, что мужик жив и просто спит) надпись под фото.
Улыбнуло )))
0
> «Наверное, в будущем политики будут появляться на публике только
> в перчатках», — пошутил Starbug в конце своего выступления.
Он наверняка не читал Александра Мирера «Дом Скитальцев»
( часть 1: www.lib.ru/MIRER/domskita.txt часть 2: www.lib.ru/MIRER/domskit2.txt )
Перчатки — самая главная деталь в одежде, которая удостоверяет, что перед тобой балог, а не захвативший его тело чхаг.
> в перчатках», — пошутил Starbug в конце своего выступления.
Он наверняка не читал Александра Мирера «Дом Скитальцев»
( часть 1: www.lib.ru/MIRER/domskita.txt часть 2: www.lib.ru/MIRER/domskit2.txt )
Перчатки — самая главная деталь в одежде, которая удостоверяет, что перед тобой балог, а не захвативший его тело чхаг.
0
Офигенный зум!)))
-4
Sign up to leave a comment.
Уязвимость «большого пальца»: я твой палец по фотографии взломаю