Комментарии 35
Не хочу показаться занудой, но вы знаете как писать «чо»/«що»?
Любую защиту можно обойти… если иметь спец средства…
>Возможно подделать информацию о глазе тоже несложно, однако первоначально получить её без ведома человека не так просто.
Разве сложно получить информацию о глазе?
Найти фото в крупном разрешении, или сделать незаметно (на улице, например) фото его лица крупным планом…
Разве сложно получить информацию о глазе?
Найти фото в крупном разрешении, или сделать незаметно (на улице, например) фото его лица крупным планом…
Вот тоже самое хотел сказать. Получается даже проще чем отпечатки пальцев
сетчатка глаза видна на фото? радужная оболочка да видна, если по ней идентифицировать, правда с другим освещением и т.п. наверное многие видели как меняется цвет глаз при разном освещении. а еще параноики могут носить цветные контактные линзы:)
ДНК + произношение голосом логина и хеша пароля. После этого секретарша Леночка сможет поставить оценку фотке в одноклассниках.
А если серьёзно, то ничего идеального не существует и существовать не может. Любую защиту можно обойти, это всего лишь вопрос времени и денег. Защита должна быть такой, чтобы её обход был экономически невыгоден злоумышленнику, тогда можно говорить о том, что она успешно справляется со своей задачей.
На сегодняшний день, как я понимаю, наиболее труднообходима идентификация по ДНК, так как достать образцы крови достаточно проблемно, а находясь за 1000 км от жертвы ваще проблемно.
А если серьёзно, то ничего идеального не существует и существовать не может. Любую защиту можно обойти, это всего лишь вопрос времени и денег. Защита должна быть такой, чтобы её обход был экономически невыгоден злоумышленнику, тогда можно говорить о том, что она успешно справляется со своей задачей.
На сегодняшний день, как я понимаю, наиболее труднообходима идентификация по ДНК, так как достать образцы крови достаточно проблемно, а находясь за 1000 км от жертвы ваще проблемно.
насколько я поннимаю можно получить информацию о ДНК даже из образцов волос, чешуек кожи (легко получить). Кроме того компактных аппаратов быстрого анализа ДНК не существует.
Социальная инженерия разрушает все труды технологов-защитников. Куда проще сыграть на человеческом факторе, чем обходить многомиллионные защитные технологии.
Идея, и правда, не нова.
Мне кажется, основная проблема в следующем: для считывания сетчатки предлагается использовать камеру (так или иначе).
Какая бы камера не стояла в телефоне, на рынке будет существовать специализированная камера с большим разрешением. Таким образом, злоумышленнику достаточно будет раздобыть достаточно качественную фотографию глаза.
После этого, устойчивость защиты сводится к устойчивости устройства для токена (и самого токена).
Если бы для биометрической части использовалось что-то, достаточно специализированное, или что-то, профессиональную версию чего непросто достать, то, мне кажется, такой подход имел бы успех.
Мне кажется, основная проблема в следующем: для считывания сетчатки предлагается использовать камеру (так или иначе).
Какая бы камера не стояла в телефоне, на рынке будет существовать специализированная камера с большим разрешением. Таким образом, злоумышленнику достаточно будет раздобыть достаточно качественную фотографию глаза.
После этого, устойчивость защиты сводится к устойчивости устройства для токена (и самого токена).
Если бы для биометрической части использовалось что-то, достаточно специализированное, или что-то, профессиональную версию чего непросто достать, то, мне кажется, такой подход имел бы успех.
насколько я понимаю все таки надо достаточно близко подобраться к глазу хорошо открытому и при правильном освещении, дело не только в разрешении камеры, я не видел упоминаний о компроментации радужной оболочки простым фотоаппаратом с высоким разрешением (возможно мало искал). сетчатку же глаза вообще не распознать по фото, используются специальные устройства для её считывания, правда они подороже чем предлагаемая технология с мобильником для радужной оболочки.
лучшая защита — отключение интернет-банкинга
Все можно взломать. Есть цифровые данные, значит их можоно подменить, перехватить, что угодно сделать.
Ну и всегда можно воспользоваться термо-ректальным крипто-анализом
Ну и всегда можно воспользоваться термо-ректальным крипто-анализом
Если уж на то пошло, то хорошо бы использовать нормальный сканер сетчатки, который умеет проверять «живой» ли глаз, или вырвали. Хотя и этот метод обходится…
что самое интересное, человек сам подпишет платеж «на деревню к дедушке» без взлома токена без подбора идентификации, а всего лишь по тому что данные для подписи предоставятся не от его платежика а от платежика злоумышленника, что самое интересное что если вредоносная программка самоуничтожится, доказать что ты этой платежки не подписывал будет оч. сложно.
Пример:
вы заполняете платеж 10 000 руб. на ООО «ААА» все красиво на экране так и есть, нажимаете кнопочку «подписать» на токен отсылается платежка 100 000 руб. на ООО «БББ», на экране все еще правильная платежка и призыв подставить глазик куда надо. Глазик подставлен, платежик не туда подписан, а у вас на экране показывает выписку с вашим платежиком на ООО «ААА», на утро владелец ООО «ААА» звонит и матерится что денег не видит, вы идете в банк и выясняется что вы вчера отправили на фирму-однодневку, кучу бабок, деньги уже ею обналичены, директором является Дядя Вася (Бомжик, проживающий в подвале ул.Подзаборной 38, который продал свой паспорт за бутылку).
Пример:
вы заполняете платеж 10 000 руб. на ООО «ААА» все красиво на экране так и есть, нажимаете кнопочку «подписать» на токен отсылается платежка 100 000 руб. на ООО «БББ», на экране все еще правильная платежка и призыв подставить глазик куда надо. Глазик подставлен, платежик не туда подписан, а у вас на экране показывает выписку с вашим платежиком на ООО «ААА», на утро владелец ООО «ААА» звонит и матерится что денег не видит, вы идете в банк и выясняется что вы вчера отправили на фирму-однодневку, кучу бабок, деньги уже ею обналичены, директором является Дядя Вася (Бомжик, проживающий в подвале ул.Подзаборной 38, который продал свой паспорт за бутылку).
Ну во-первых не так уж сложно заполучить фотки моего глаза. А во-вторых – разве фото глаза с веб-камере сложнее для торяна, чем обычный пароль, вводимый с клавиатуры?
По сути, Ваш идеальный метод это замена пароля на картинку глаза. Те же яйца, только в профиль.
По сути, Ваш идеальный метод это замена пароля на картинку глаза. Те же яйца, только в профиль.
фото глаза передается непосредственно в токен, т.е. идентификатор присоединен прямо к нему, фото глаза не попадает в компьютер пока не будет зашифровано токеном а значит троян не сможет его получить никаким способом.
по фотографии невозможно получить изображение сетчатки глаза, если производить идентификацию по сетчатке.
если произвозводить идентификацию по радужной оболочке простой фотографии не достаточно, необходима фотография с очень близкого расстояния и при правильном освещении, если ваш глаз будут так фотографировать это сложно не заметить.
по фотографии невозможно получить изображение сетчатки глаза, если производить идентификацию по сетчатке.
если произвозводить идентификацию по радужной оболочке простой фотографии не достаточно, необходима фотография с очень близкого расстояния и при правильном освещении, если ваш глаз будут так фотографировать это сложно не заметить.
Идея заключается в том, чтоб объеденить биометрический идентификатор по сетчатке глаза и токен.
Главная проблема всей биометрии — при компрометации идентификатора его невозможно сменить. А как именно он был скомпрометирован уже неважно.
А чем всё-таки Вас токен не устраивает. На любом токене, для доступа к содержащейся в нём информации необходимо знать пин-код, который может быть сложным. Есть такое понятие как двухфакторная аутентификация, то есть для аутентификации Вам необходимо иметь в одном места два фактора одновременно: токен- как физический фактор, и пин-код — как нефизический (запоминаемый) фактор. Следовательно, имея только токен, и не зная пина, Вы не получите доступ к информации содержащееся в нём. В данном случае, пин — это не 4-х значное числовое значение, а может быть длинным цифро-символьно-буквенным паролем.
в условиях современного офиса часто ключевые дискеты или токены не убирают своевременно в сейф, а могут оставить воткнутыми в компьютер на протяжении всего рабочего дня, недобросовестный сотрудник может воспользоваться этим чтоб увести деньги, тот же пин код может быть легко подсмотрен или выяснен иным способом если такой недобросовестный работник к тому же является системным администратором, который и настраивал всю систему.
Тут я с Вами соглашусь. Однако как вариант, имплантировать в токен RFID метку, которая будет завязана на СКУД, тем самым, чтобы выйти из комнаты, необходимо поднести токен с меткой к считывателю. Следовательно, если кто-либо оставит токен в компьютере, то не сможет выйти из комнаты. Хотя в российских реалиях по одной карте СКУД проходят человек 10 :-). Но тут необходимо учитывать, что не все задачи можно решить техническими средствами, иногда дешевле и проще некоторые задачи решить административными методами. Оставил ключик в компьютере, получил штраф. Второй раз штраф получать не захочет, и будет ключик брать с собой.
А так, на мой взгляд, самое слабой звено в любой системе безопасности — это человек, и до тех пор, пока на человека будет завязана какая-либо система безопасности (а так думаю будет очень долго, если не всегда), эту систему проще всего будет взломать через человека. Конечно, подготовка человека будет увеличивать сложность взлома, но не сильно. Опять же есть исключения, но я сейчас говорю о большинстве.
А так, на мой взгляд, самое слабой звено в любой системе безопасности — это человек, и до тех пор, пока на человека будет завязана какая-либо система безопасности (а так думаю будет очень долго, если не всегда), эту систему проще всего будет взломать через человека. Конечно, подготовка человека будет увеличивать сложность взлома, но не сильно. Опять же есть исключения, но я сейчас говорю о большинстве.
Мне кажется, самый простым способ индефикации — флешка-ключ. Вставляешь и автоматом логинишся везде — вынимаешь, автоматом выходишь. На флешке записан твой 1000-значный зашифрованный индефикатор
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Идеальный идентификатор