Могу ли я использовать сканер отпечатков пальцев на своем веб-сайте? [закрыто]
Я создаю веб-приложение и хотел бы иметь безопасную зону, где вы можете войти только с отпечатком пальца. Моя первоначальная идея состояла в том, чтобы просто использовать USB-считыватель штрих-кодов, вы сканируете его, и он выводит идентификатор в текстовое поле, но это не очень безопасно. Поэтому я хочу использовать USB-считыватель отпечатков пальцев, чтобы, возможно, сгенерировать хэш для каждого человека и вместо этого сохранить его в текстовом поле. Который затем проверит это по базе данных с хэш-значением каждого. Кто-нибудь знает, есть ли считыватель отпечатков пальцев, который может это сделать, или способ, которым я могу легко интегрировать считыватель на веб-сайт?
РЕДАКТИРОВАТЬ: Идея этого веб-сайта заключается в том, что он похож на систему входа (вроде того, как вы можете входить и выходить, если вам платят ежечасно) Идея в том, что никто не может регистрировать кого-то другого внутри и снаружи. ЕСЛИ вы просто используете пароль, то кто-то может просто сообщить пароль своему другу, который может его ввести. Вот почему я подумал об отпечатке пальца или о чем-то подобном... Я открыт для других предложения
Кроме того, я использую PHP
ПРАВКА 2: Основная идея заключается в том, что я должен придумать способ доказать, что кто-то был там, зарегистрировавшись. Я не хочу использовать пароли, потому что тогда кто-то может просто сказать кому-то другому свой пароль для ввода. Есть еще какие-нибудь предложения? Это не обязательно должны быть отпечатки пальцев.
6 answers
Ты не можешь делать то, что хочешь, в точности.
Отпечатки пальцев никогда точно не совпадают. Даже если вы дважды подряд просканируете свой указательный палец правой руки, результаты сканирования не будут одинаковыми. Таким образом, "хэширование отпечатка пальца" не сработает - два хэша одного и того же пальца будут неотличимы от двух хэшей двух разных пальцев (с хорошим, криптографически надежным хэшем).
Считыватели отпечатков пальцев работают, сохраняя некоторый ключ на борту и выпуская этот ключ тогда и только тогда, когда данный отпечаток пальца достаточно близок к тому, что они ожидают. Сам отпечаток пальца не используется для получения прямого доступа к чему-либо за пределами считывателя.
Отправка отпечатков пальцев, видимых считывателем, по сети неприемлема - люди нервничают, отдавая свои отпечатки полиции. Ты думаешь, они будут в порядке, если отдадут их тебе?
Также неприемлемо, чтобы читатель сказал "палец 2 в порядке". Это может быть легко подделано.
Вместо этого попросите вашего пользователя использовать X.509 (SSL) сертификаты клиентов для доступа к вашему сайту. Они могут, если пожелают, контролировать доступ к своему закрытому ключу с помощью считывателя отпечатков пальцев.
ИЗМЕНИТЬ: обновление этого ответа. В настоящее время, в 2014 году, существует стандарт Альянса FIDO под названием "UAF", который позволяет сайтам использовать аутентификацию по отпечаткам пальцев таким образом, чтобы она работала на разных сайтах. Ходят слухи, что Paypal скоро начнет его использовать.
Биометрия - очень плохой способ аутентификации по многим причинам:
- По сути, это просто пароль, который вы никогда не сможете изменить. (По крайней мере, не без серьезной боли!) При использовании традиционных схем паролей, если ваш пароль будет украден или угадан, вы можете, по крайней мере, изменить его. Но если кто-то украдет ваш отпечаток пальца, что вы теперь будете делать?
Биометрия не является секретом. Каждый раз, когда вы к чему-то прикасаетесь, вы оставляете свой пароль где попало. Каждый раз, когда делается ваша фотография, копируется изображение вашего лица /сетчатки глаза. Пароли должны оставаться секретными, чтобы быть полезными.
-
Как сказал Бореалид, биометрические данные никогда не сканируются одинаково дважды. Поэтому, когда вы выполняете сопоставление, в разрешении ввода должен быть какой-то фактор выдумки. Это:
Это просто облегчает злоумышленникам копирование ваших данных и их воспроизведение, поскольку им не нужно получать точное совпадение. Злоумышленнику нужно только приблизиться, чтобы добраться принято.
Это заставляет сервер аутентификации хранить вашу биометрическую информацию в виде открытого текста. Вы не можете хэшировать биометрические данные, как пароли, так как тогда вам придется точно соответствовать хэшированному значению.
Так что не делай этого!
Биометрия для удаленной аутентификации никогда не является безопасной. Вы не можете знать, находится ли настоящий палец с этим отпечатком в считывателе или пользователь только отправляет вам изображение. Таким образом, отпечаток пальца просто становится паролем, который пользователь никогда не сможет изменить, который одинаков для каждой службы, в которую вы входите, и который остается на каждом объекте, к которому прикасается пользователь.
Биометрия может работать только для локальной аутентификации, если вы уверены, что считыватель не взломан (т.Е. у вас есть физический контроль над читатель) и читатель может различить настоящий палец/глаз/... от фальшивого. Чего большинство не может.
Можно создать односторонний хэш отпечатка пальца. Сначала вам нужно извлечь ряд наблюдаемых объектов, как вы могли бы сделать для нечеткого совпадения. Но так как вам нужно точное совпадение для хэша, вам нужно ввести коды ошибок в извлеченные значения, которые затем могут исправить незначительные различия в каждом измерении. Это нелегко кодировать, и это не устраняет фундаментальные проблемы перечислено выше, но это должно быть возможно.
Итак, вы хотите использовать локальный механизм аутентификации для аутентификации удаленного ресурса? Здесь есть много вопросов, позволяющих предположить, что это не было бы разумным выбором. Например, как веб-приложение узнает, что хэш принадлежит исходному пользователю, а не тому, у кого есть дубликат?
Вместо этого я бы предложил пойти по пути банков, существовавшему несколько лет назад, когда клиентам кредитных карт отправлялись считыватели смарт-карт. Используйте сканер отпечатков пальцев для хранения локальной копии имя для входа, требующее второй формы аутентификации, такой как пароль.
Это так фальшиво. Почему вы не можете зашифровать отпечаток пальца? Ваш мастер хранится в зашифрованном виде, вы отправляете зашифрованный файл на сервер. Серверное программное обеспечение не шифрует оба и выполняет сравнение. Простой. Ваши "экспертные" решения являются фальшивыми.
Почему бы не использовать программное обеспечение face match для аутентификации.