Комментарии 53
при свайпе восстановить рисунок капиллярных линий, который составляет отпечаток человеческого пальца.
Папиллярные линии (от лат. papilla — сосок) — рельефные линии на ладонных и подошвенных поверхностях (включая пальцы) у людей, обезьян и некоторых других млекопитающих. У ряда животных индивидуальный характер носит рисунок папиллярных линий на кончике носа. Особенность рисунка папиллярных линий используется в дактилоскопии.
Никогда не использовал ни отпечатков, ни FaceID. Это открытые данные, которые невозможно поменять. А пароль - только у меня в голове.
А пароль - только у меня в голове.
Это если повезёт. А если нет, то ещё и где-то сохранён в открытом виде у другой стороны. Или вы думаете что пароли в сеть из голов утекают? :)
Ви таки будете смеяться...
13.04.2017 На днях стало известно, что хакеры могут украсть ПИН-коды, пароли и другую личную информацию путём анализа данных, полученных от разных датчиков внутри смартфона. Такое открытие сделали специалисты в области кибербезопасности из Ньюкаслского университета. Им удалось с помощью данных акселерометра, гироскопа и других датчиков взломать четырёхзначный ПИН-код. Исследователи сразу же уведомили об этом всех крупных производителей смартфонов.
Оказывается, что компания Apple экстренно отреагировала на это сообщение и закрыла уязвимость ещё в iOS 9.3.
Для 99+% людей всё это даёт достаточно приемлемый уровень безопасности. Если же вы подозреваете что на вас может быть произведена целенаправленная атака (жена приложит палец к сканеру пока вы спите, например), то да, ничего лучше хорошего пароля не придумать. Но, как показала практика, при сильном желании кого надо, даже это не спасает (см. пример владельца SilkRoad, про возможности силовиков в странах где пытки дефакто декриминализованы я вообще молчу)
Ладно жена, ваш палец может приложить преступник, который минуту назад тюкнул вас по голове. И пока вы лежите без сознания, он зайдёт в ваше банковское приложение (а огромное количество людей и туда по отпечатку входит) и переведет всё ваши деньги на "безопасный счет". Такая себе безопасность, как по мне..
Ну если ласково, но убедительно спросить, то большинство сами скажут и пин, и пароль. Даже "тюк" не придётся.
Если он состоит из 3 слов выбранных с приличной энтропией, был записан на бумажке, которую удалось прожевать - то не скажут. Как бы не просили. Ибо ТОЧНО не помнят.
Пароль на телефоне состоит из 4-6 цифр.
Не обязательно. У моего телефона (Ulefone Armor 20WT) нормальный безопасный пароль и доступ по отпечатку пальцев — и телефон периодически отказывается разблокироваться пока я не наберу пароль. И это не что‐то, что я специально настроил. И если я внезапно захочу набирать длинный пароль при каждом включении экрана мне достаточно удалить все отпечатки пальцев.
Этот же пароль используется для различных вещей вроде добавления новых отпечатков.
Если он состоит из 3 слов выбранных с приличной энтропией, был записан на бумажке, которую удалось прожевать - то не скажут. Как бы не просили. Ибо ТОЧНО не помнят.
Навеяло
Старый анекдот
Чапаев попал в плен. Три дня его пытали, но так ничего от него не добились. Бросили в камеру, а сами поглядывают в глазок.Видят - Чапаев головой о стенку бьется.
- Проклятый склероз. Так и расстрелять могут
на бумажке, которую удалось прожевать
Когда надо начинать жевать? До или после этого события:
если ласково, но убедительно спросить
Я пытаюсь представить реальный кейс. Еще вопросы к месту хранения такой бумажки с учетом требования "успеть прожевать".
В давние 90е годы, когда я по делам был в США, принимающая сторона нас предупредила о необходимости иметь $5-10 купюру в нагрудном кармане.
Чтобы, если наркоман попросит, отдать только это, а не весь кошелёк или жизнь. (Дисклеймер для озабоченных: не знаю, как дела обстоят сейчас, речь не про США. Флинт, Мичиган)
В ситуации, когда подойдут и ласково попросят, может оказаться дешевле вспомнить. Лечиться может получиться намного дороже, не говоря уже о похоронах.
который минуту назад тюкнул вас по голове
Который минуту назад тюкнул вас по голове и собирает с вас лут, потому что на бегу вы не смогли ввести правильно пароль чтобы вызвать помощь. Или вас скрючил инсульт и с таким же успехом вы не успели вызвать скорую.
Ещё очень удобно вводить длинные и сложные пароли рассчитываясь на кассе (кстати, стоя под камерой), потому что носить с собой кэш и карточку с которой до определённой суммы можно снимать без авторизации - ни разу не секурно)
По факту если затирать про безопасность, то это должен быть комплекс мероприятий, которому утечка одного только пальца - не критична (например хранить на картах доступных для быстрой оплаты лишь какие-то минимально необходимые суммы). Ну и хранить всякие критичные данные прям вот в телефоне, в дырявых мессенджерах... с таким успехом можете пароли от всех учёток на ПК на рабочем столе в текстовике хранить) Ни телефоны, ни какие-либо мессенджеры с бредовой авторизацией по номеру телефона, ни даже платёжные системы банков не гарантируют вам полную безопасность и сохранность.
В скорую, полицию и пожарным у большинства телефонов и операторов можно звонить без пароля, пина от симки и даже без денег на карте.
потому что на бегу вы не смогли ввести правильно пароль чтобы вызвать помощь
Учите матчасть. В экстренные службы можно звонить не разблокируя телефон. И даже без симки.
потому что носить с собой кэш и карточку с которой до определённой суммы можно снимать без авторизации - ни разу не секурно)
Что несекурного в карте, на которой установлен небольшой дневной лимит, который вам подходит?
например хранить на картах доступных для быстрой оплаты лишь какие-то минимально необходимые суммы
Вы тут такую ерунду пишите, что у меня складывается ощущение, что вы ни телефоном, ни банковскими услугами вообще никогда не пользовались. Доступ из приложения будет ко всем вашим счетам без ограничений. И лимиты карт там же мошенник сможет сбросить, да.
В общем, хватит пороть чушь, ей очень больно и го учить матчасть, чтобы вам потом тоже не стало мучительно больно.
А ещё кроме обычного преступника вам может попасться преступник в погонах, который разблокирует ваш телефон и найдёт там дискридитации на уголовочку.
Учите матчасть. В экстренные службы можно звонить не разблокируя телефон. И даже без симки.
Вы проверяли?) Где-нибудь в глубинке позвонить фельдшеру живущему через пару домов по его номеру или ждать пока вас из райцентра через недельку с собаками найдут - троху есть разница.
Ситуации бывают ОЧЕНЬ разные и где-нибудь в нерезиновой ежедневно долбаться с "уберсекурными" пинами под прицелом тысяч камер и мимокрокодилов через каждые несколько минут (потому что есть ещё мессенджеры, браузер, читалка и т.д.) - ну такое себе самоуспокоение, а не безопасность.
Что несекурного в карте, на которой установлен небольшой дневной лимит, который вам подходит?
Ну, детям наверное норм, либо старикам с деменцией... у остальных случаются довольно крупные покупки которые с такими лимитами становятся ну очень неудобными, а жонглировать карточками, носить их с собой мешок - сами развлекайтесь. Плюс, если вас успешно тюкнули - бабосики с вашей карточки смогут юзать далеко не один день.
Доступ из приложения будет ко всем вашим счетам без ограничений.
Нет. Я не знаю как сделано у вас, но у меня Samsung Pay позволяет быстро проводить платежи по отпечатку пальца, а в приложение банка авторизация выполняется по отдельному паролю, плюс для оплат/переводов по новым реквизитам в первый раз требуется отдельный банковский код. Т.е. я могу хранить на карте привязанной на быструю оплату минимум средств и пополнять её по необходимости с другого счёта сохраняя приемлемый уровень безопасности.
Про "кроме обычного преступника" - я как раз написал, что вообще всё это не достаточно секурно для хранения сколь нибудь важной приватной информации.
Так что идите сами, учите матчасть, меняйте банк если ваш позволяет так легко вертеть банковским аккаунтом, молитесь на безопасность вашего дырявого смарта, на безопасность мессенджеров и прочие эти вот смешные ритуалы...
Где-нибудь в глубинке позвонить фельдшеру живущему через пару домов по его номеру или ждать пока вас из райцентра через недельку с собаками найдут - троху есть разница.
Это уже начинается натягивание совы на глобус. Или тут тоже будет проблема что, цитирую, "на бегу вы не смогли ввести правильно пароль чтобы вызвать помощь"?
Я напомню, что мы тут изначально обсуждаем:
И пока вы лежите без сознания, он зайдёт в ваше банковское приложение (а огромное количество людей и туда по отпечатку входит)
Остальную чушь и демагогию даже комментировать не буду. Вы уже сами поняли, что облажались, но смелости признать это нет.
Вы не замечаете слона в комнате. Главная проблема пароля (или PIN-кода) в том, что его часто приходится вводить на людях, а значит теоретически он может утечь. Отпечаток же и тем более лицо при таком сценарии утечь не могут.
Мне кажется, что вы видите слона там, где его нет.
Пароль - это средство аутентификации, работающий в паре со средством идентификации, т.е. для входа нужно иметь два набора данных.
Отпечаток/лицо - это только идентификация, один набор данных.
Один набор данных всегда украсть проще, чем два.
Поэтому смартфон по уму должен должен разблокироваться лицом-отпечатком, во имя удобства (идентификация), а банковское приложение - паролем (аутентификация).
Интересно, а как настроить для Windows/Android входи по отпечатку/лицу и паролю? Нигде таких опций не вижу - всегда предлагают что-то одно.
В стоке - никак. Но есть сторонние решения, например, от "алладина".
Android входи по отпечатку/лицу и паролю?
На весь - нельзя. А на отдельные приложения:
1) Устанавливаем Shelter или Island и создаем изолированный профиль, куда и ставим приложение
2) Роемся в настройках и находим, где включаются различные способы входа для Work Profile
3) Настраиваем для внешнего основного профиля вход по Pin/паролю а для внутреннего - по FaceId/отпечаткам пальцев.
Вы прочтите стартовый комментарий. Человек пишет, что никогда не использовал отпечаток или лицо, потому что их нельзя поменять. Я ответил, что с точки зрения безопасности отказ от отпечатка или Face ID видится неразумным. Вы же в качестве контраргумента просто описали, как это работает. Отпечаток на Android и TouchID/FaceID/OpticID всегда работают в паре с паролем или PIN-кодов. Других вариантов и нет.
Отпечаток на Android и TouchID/FaceID/OpticID всегда работают в паре с паролем или PIN-кодов. Других вариантов и нет.
В смысле? Все эти ID в андроиде имеют достаточные промежутки времени, когда достаточно предъявить только палец/лицо, чтобы тебя пустило и разрешило что-то делать. Использование в таком виде действительно представляется подозрительным.
А вот что бы каждый раз нужно было использовать и биометрию и PIN одновременно -- нужно хитрые схемы вроде той, что я выше описал, делать.
Всмысле, что нельзя использовать только TouchID без пароля. Отпечаток всегда только дополняет пароль.
Вы смотрите на проблему узко, пытаетесь оценить насколько пароль надежнее отпечатка. Я же предлагаю взглянуть на вопрос шире. Если несколько десятков раз в день вводить PIN или пароль в общественных местах, то чисто статистически он утечет всего за пару дней. С отпечатком такого не случится за любой отрезок времени.
Часто НЕ вводить пароль намного безопаснее, чем вводить. К примеру Сбербанк с недавних пор в 100% случаев требует ввести CVC при оформлении заказа в мобильном приложении «Вкусно и Точка», из-за чего приходится каждый раз изворачиваться, чтобы не засветить код. Это прям боль!
Вы прочтите мой комментарий без отрыва от контекста. Вы говорите, что преимущество биометрических ID в качестве средства аутентификации и т.д. и т.п. А я говорю, что у биометрических ID нет преимуществ перед паролем, просто потому, что у них разные области применения и использование средств идентификации в качестве средств аутентификации это не преимущество, а фатальный недостаток.
Угу, только пароль можно подобрать, а скан лица как-то посложнее
Скан лица можно купить у кого надо
Готовы поделиться контактами? Чтобы в эпловском фейсайди сработало.
Да даже и покупать не надо.
Если есть физический доступ к устройству — значит, и до тела владельца дотянуться несложно. Что мешает схватить владельца примерно там же, где раздобыли его айфон, и использовать его лицо на месте? Пароль можно забыть или умолчать. А как можно помешать принудительной демонстрации своего лица в камеру?
UPD: да даже и насилия может не понадобиться. Дружелюбно подходишь спросить чего-нибудь; пока субъект внимательно смотрит на тебя и слушает — твой пособник наводит на него телефон, например, из-за плеча. Конечно, это всё в теории, проверять мне лень.
Суть в том, что лицо, в отличие от пароля, светится всем и всюду. И шутка "Посмотрел в зеркало в ресторане — взял кредит" мне уже не кажется шуткой.
Правильно боитесь, если надо, ваши пальчики легко раздобыть https://habr.com/ru/articles/356608/
Вы абсолютно правильно подметили, что это открытые данные. И из этого вытекает, что их невозможно скомпрометировать. Все эти статьи - "ваш отпечаток могут узнать!" - яйца выеденного не стоят. Просто считайте изначально, что ваш отпечаток известен каждому. И решайте сами пользоваться этим или нет.
Я так понимаю, что если в будущем необдуманно пукнуть в общественном месте, можно будет увидеть как исчезают денежки со счета.
Кстати, а сканеры отпечатков умеют отличать "живой" палец от, например, силиконового слепка?
Если сканер совместить с пульсоксиметром, то можно принимать решение о запросе дополнительного фактора, если клиент слишком разволновался или похож на труп.
Те что в телефонах - нет. А так, да, есть и такие. Но там, емнип, не один палец прикладывается, а вся ладонь. Есть еще возможность рисунок вен попутно считывать.
От паяльника и утюга, ещё никто ничего не смог утаить ))
У меня датчик отпечатка на задней стороне телефона, и прикладываю соответственно указательный палец. А свайплю большим. И что толку распознавать на нем папиллярные линии?
В принципе это удобно, но на практике если стоит кастомная прошивка, то после перезагрузки телефона требуется вводить пароль/ графический ключ. Так что безопасность на таком себе уровне, на айфонах с этим попроще. Но тоже есть варианты.
Бред, имхо, мало того что микрофон обычно в стороне экрана находится. Ты не знаешь каким пальцем двигают, ведь чаще большим, а отпечаток снимают обычно указательным, и прикладывают к сканеру всю фалангу пальца, а по экрану водят кончиков для увеличения точности срабатывания.
Другие новости
Исследователи нашли уязвимость, с помощью которой можно обойти сканер отпечатков пальцев