Как стать автором
Обновить

Комментарии 23

То есть по сути они хранят определенным образом вычисленный хэш? Какая вероятность коллизий?
Насколько я понимаю — нет, никакого хэша гугл не хранит. Он устанавливает защищенное соединение по которому посылает запрос в смартфон на авторизацию. Смартфон производит авторизацию и посылает ответ. Хэш отпечатка пальца действительно хранится но где-то в защищенном хранилище в смартфоне и, вроде бы, никаким образом недоступен извне. Но я не специалист в этом всем, могу что-то путать.
Я пока пробежался по верхам, внимательно прочитаю позже, когда время будет. Но похоже что все именно так как я и говорил — никакой информации об отпечатках никуда не передается даже в виде хэша. Создается защищенное соединение и запрашивается результат проверки. В вашей статье есть пароль и его хэши, но разве в фиче от гугла они будут?

Биометрика нигде не передается, это правильно. Только подпись. Пароли только пример как мы делает аутентификацию сегодня.

никакой информации об отпечатках никуда не передается даже в виде хэша.

Я бы удивился, если бы гугл пытался привлечь людей сервисом, который собирает их данные с первого же дня. Тут все по учебнику. Данные надо начать аккумулировать только после набора достаточной аудитории.

У гугла нету доступа к отпечаткам. Они используют шведские FPC сенсоры, которые CC сертифицированы, так что никто не имеет доступа к отпечатка ним.

Проверка отпечатка в них идет исключительно на аппаратном уровне? Если нет, то я не понимаю как у гугла не может быть возможности доступа к информации о вашем отпечатке при том, что он использует эту информацию для авторизации.
Насколько я знаю — проверка действительно идет именно на аппаратном уровне. Отпечатки пальцев системе недоступны. Не знаю как организована защита от замены железа на новое с нужным отпечатком, но это не выглядит как сложная задача, какой-нибудь захардкоженный публичный ключ при сборке смартфона вполне себе решит проблему например. Наверняка и более сложные способы есть.

Проверка идет только на апаратном уровне

Нет, информация об отпечатках, как я понял, ни прямо, ни косвенно не покидает устройство, а лишь подтверждает самому устройству легитимность пользователя.
Более того, данные об отпечатках в общем случае не совместимы между устройствами (не думаю, что эффективно в качестве таких данных хранить картинку)

Что происходит с продуктом, у которого отозвали сертификат альянса? У меня был дешёвый USB FIDO ключ какого-то французского стартапа. В какой-то момент он просто перестал распознаваться гуглом. Я решил посмотреть на сайте производителя, может там ответ. Оказалось, что уж ни сайта ни упоминаний о нем нет. Будто и не существовало. Собственно вот… это совпадение, или можно как-то превратить токен в тыкву признав его невалидным?

У аутентификатора есть аттестационный сертификат который устанавливается производителем, фидо тут не при чем. Стандартно он на десять лет. Для сайтов которые используют аттестацию, этот аутентификатор врядли будет работать. Для большинства сайтов которые не используют аттестацию, проблем не должно быть.

А какой смысл от этого? Можно же фейковый ответ отправить со "специально подготовленного устройства". Сверять-то не с чем.

А чего минусим? Где объяснение?
У этого «специально подготовленного устройства» должны быть установлены доверительные отношения с инфраструктурой гугла посредством атакуемого аккаунта. КАК!?
Аналогия: рабочая станция в домене AD или компьютер с Windows 8+ с инфраструктурой microsoft. То есть, фактически вы предлагаете самой жертве атаки подготовить инфраструктуру для этой атаки.
P.S. минусовал не я
Например, для входа в аккаунт без пароля, а одним отпечатком. Программно подменить модуль передавать TRUE при любом отпечатке. То есть устройство говорит «да, отпечаток подошел» и происходит вход в аккаунт без пароля.
Для этого понадобится или изначально продать пользователю такое устройство, в котором это возможно, или заменить некоторые компоненты ОС без ведома пользователя, что и с его ведома, согласия и всяческого содействия то сделать нелегко или невозможно совсем
А на своём пропатченном если ввести чужой аккаунт? Или необходимо сначала произвести вход с данного устройства через пароль и только ПОВТОРНЫЙ вход через отпечаток?
Цитата из блога Гугл по ссылке в статье:
Prerequisites
  • Phone is running Android 7.0 (Nougat) or later
  • Your personal Google Account is added to your Android device
  • Valid screen lock is set up on your Android device
Paypal тоже запилил через гугловский фреймворк. Примерно неделю уже как работает.
А когда-то FIDO означало совсем другое ;) Есть еще старперы на хабре?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.