Security Week 2348: безопасность логина по отпечатку пальца в ноутбуках

[datacompboy]

Мне в своё время очень понравилась высказаная @dottedmag идея -- "Сканер отпечатка должен быть логином, а не паролем". Жаль, до сих пор этого не сделал.

[strvv]

проводили НИРы, ещё с конца 90, до 10х годов. проблема с тем что с разной климатической обстановкой - очень плавают результаты, а требовать от пользователя чистый палец, с температурой покровов от 20 до 35, выше тоже сбоит! - признано неудачным.

[datacompboy]

Ну то есть проверить на пароль можно, а на логин нет?! O_O

[strvv]

Тогдашние сканеры отпечатков, очень капризные были. Тогда же и с паролями в условиях стресса те еще морочи были и есть. Таблетки далласа+ пароль были для идентификации и авторизации. Эти результаты вы видите и у банков, когда оператор постоянно авторизуется каждый раз определенной "таблеткой".

[aamonster]

Вот как так-то? Казалось бы, дай отпечатку индивидуальный приватный ключ (который нельзя вытаскивать из чипа) и строй защиту на этом, но умудряются всадить какие-то нелепые ошибки.

[inkelyad]

Тут должна быть известная картинка про стандарты.

Потому что, кажется, раз за разом изобретают одно и то же.

Вот, скажем, есть CTAP для WebAuthn с компанией. Казалось бы - рассматривай весь (железный) блок работы с отпечатками пальцев как такой (устрановленный на плате, целиком залитый эпоксидкой и сделанный одним чипом) токен - и пользуйся. Но нет, какой-то SDCP еще есть (какой из них раньше придумали?). Или еще более старые протоколы для тех же хардварных токенов - тоже были. Где, по идее, те же самые проблемы решали по общению токена с хостом.

[aamonster]

xkcd#927. Да, это тоже (хотя в стандартах бывают дыры – вспомните историю 20-летней давности про файл, который невозможно прочитать с компакт-диска), но я даже не про стандарты, а про общий подход.

[nochkin]

Этот красивый и простой план изначально не сработал: оказалось, что данные для разных ОС внутри датчика изолированы друг от друга

В таком случае должен был сработать способ с установкой такой же версии Windows, например, на внешний носитель и при загрузки оттуда можно уже переделать отпечатки как хочется.

[strvv]

интересная информация, к сожалению, разнос функций без контроля состояний позволяет влезь посередине и напакостить (как например у функций безопасности автомобилей.)

[rlepricon]

Думаю, для начала стоит перестать путать аутентификацию и авторизацию. В исходной статье, на которую ссылаетесь, речь идёт именно про аутентификацию, а не про авторизацию.

И уже написано очень много текста по поводу аутентификации с помощью биометрии - основной посыл, что биометрия может быть дополнительным фактором для аутентификации, но никак не основным и тем более никак не единственным.