Comments 66
А кто говорил, что биометрические данные (а именно отпечаток) — это супер-пупер защита. Как-никак аналог пин-коду. Хотя исследование прикольное.
Зато в тюрьму по отпечаткам — легко и непринуждённо.
Не следует путать идентификацию и аутентификацию. Компрометация отпечатка никак не скажется на надежности идентификации персоны (в случае если стоит перед тобой неизвестный человек и нужно выяснить личность по его отпечатку, когда-то ранее внесенному в базу), но вот аутентификацию в каких-либо более-менее критичных системах делать по пальцу не очень разумно. Да и не делает это никто, кроме как в кино.
Но ведь по скомпрометированному отпечатку можно изготовить искусственный палец и наследить им на месте преступления.
Аутентификация в любых более-менее критичных системах должна быть двухфакторной просто.
Отпечаток пальца не является стопроцентно надёжным способом идентификации персоны, и это было неоднократно показано на практике. В 1995 году был проведён тест среди экспертов по отпечаткам пальцев. Им было предложено сопоставить семь наборов отпечатков снятых с мест преступлений с четырьмя полными наборами отпечатков снятых после ареста. Всего в тесте принимали участие что-то около ста пятидесяти человек. То ли 60%, то ли все 70% экспертов — сертифицированных признанных специалистов, между прочим — не смогли выполнить задание без ошибок. Кроме того, насколько я знаю, не существует убедительных научных доказательств уникальности отпечатков пальцев. Ошибки идентификации случались раньше, и продолжают случаться. Например Ширли МакКи, офицер полиции, которую чуть не упекли за убийство. В итоге бюджету Шотландии эта ошибка стоила 750000 фунтов стерлингов только в виде компенсации за проведенное под арестом время. И таких примеров ещё много. Тот же троллинг конференции криминалистов, когда им дали их же собственные отпечатки и эталонные наборы известных маньяков прошлого для идентификации с весьма печальным результатом. Возможность подлога тоже высока. Но тем не менее, валидность такого способа идентификации не поддаётся сомнению в суде.
Причины этих проблем не в самих отпечатках, а в людях, в том, как отпечатки собирают, обрабатывают и анализируют. Раньше всего несколько точек контрольных было, маленькие базы отпечатков, не было коллизий. Базы сильно подросли, точности стало не хватать, начались описанные выше проблемы. Увеличили разрешение/количество контрольных точек — проблемы на какое-то время ушли. Вот и всё, никакой мистики или теории заговора.
Сколько нужно «точек», чтобы гарантировать отсутствие ложных срабатываний? Когда человеческий фактор будет исключён из процесса полностью? Где научные доказательства уникальности каждого отпечатка? Вы совершенно правы, никакой мистики и теорий заговора нет. Есть проблема, на которую проще закрыть глаза, чем потом разбираться с последствиями.
Отпечатки не являются ни необходимым, ни достаточным условием для посадки же. Одна из возможных улик, не более.
И тем не менее, эта одна из возможных улик может решить судьбу подсудимого.
В случае с присяжными, например, все решает их мнение. Убедят ли их улики в виновности подсудимого или нет. А в итоге все зависит от таланта адвоката vs следователя.
Я вот никак не могу понять о чем вы говорите. Совпали мои отпечатки(потому что, случайность) с отпечатками на месте преступления. Я был с друзьями и вообще возможно в другом городе. Никто меня никуда не посадит. Я был недалеко, у меня были мотивы и тд и еще отпечатки совпали, да отпечатки решат мою судьбу, но это 99.99999% и был я. Тот мизерный шанс когда я мог быть причастен к преступлению да еще мои отпечатки совпали с отпечатками преступника не стоит упоминания потому что он мизерный, крайне мизерный, один на миллион или вообще на всю практику судопроизводства.
Это общественный стереотип
Но мало того что возможность смены биометрических параметров исключена, например в случае компрометации базы.
Так еще их легко подделать.
Но мало того что возможность смены биометрических параметров исключена, например в случае компрометации базы.
Так еще их легко подделать.
Зависит от применения. Если идентификация на проход в охраняемое здание, то фальшивые данные подсунуть тяжело. А у смартфонов любая защита в принципе не надежнее tot13.
Помнится, разрушители мифов как-то сломали промышленный замок со сканером пальцев… кусочком бумаги с распечатанным отпечатком :) Что не прокатило с «даже ноутбуком».
Автор бесстрашно решил что Чак пригоден для КДПВ
Но почему у парня из первого видео так жестоко трясутся руки? :)
Ну это же биометрический хакер Starbug, он применяет активную защиту от камеры, чтобы не своровали его отпечатки пальцев.
Теперь я знаю как в армейской столовой можно 2 раза пообедать!
В случае, если кто-то не очень понял по немецкому видео, что происходит:
Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.
- cканируем или фотографируем отпечаток;
- переводим в монохром: выступы белым, ямки чёрным;
- печатаем на лазерном принтере на фотобумаге (знатоки уже почуяли ЛУТ, да);
- гладим утюгом распечатку по текстолиту, чтобы перешёл тонер;
- отмываем бумагу водой;
- травим хлоридом железа;
- смазываем тонким слоем какого-нибудь жира, чтобы резина отошла легко;
- наносим жидкую резину (силиконовую замазку для щелей, что угодно);
- после затвердевания получаем наш палец.
Выступы на картинке должны быть белым, потому что на текстолите они отмечают области, которые нужно травить, т.е. будут ямками, а после нанесения резины станут обратно выступами.
UFO just landed and posted this here
Больше всех попали мусульмане, иншалла ☝️
Никогда биометрии не доверял. В наше время снять «пальчики» с дверной ручки или бутылки из-под воды и откатать в силиконе не сложно даже дилетанту, а с появлением камер с высоким разрешением/скоростью и аутетникация по радужке уже ненадежна. Только глазное дно пока более-менее…
Опрос в конце «Вы доверяете биометрии?» не соответствует статье. Фото в паспорте — тоже биометрия. Если не доверять биометрии — то чему доверять? Наличию чипа? Так чип можно украсть, это еще проще.
Биометрия наше все. Просто нужно развивать технологии, а не пальцем в ридере ковыряться. Идентификация по лицу, сетчатке, руке и пр. По зубам, по ДНК в конце концов. Другого просто ничего нет.
Биометрия наше все. Просто нужно развивать технологии, а не пальцем в ридере ковыряться. Идентификация по лицу, сетчатке, руке и пр. По зубам, по ДНК в конце концов. Другого просто ничего нет.
Так лицо даже подделывать не надо — просто подсовываешь в сканер 10" планшет с фото пациента.
Уже развиты и используются системы, которые сканируют лицо в объеме (форму черепа). Их сложнее обмануть, чем просто камеру.
Берем тот же сканер и 3D принтер… все равно биометрия — это то же самое что написать свой пароль на листочке и приклеить на лоб.
Сканирование лица в HD 4Dinf тоже вполне по силам совреиенным технологиям. Под этим имею ввиду сканирование 3D по многу «кадров» в течение некоторого промежутка времени (порядка 3-5 сек, — оно суть 4е измерение), с применением инфракрасной камеры.
Аутентификация производится по факту правдоподобности (HD) и 3D-различности «3D-кадров», а также дополнительный уровень аутентификации определяется через ИК-спектр по уникальному тепловому рисунку лица. (температурный паттерн лица www.gadgetblog.ru/8315/ )
Живость лица определяется опять же по тому принципу, что оно не только имеет характерную геометрическую 3D-модель и образ (текстуру) в видимом спектре, но и тому, что оно не статично геометрически и присутствует соответствующий образ 3D-модели в ИК спектре и его характерные пульсации для процесса сердцебиения.
Тоже конечно теоретически взломать можно, построив убедительную модель головы. =) Но это уже не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов.
В принципе, теоретически, не видно помех сделать модель (копию) нужного тела человека с любой степенью детализации. И даже засунуть в этот плод хакерского прогресса ИИ, на мощностях небольшого компа на органических транзисторах, спрятанного в псевдокостях, — чтобы «тело» не выглядело пустым болванчиком, вплоть до частичного прохождения теста Тьюринга, и подходящей имитацией характера и привычек «цели» с соответствующей подходящей базой знаний. Если это не реальность 2015, то вполне может быть реальностью 2030, благо по всем озвученным направлениям технологии в зародышевом или относительно развитом состоянии уже сегодня.
Аутентификация производится по факту правдоподобности (HD) и 3D-различности «3D-кадров», а также дополнительный уровень аутентификации определяется через ИК-спектр по уникальному тепловому рисунку лица. (температурный паттерн лица www.gadgetblog.ru/8315/ )
Живость лица определяется опять же по тому принципу, что оно не только имеет характерную геометрическую 3D-модель и образ (текстуру) в видимом спектре, но и тому, что оно не статично геометрически и присутствует соответствующий образ 3D-модели в ИК спектре и его характерные пульсации для процесса сердцебиения.
Тоже конечно теоретически взломать можно, построив убедительную модель головы. =) Но это уже не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов.
В принципе, теоретически, не видно помех сделать модель (копию) нужного тела человека с любой степенью детализации. И даже засунуть в этот плод хакерского прогресса ИИ, на мощностях небольшого компа на органических транзисторах, спрятанного в псевдокостях, — чтобы «тело» не выглядело пустым болванчиком, вплоть до частичного прохождения теста Тьюринга, и подходящей имитацией характера и привычек «цели» с соответствующей подходящей базой знаний. Если это не реальность 2015, то вполне может быть реальностью 2030, благо по всем озвученным направлениям технологии в зародышевом или относительно развитом состоянии уже сегодня.
Хм, так то оно так, в том же айфоне тоже обещали кучу проверок и «не уровень типа напечатай на домашнем принтере с применением сподручных материалов и методов» и что в итоге: скотч и палец и все взламывается.
Подозреваю что с лицом все будет даже проще, чем с 3д принтером возится — надо просто изготовить что-то вроде маски и надеть ее на такое же лицо. Врядли точность инфракрасной карты будет достаточно высока для улавливания существенной разницы между персонами.
Подозреваю что с лицом все будет даже проще, чем с 3д принтером возится — надо просто изготовить что-то вроде маски и надеть ее на такое же лицо. Врядли точность инфракрасной карты будет достаточно высока для улавливания существенной разницы между персонами.
Вы путаете два разных процесса.
Биометрия непригодна для аутентификации. Для авторизации она вполне нормально подходит.
Биометрия непригодна для аутентификации. Для авторизации она вполне нормально подходит.
А не наоборот? Аутентификация — процедура проверки подлинности, авторизация — предоставление прав.
Вы немного путаете понятия, хоть и привели верное определение.
Аутентификация расширяет авторизацию. Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой. Например с помощью пароля.
И вы правы — Авторизация определяет предоставленные права, но без Аутентификации она недостоверна.
С биометрией эти оба этапа объединены в один и более того проводятся по одним и тем же признакам. С точки зрения ИБ так делать нельзя. Более того есть проблема в случае компрометации базы признаков. Если пароли можно сменить, отпечатки пальцев уже не сменить.
Аутентификация расширяет авторизацию. Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой. Например с помощью пароля.
И вы правы — Авторизация определяет предоставленные права, но без Аутентификации она недостоверна.
С биометрией эти оба этапа объединены в один и более того проводятся по одним и тем же признакам. С точки зрения ИБ так делать нельзя. Более того есть проблема в случае компрометации базы признаков. Если пароли можно сменить, отпечатки пальцев уже не сменить.
Т.е. на этапе Авторизации система определяет кто вы. Например по логину, или в случае биометрии по отпечатку пальца. На этапе Аутентификации вы подтверждаете что логин ваш, а не чужой.
Сначала идёт этап аутентификации. Система определяет, что вы — это вы. Вы показываете логин, а то, что вы — это вы доказываете при помощи секрета (пароля). Прошли аутентификацию — после этого система авторизует вас, выдаёт на этот логин определённые права.
Меня учили так.
Поэтому когда вы пишете своё предложение «на этапе авторизации» — мне хочется уточнить, что выдавать права нужно после аутентификации, что вы путанно выражаетесь — и лучше говорить так, чтобы было сразу ясно без пояснений.
Фраза «аутентификация расширяет авторизацию» — фраза с моей точки зрения вообще малоосмысленная. «Этап А расширяет этап Б», это равные этапы, поэтому уже нехорошо говорить, что один этап расширяет другой. Я ещё мог бы понять фразу «последующий этап расширяет предыдущий», но когда что-то предшествующее расширяет последующее — это есть процесс говорения весьма запутанных фраз.
Биометрия пригодна как раз для аутентификации «Да, Иванов — это я, вот мой уникальный неподдельный секрет (сетчатка глаза)». Как тут верно пишут — претензии как раз к тому, что легко подделываются все эти отпечатки, сетчатки и т.п.
А как и что авторизовать, какие права выдавать — это уже зависит от системы, роль биометрии как средства аутентификации закончилась.
В общем, странное у вас на мой взгляд видение аутентификации и авторизации.
Вы оба путаете, по моему. Упускаете такой шаг как идентификацию.
Идентификация: Кто этот тип? Вася.
Аутентификация: Действительно Вася? Да, пароль знает.
Авторизация: Вася входит в список доступа, открываем дверь.
Биометрия подходит для идентификации (определить, кем может являться субъект). Пароль — для аутентификации (подтвердить, что субъект действительно им являеся). А механизм дверного замка — для авторизации (предоставить субъекту положенные ему права).
Т.е., по биометрическим данным можно определить только кем субъект точно не является — если мой рост 160см, то я точно не Валуев, но даже если я ростом 213см, то всё равно не факт, что я Валуев.
Идентификация: Кто этот тип? Вася.
Аутентификация: Действительно Вася? Да, пароль знает.
Авторизация: Вася входит в список доступа, открываем дверь.
Биометрия подходит для идентификации (определить, кем может являться субъект). Пароль — для аутентификации (подтвердить, что субъект действительно им являеся). А механизм дверного замка — для авторизации (предоставить субъекту положенные ему права).
Т.е., по биометрическим данным можно определить только кем субъект точно не является — если мой рост 160см, то я точно не Валуев, но даже если я ростом 213см, то всё равно не факт, что я Валуев.
UFO just landed and posted this here
>Ну или возле двери по башке дали, руку приложили и зашли в хату.
Так что мешает возле двери (или где угодно) по башке дать и ключи отобрать?
Биометрию как правило сочетают с другим фактором аутентификации. Например идея (вроде уже реализованная): замок на двери со сканером отпечатков, если с той стороны двери обнаружено определенное BT или wi-fi устройство — открываем сразу, если не обнаружено — требуем донабрать пин (на крайняк — повернуть ключ). Удобство на высоте, защищенность как минимум не хуже чем у традиционных ключей, с которых опытный щипач без проблем сделает слепок без вашего ведома (и вообще, любой замок поддается взлому). Добавляем маленький obscurity (в дополнение к основным методам защиты это неплохо) — сканер отпечатков малозаметный, если не искать целенаправленно — не увидишь. Классический замок собрать для троллинга вора — сделать его принципиально не проворачивающимся, пока отпечаток не сосканирован. Или еще что-нибудь подобное.
Так что мешает возле двери (или где угодно) по башке дать и ключи отобрать?
Биометрию как правило сочетают с другим фактором аутентификации. Например идея (вроде уже реализованная): замок на двери со сканером отпечатков, если с той стороны двери обнаружено определенное BT или wi-fi устройство — открываем сразу, если не обнаружено — требуем донабрать пин (на крайняк — повернуть ключ). Удобство на высоте, защищенность как минимум не хуже чем у традиционных ключей, с которых опытный щипач без проблем сделает слепок без вашего ведома (и вообще, любой замок поддается взлому). Добавляем маленький obscurity (в дополнение к основным методам защиты это неплохо) — сканер отпечатков малозаметный, если не искать целенаправленно — не увидишь. Классический замок собрать для троллинга вора — сделать его принципиально не проворачивающимся, пока отпечаток не сосканирован. Или еще что-нибудь подобное.
Биометрия не слишком надежна, это факт, но она отлично работает, как часть многофакторной авторизации. Одним из факторов может быть пароль — фактор знания. Другим — получаемая на телефон СМС — фактор владения (подтвержденным телефонным номером). Ну или владение неким физическим ключом, например. Третьим — биометрия — биометрический фактор. Один из этих факторов можно так или иначе скомпрометировать, два или три одновременно скомпрометировать гораздо сложнее.
Исходя из этого, не придумал, что ответить в опросе. Самой биометрии можно доверять или не доверять одновременно, в зависимости от условий применения.
Исходя из этого, не придумал, что ответить в опросе. Самой биометрии можно доверять или не доверять одновременно, в зависимости от условий применения.
Существует всего два «фактора» в многофакторной аутентификации: «что я имею» и «что я знаю». Токен и ПИН к нему. SSH-ключ и пассфраза к нему. Металлический ключ + цифровой код к сейфу.
А биометрия это такой плохой вариант «что я имею»: при компрометации сменить почти невозможно, отпечатки везде остаются, сетчатку тоже наверное уже можно сфотографировать издалека, и так далее.
А биометрия это такой плохой вариант «что я имею»: при компрометации сменить почти невозможно, отпечатки везде остаются, сетчатку тоже наверное уже можно сфотографировать издалека, и так далее.
Я классически лоханулся перепутав аутентификацию и авторизацию, но факторы я назвал правильно. Их три (как минимум). Биометрия это не то, чем я владею, а то, что является частью меня. Фактор владения как бы не обязан идентифицировать человека (ключ от замка может быть у разных людей одновременно, например), а биометрический обязан. Ддругое дело, что сейчас очень уж легко компрометируется, или может быть утрачен, а хозяин действительно не может его заменить. Тем не менее, биометрия в сочетании с фактором владения или знания нередко применяется в различных замках и всяких таких системах контроля доступа.
Надо еще учитывать, что хотя, к примеру, отпечаток пальца легко получить и подделать, но это уже прямая атака на конкретного субъекта, тогда как, скажем, пароль может быть получен в результате атаки в режиме «ничего личного» в массовом порядке при фишинге или вирусной атаке. Надежность того или иного способа или их сочетания надо оценивать в конкретных условиях. И не забывать, что безопасность находится в компромисе с удобством.
Надо еще учитывать, что хотя, к примеру, отпечаток пальца легко получить и подделать, но это уже прямая атака на конкретного субъекта, тогда как, скажем, пароль может быть получен в результате атаки в режиме «ничего личного» в массовом порядке при фишинге или вирусной атаке. Надежность того или иного способа или их сочетания надо оценивать в конкретных условиях. И не забывать, что безопасность находится в компромисе с удобством.
Ну. как — то не совсем корректно всю биометрию к отпечатку пальца сводить, имхо. Есть сканеры по рисунку кровеносных сосудов — megaobzor.com/kompaniya-Fujitsu-anonsirovala-samyy-malenkiy-skaner-krovenosnyh-sosudov.html.
Так же, более сложные сканеры, смотрят тепловой спектр пальца — живой объект или нет. А взлом бытовых сканеров — это не показатель судить об индустрии.
Так же, более сложные сканеры, смотрят тепловой спектр пальца — живой объект или нет. А взлом бытовых сканеров — это не показатель судить об индустрии.
Отпечатки пальцев, сетчатка глаза, это только для идентификации пользователя, которое отвечает на вопрос кто? Для доступа в систему, применяют инструменты — смарткарты, ключи, токены, отвечают на вопрос — чем? И третье, пароль, ключевое слово для доступа.
(надеюсь, что мужик жив и просто спит) надпись под фото.
Улыбнуло )))
> «Наверное, в будущем политики будут появляться на публике только
> в перчатках», — пошутил Starbug в конце своего выступления.
Он наверняка не читал Александра Мирера «Дом Скитальцев»
( часть 1: www.lib.ru/MIRER/domskita.txt часть 2: www.lib.ru/MIRER/domskit2.txt )
Перчатки — самая главная деталь в одежде, которая удостоверяет, что перед тобой балог, а не захвативший его тело чхаг.
> в перчатках», — пошутил Starbug в конце своего выступления.
Он наверняка не читал Александра Мирера «Дом Скитальцев»
( часть 1: www.lib.ru/MIRER/domskita.txt часть 2: www.lib.ru/MIRER/domskit2.txt )
Перчатки — самая главная деталь в одежде, которая удостоверяет, что перед тобой балог, а не захвативший его тело чхаг.
Офигенный зум!)))
Sign up to leave a comment.
Уязвимость «большого пальца»: я твой палец по фотографии взломаю