Skrivet av Söderbäck:
Njaa. Alltså en riktigt dålig implementation av biometrisk data skulle kunna ha dessa risker, men de är lätt att undvika mycket av det här om gemensamma standarder upprättas. Något som ändå är ett krav om det ska bli utbrett.
First of all... Lösenordet för den biometriska datan skulle inte vara samma som för ens manuella lösenord. En hashad sträng för lösenordet man kommer ihåg i huvudet och en annan hashad sträng för exempelvi fingeravtryck.
Vidare skulle det vara dumt att manuell textinmatning som kunde ta emot lösenordet för biodata. Alltså, vill man verifiera sig med ögonkoden så måste koden skickas från ögonscannern. Det här går att kringgå men det blir mycket krångligare än det vi har med lösenord i nuläget.
Till en börja tack för ett utförligt svar.
Ja det är en väldigt dålig implementation det kan jag hålla med om, men dessvärre är det nog en implementation jag tror många hade använt till en början om den här typen av verifering skulle standardiseras för snabbt. Helt enkelt för att man saknar statistisk data för att kunna göra det säkert. Dvs hur en attack emot sådana system hade fungerat. Då fingeravtryck främst används på liten skala av individuella bolag där sådant sparas lokalt blir det ju svårare att få fram data kring detta.
Skrivet av Söderbäck:
Sedan kommer vi till klassikern med hashen. Kommer någon åt en hashad lösenordssträng för mitt fingeravtryck så kommer denna sträng inte gå att använda som inmatning. Hashade lösenord har i nuläget sin största svaghet att folk väljer enkla lösenord så att rainbowtables fungerar bra för att knäcka dessa men är det så att mitt fingeravtryck motsvarar 20 slumptecken så kommer lösenordsdatabaser och ordlistor i kombinationer bli värdelösa och det kommer bli omöjligt att bruteforcea. Det tar alltså bort en del svagheter där också.
Grejen är ju att lösenodssträngen är hashad så man kommer inte åt denna sträng hos siten man hackar. Det man kommer åt är hashen men den fungerar inte som input.
Ja det är sant, du kan inte göra något med hashen men då de flesta vanliga fingeravtrycksläsare använder mönsterigenkänning genom att använda relativt enkla matematiska formler så blir hashen så sätt också svagare. Då fingeravtrycket idag måste sparas på något sätt så kan man spara det som en sträng eller som en krypterad bild-fil. Där det senare är vanligare om jag förstått det rätt. Iallafall till en början innan man byggt en bra algoritm för att hasha som fungerar bra för just skillnaden mellan strängar och bild-information. Men man kan absolut bara ta t.ex en jpeg bild och för de som testat öppna en sådan bild i notepad har säkert sett hur en bild uppfattas av en texthanterar som notepad. Detta kan användas så klart. Och kan generar strängar som är flera miljoner tecken långt och som kan hashas om. Men iom att man måste kunna skanna snabbt och komma in snabbt är det inte en trolig implementation då det hela är baserat på mönsterigenkänning och beräkningstiden hade varit alldeles för lång för att vara bekväm.
Skrivet av Söderbäck:
Yes. Men det där med att ta kontroll över folks enheter är en bra mycket svårare attack än att norpa databasen från ett företag som slarvat. Iaf när det handlar om att samla ihop miljontals konton.
Det vi kan konstatera här är väl att biometriska lösenord inte skulle höja säkerheten på alla sätt mot alla typer av attacker. Det är ingen silver bullet. Däremot hade det kunnat hjälpa till mot ofoget att folk väljer för lätta lösenord ;).
Absolut hade det väl kunnat hjälpa, folk behöver inte tänka, det kan ju också vara ett problem för det är väl för att folk inte tänker som vi har problemet ifrån början? Haha.
Skrivet av Söderbäck:
Last but not least. Jag tror det där med säkerhet baserad på biometri har en del andra brister. Tillgängligheten och därmed bekvämligheten tror jag är det största hindret. En del enheter har viss möjlighet till viss inloggning och andra enheter har helt andra förutsättningar. Så länge vi har så diversifierat teknikutbud utan gemensam inputstandard som inte sträcker sig längre än till tangentbord och peka/klicka så kommer stödet för andra biometrilösningar vara vingklippta. Verkligen!
Yes! This is it! Du är så rätt på det
Sen kommer man in på alla andra beskymmer som förvisso ditt exempel om ögonskanner löser, det är vardags förslitningar. Då fingeravtryck förändras beroende på hur vi använder dem. T.ex i en renovering är det troligt att dina fingeravtryck kommer slitas så pass mycket att inloggning med fingeravtryck hade temporärt varit svårt eller omöjligt. Eller vi användning av lösningsmedel/rengöringsmedel så som vid vanlig vardagsstädning. Sen kommer beskymmer med sår och ärr bildning. Men som sagt ögonskanner hade löst det.
Så jag tror helt enkelt inte på biometrisk data kan bli en implementation för gemene man i dagsläget.
Däremot kan andra tekniker som knapptrycknings igenkänning, dvs att den mäter hur du skriver in lösenorden och använder det som en del av lösenordet kan vara en förstärkning av nuvarande teknik. Skriver jag lösenordet 'Nissehultåkerpåenåker' så kommer jag ju göra det på ett annorlunda sätt än dig. Helt enkelt kan sättet du skriver på och dina dominanta fingar över tangentbordet blir lite av en kod i sig själv.
Iallafall mycket nöje. Jag tror helt enkelt inte biometrisk data är steget framåt.