L'authentification par empreinte digitale est-elle sécurisée?

24

L'authentification du système d'exploitation est-elle plus sécurisée en utilisant un lecteur d'empreintes digitales qu'un mot de passe (fort)? Cela peut-il être piraté facilement?

Au fait, où est stockée l'empreinte digitale? Sur la puce matérielle ou sur le système de fichiers?

Cela dépend-il du matériel du lecteur?

Cela dépend-il de la mise en œuvre de la bibliothèque / du système d'exploitation?

security  fingerprint-reader 
paulgreg
source
1
Question intéressante +1
splattne

Réponses:

11

Le problème avec la plupart des systèmes biométriques est qu'ils sont intrinsèquement «bruyants», ce qui nécessite un logiciel pour filtrer le bruit jusqu'au vrai signal. Un mot de passe est de quelques octets où l'exactitude doit être parfaite. Une empreinte biométrique, ou un balayage de l'iris, ou un balayage de la rétine, ou une empreinte vocale, doivent tous avoir un seuil `` suffisamment proche '' car la biométrie change d'un jour à l'autre ou d'une semaine à l'autre. La défaite de tels systèmes tire parti de la nature «suffisamment proche» de la technologie d'authentification biométrique.

Pour cette raison, une simple biométrie est, à mon avis, moins sûre qu'un mot de passe correctement sélectionné. Et cela n'entre même pas dans les détails d'implémentation tels que les possibilités de capture / relecture du signal entre le scanner et l'authentificateur, ou les capteurs de conductivité cutanée facilement inversés (lécher le papier!).

Lorsqu'il est utilisé conjointement avec un mot de passe, il peut améliorer la sécurité. Mais comme je l'ai dit, il ne devrait pas être utilisé à la place d'un mot de passe.

sysadmin1138
source
2
Je pense que cela est très probablement vrai dans un environnement professionnel bien discipliné. Cependant, dans de nombreux (plus?) Environnements professionnels, les mots de passe ne sont pas du tout pris au sérieux: ils sont systématiquement laissés sur des notes attachées aux parois de la cabine, sous les claviers, dans les tiroirs de bureau, etc. Selon la culture de l'organisation, les administrateurs peuvent avoir peu ou pas d'autorité pour appliquer de manière proactive les politiques de sécurité. Il n'est pas difficile d'imaginer des environnements où même une authentification par empreinte digitale à un seul facteur offrirait une plus grande sécurité que des mots de passe correctement sélectionnés (mais mal protégés).
Skyhawk
14

La sécurité du scanner dépend probablement en grande partie de la qualité du matériel. Je suppose que la plupart des scanners fournis avec les ordinateurs portables ces jours-ci sont assez bon marché et ne sont pas destinés à des situations de haute sécurité. Même les scanners de meilleure qualité destinés aux serrures de porte ne sont pas insensibles à la duplication d'empreintes digitales. Ce clip Mythbusters en est la preuve.

Comme l'a dit Harley, plusieurs défis sont toujours plus sûrs qu'un seul défi.

Ryan Bolger
source
3
+1 pour le clip. Cet épisode a démystifié un tas de choses pour moi.
Dana the Sane
Bien, gardez à l'esprit ... dans ce clip ... c'était un processus de trois jours pour qu'ils piratent réellement le verrou. Si c'est quelque chose qui est ultra-sensible et que vous avez besoin d'une bonne sécurité, il vaut mieux utiliser un lecteur d'empreintes digitales qui vous permettra d'exiger une empreinte digitale et un mot de passe.
Brett G
10

Les empreintes digitales sont généralement plus sécurisées qu'un mot de passe, mais tout est relatif.

Mais vous savez quoi de plus sûr qu'une empreinte digitale? Une empreinte digitale et un mot de passe. Quelque chose que vous avez et quelque chose que vous savez est bien plus sûr que l'un ou l'autre.

Harley
source
4

Le problème avec toutes les données biométriques est que lorsque votre matériel de sécurité (comme vos empreintes digitales, votre rétine ou votre ADN) est compromis, il est très difficile de le changer.

La biométrie est une forme d'identification, pas d'authentification.

Modifier: Suite, j'ai trouvé cet excellent article: Authentification et Identification.

Jared Oberhaus
source
4
  • L'authentification du système d'exploitation est-elle plus sécurisée en utilisant un lecteur d'empreintes digitales qu'un mot de passe (fort)? Cela peut-il être piraté facilement?

À un moment donné, on pensait que c'était le cas. Depuis lors, plusieurs méthodes ont été développées pour vaincre les versions moins chères de ces scanners.

S'il est utilisé dans le cadre d'un processus d'authentification à deux ou à plusieurs facteurs, je pense qu'il améliorera la sécurité en augmentant la difficulté d'entrée. Voici quelqu'un discutant .

  • Au fait, où est stockée l'empreinte digitale? Sur la puce matérielle ou sur le système de fichiers?

Généralement, le système de fichiers. De nombreux scanners transforment simplement l'impression en un hachage qui est transmis au PC hôte. Kronos Touch ID est une solution d'entreprise destinée à être utilisée comme horloge; il stocke les données dans une table Paradox (!) comme un hachage , il est donc assez clair d'où viennent leurs marges de profit avec cet appareil ....

  • Cela dépend-il du matériel du lecteur?

Il existe de nombreux lecteurs, chacun avec ses propres méthodes. Bien que je ne puisse parler avec aucune autorité à ce sujet, il semble que "oui" soit une assez bonne réponse à cette question.

  • Cela dépend-il de la mise en œuvre de la bibliothèque / du système d'exploitation?

Encore une fois, je pense que cela dépend du type de lecteur. Certains transmettent en réalité plus qu'un hachage (l'image réelle de l'empreinte digitale), tandis que d'autres ne le font pas.

Avery Payne
source
3

Bruce Schneier a écrit une excellente analyse de la biométrie où il explore les avantages et les inconvénients de l'utilisation de techniques telles que les lecteurs d'empreintes digitales pour l'authentification. Il souligne que les empreintes digitales sont difficiles à falsifier, mais qu'elles sont triviales à voler. Personnellement, la semaine que j'ai passée enfermée dans ma propre salle de serveurs après avoir suffisamment coupé mon doigt pour endommager mon empreinte digitale est suffisante pour me faire jurer par les lecteurs d'empreintes digitales.

Je reviendrai et modifierai cette URL dès que je ne serai pas un "nouvel utilisateur"

http://www.schneier.com/blog/archives/2009/01/biometrics.html

Pépite
source
1
Le même problème peut apparemment se produire avec certains traitements contre le cancer: timesonline.co.uk/tol/news/uk/health/article6368231.ece
David Hicks
C'est pourquoi vous devez enregistrer tous vos doigts avec l'appareil.
Brett G
1

Personnellement, je n'aime pas beaucoup la biométrie. Si je dépensais de l'argent pour un système d'empreintes digitales, je préférerais utiliser PKI et mot de passe + certificat pour ID.

sclarson
source
+1 pour une solution plus sécurisée qui n'implique pas que mon doigt soit coupé lorsque M. Mafia veut les données de mon entreprise.
Commandant Keen
1

Selon l'application et le niveau de sécurité requis, la biométrie peut avoir un défaut littéralement fatal. Imaginons que les méchants veulent vraiment tout ce qui est protégé par le système de sécurité et qu'ils soient prêts à kidnapper et / ou tuer quelqu'un pour l'obtenir.

L'authentification du système d'exploitation est-elle plus sécurisée en utilisant un lecteur d'empreintes digitales qu'un mot de passe (fort)? Cela peut-il être piraté facilement?

Oui, il est assez facile de pirater un doigt d'une personne autorisée et de l'utiliser pour passer le lecteur d'empreintes digitales. Ou, les méchants peuvent mettre la personne sous la contrainte et la forcer à mettre le doigt sur le scanner.

D'un autre côté, un système de mot de passe peut être mis en place avec un mot de passe pour donner accès, et un autre mot de passe "de contrainte" pour non seulement refuser l'accès, mais aussi appeler à l'aide s'il est entré.

Personnellement, je ne travaille sur aucun système si important que je voudrais perdre un doigt dessus. Si quelqu'un veut assez, je ne veux même pas qu'il soit tenté de me prendre le doigt ...

TimB
source
0

Comment le scanner d'empreintes digitales est-il connecté? Le scanner que vous regardez utilise-t-il une sorte de cryptage entre le scanner et l'ordinateur? Si ce n'est pas le cas, qu'est-ce qui m'empêcherait d'insérer un périphérique entre votre scanner et votre ordinateur, puis de capturer votre empreinte digitale?

Vous ne pouvez pas vraiment changer votre empreinte digitale. Si je peux capturer une empreinte digitale d'une manière que je peux simplement envoyer les mêmes données encore et encore, votre système est en panne.

Zoredache
source
0

La sécurité des empreintes digitales est basée sur la biométrie où le concept est simple que les impressions du pouce de tous les individus vivant sur cette terre sont différentes. La logique est vraie, mais cela dépend totalement de la technologie que vous utilisez en cas de dysfonctionnement du programme ou du matériel, cela peut également être risqué.

0

Ayant expérimenté un ordinateur portable (HP de mémoire) où mon empreinte digitale et celle d'un collègue ont accordé l'accès au même compte d'utilisateur, je dois dire qu'il ne peut y avoir de réponse absolue oui ou non. La plupart des implémentations que j'ai vues n'utilisent que quelques points de test pour déterminer une empreinte digitale. À mon avis, rien de moins que quelques dizaines de points est insuffisant pour une sécurité adéquate. Donc, parce que ça va dépendre de l'implémentation si je devais donner une réponse oui ou non, ça doit être non.

John Gardeniers
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.