指纹authentication是否安全?

使用指纹读取器比使用(强)密码更安全吗? 这可以很容易地被黑客攻破吗?

顺便说一下,指纹存储在哪里? 在硬件芯片上还是在文件系统上?

这是依赖于读者的硬件吗?

这是依赖于图书馆/操作系统的实施?

大多数生物识别系统的问题在于,它们本质上是“嘈杂的”,它需要软件将噪音筛选到真实的信号上。 密码是几个字节,正确性需要完美。 生物特征指纹或虹膜扫描或视网膜扫描或语音打印都需要具有“足够接近”的阈值,因为生物特征会每天或每周更改。 击败这样的系统利用生物authentication技术的“足够接近”性质。

正因为如此,在我看来,简单的生物识别比正确select的密码更安全。 而这甚至不涉及实施细节,例如扫描仪和authentication器之间的信号捕获/重放可能性,或者容易颠覆皮肤电导率传感器(舔纸!)。

与密码一起使用时,可以增强安全性。 但正如我所说,它不应该被用来代替密码。

扫描仪的安全性很大程度上取决于硬件的质量。 我猜这些天来,笔记本电脑的大多数扫描仪都很便宜,并不适合高安全性的情况。 更高质量的门锁扫描仪不会受到指纹重复的影响。 这个Mythbusters剪辑certificate尽可能多。

就像哈雷所说,多重挑战总是比单一挑战更安全。

指纹通常比密码更安全,但都是相对的。

但是你知道什么比指纹更安全吗? 指纹密码。 你拥有的东西加上你知道的东西远远比单独的东西更安全。

所有生物识别技术的问题是,当您的安全材料(如指纹,视网膜或DNA)受到损害时,很难进行更改。

生物识别是识别的一种forms,而不是authentication。

编辑:接下来,我发现这个伟大的文章: 身份validation和鉴定。

  • 使用指纹读取器比使用(强)密码更安全吗? 这可以很容易地被黑客攻破吗?

有一次,它被认为是如此。 从那时起,已经有几种方法可以打败这些扫描仪的廉价版本。

如果它被用作双因素或多因素authentication过程的一部分,那么我相信这会提高进入的难度来增强安全性。 这里有人在讨论这个问题。

  • 顺便说一下,指纹存储在哪里? 在硬件芯片上还是在文件系统上?

通常是文件系统。 许多扫描仪只是将印象转化为传输到主机PC的散列。 Kronos Touch ID是一个企业解决scheme,用作时钟; 它将数据存储在一个Paradox表(!)中作为一个散列 ,所以它很清楚他们的利润率来自于这个设备。

  • 这是依赖于读者的硬件吗?

有许多读者,每个人都有自己的方法。 虽然我不能在这方面与任何权威对话,但似乎“是”是这个问题的一个很好的答案。

  • 这是依赖于图书馆/操作系统的实施?

再次,我认为这取决于读者的types。 有些实际上传输的不止是一个散列(实际的指纹图像),而另一些则不是。

布鲁斯·施奈尔(Bruce Schneier)写了一篇关于生物识别的伟大分析,他分析了使用诸如指纹阅读器之类的技术进行authentication的积极和消极的方面。 他指出,指纹是很难伪造的,但它们很容易被窃取。 就我个人而言,在我手指严重损坏我的指纹的时候,我花在自己的服务器机房里的那一周就足以让我从指纹识别器中发誓。

一旦我不是“新用户”,我会马上回来编辑这个url

http://www.schneier.com/blog/archives/2009/01/biometrics.html

我个人很不喜欢生物识别技术。 如果我正在为指纹系统提供资金,我宁愿使用PKI和密码+证书作为ID。

根据应用程序和所需的安全级别,生物识别技术可能会有一个致命的缺陷。 让我们假装坏人真的想要安全系统保护的东西,并愿意绑架和/或杀死某人来获得它。

使用指纹读取器比使用(强)密码更安全吗? 这可以很容易地被黑客攻破吗?

是的,从授权的人手中取下手指并通过指纹读取器很容易。 或者,坏人可能会把这个人置于胁迫之下,强迫他们把手指放在扫描仪上。

另一方面,密码系统可以设置一个密码进行访问,另一个“胁迫”密码不仅可以拒绝访问,还可以在进入时寻求帮助。

就我个人而言,我并没有在任何重要的系统上工作,以至于我不愿意指责它。 如果有人想要的够不够,我甚至不希望他们受到诱惑

指纹扫描器如何连接? 您正在查看的扫描仪是否在扫描仪和计算机之间使用某种encryption方式? 如果它不阻止我在扫描仪和电脑之间插入设备,然后捕获指纹?

你不能真正改变你的指纹。 如果我可以通过一次又一次地发送相同数据的方式捕获指纹,那么系统就会中断。

指纹证据基于生物测量学,其概念很简单,生活在这个地球上的所有个人的拇指印象是不同的。 逻辑是真实的,但它完全取决于你使用的技术,如果程序或硬件出现故障,那么它也可能是风险。

经历了笔记本电脑(惠普从内存中),我的指纹和同事的授权访问同一个用户帐户,我不得不说,没有绝对是或否的答案。 我见过的大多数实现只使用一些testing点来确定指纹。 在我看来,任何less于几十个点都不足以保证适当的安全。 所以,如果我必须给出肯定答案或否定答案,那么它将取决于实现,所以它必须是否定的。