Comments 15
Какой-то подозрительный отпечаток =)
Почему то все производители такого по и оборудования забывают упомянуть два фундаментальных недостатка биометрической аутентификации:
1. Однажды скомпроментированно — останется таким до навсегда (новая сетчатка или отпечаток пальца?).
2. Принципиально можно снять эту информацию без прямого согласия и потенциально без ведома (да хоть снотворное в чай).
Ну и такая мелочь которая меня лично раздражает: не могу быстро разблокировать телефон для звонка после бассейна…
Так что остается эта ниша для пользователя типа «неуловимого Джо».
1. Однажды скомпроментированно — останется таким до навсегда (новая сетчатка или отпечаток пальца?).
2. Принципиально можно снять эту информацию без прямого согласия и потенциально без ведома (да хоть снотворное в чай).
Ну и такая мелочь которая меня лично раздражает: не могу быстро разблокировать телефон для звонка после бассейна…
Так что остается эта ниша для пользователя типа «неуловимого Джо».
Есть ещё и третий недостаток: можно сделать резервную копию пароля/ключа/криптографического токена/… Но чтобы сделать резервную копию глаза нужно быть злоумышленником, который знает, как подставлять в такие системы информацию, не имея самого человека. А источник любых биометрических данных, кроме ДНК, может быть, как минимум, удалён или травмирован так, что пользователь перестаёт опознаваться. Последняя ваша «мелочь» пример именно этого, разве что «травма» временная. Как вы будете разблокировать телефон после достаточно сильного ожога?
Дык это же не недостатки, а сплошные достоинства!
1) Однажды скомпрометированное останется навсегда, вне зависимости от состояния и согласия хозяина — брутфорсить пароль мёртвого террориста уже не придется — достаточно отрубить палец.
2) Негласное снятие отпечатков и доступ без ведома владельца — тоже плюс. Проблем меньше, согласие суда не нужно, достаточно стакан украсть или ручку с двери… А если вспомнить, что хранится не сам отпечаток, а его хеш, в котором ещё и коллизии возможны…
1) Однажды скомпрометированное останется навсегда, вне зависимости от состояния и согласия хозяина — брутфорсить пароль мёртвого террориста уже не придется — достаточно отрубить палец.
2) Негласное снятие отпечатков и доступ без ведома владельца — тоже плюс. Проблем меньше, согласие суда не нужно, достаточно стакан украсть или ручку с двери… А если вспомнить, что хранится не сам отпечаток, а его хеш, в котором ещё и коллизии возможны…
Как все сложно. Почему нельзя сделать какой-то один юсб супер мега изолированый порт, драйвер которого в анклаве или еще где-то там спрятан и вот я вставляю в этот порт свою флешку со своим зашифрованным рса ключом, ввожу ОДИН раз пароль от ключа и все, бах чудо, приложение через анклавную юзерленд библиотеку имеет апи от операционки, запрашивает мой токен, подписывает запросы или что ему нужно, авторизирует автоматически и я просто сижу и работаю. Зачем эти глаза пальцы слюна перхоть днк. Я что агент цру какой-то?
Пороха в огонь добавляет то, что видители ли мои биометрические данные находятсяв руках спецслужб, потому что БИОМЕТРИЧЕСКИЙ паспорт. Получается какая-то третья сторона может вообще без каких либо проблем взять и зайти от моего имени куда и когда угодно.
Очередное «улучшение»
Очередное «улучшение»
" испытания на живучесть " — не на живучесть, а на живость. Живучесть — это немного другое.
Именно этого не хватает современным системам, и именно это значительно затрудняет использование скомпрометированного отпечатка пальца или радужки. По крайней мере — до появления технологии отращивания взломщиком живого пальца с отпечатком жертвы.
Особенности обхода аутентификации по ДНК смотрите в фильме «Гаттака», 1997 год.
Именно этого не хватает современным системам, и именно это значительно затрудняет использование скомпрометированного отпечатка пальца или радужки. По крайней мере — до появления технологии отращивания взломщиком живого пальца с отпечатком жертвы.
Особенности обхода аутентификации по ДНК смотрите в фильме «Гаттака», 1997 год.
Термин «испытание на живучесть», например, используется в ГОСТ Р 54412-2011 «Информационные технологии. Биометрия. Обучающая программа по биометрии», с. 22. Есть и другие примеры. Иногда то же самое называют «витальность», но не в ГОСТах. Подскажите пожалуйста, каков источник термина «испытание на живость»?
«Живучесть» как самостоятельный термин означает «способность технического устройства, сооружения, средства или системы выполнять основные свои функции, несмотря на полученные повреждения, либо адаптируясь к новым условиям». Источник — https://ru.wikipedia.org/wiki/%D0%96%D0%B8%D0%B2%D1%83%D1%87%D0%B5%D1%81%D1%82%D1%8C
Я допускаю, что авторы ГОСТ Р 54412-2011 использовали (на мой взгляд — безграмотно, ибо термин 'живучесть' гораздо старше упомянутого ГОСТа) слово «живучесть» в термине «испытание на живучесть» в контексте биометрических систем как «различение системой живого и неживого». Но я не разделяю вашего желания следовать данному безграмотному термину, который вносит путаницу в и так непростую отрасль ИТ. Пример путаницы: https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%D0%B6%D0%B8%D0%B2%D1%83%D1%87%D0%B5%D1%81%D1%82%D1%8C%20%D0%B1%D0%B8%D0%BE%D0%BC%D0%B5%D1%82%D1%80%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B. Я, как и, полагаю, большинство пользователей Хабра, не являясь экспертами по ГОСТ Р 54412-2011 воспринимаю термин прежде всего исходя из общей эрудиции, а не исходя из знаний упомянутых ГОСТов. Но если вам «шашечки», а не «ехать» — вы, безусловно, правы.
Я допускаю, что авторы ГОСТ Р 54412-2011 использовали (на мой взгляд — безграмотно, ибо термин 'живучесть' гораздо старше упомянутого ГОСТа) слово «живучесть» в термине «испытание на живучесть» в контексте биометрических систем как «различение системой живого и неживого». Но я не разделяю вашего желания следовать данному безграмотному термину, который вносит путаницу в и так непростую отрасль ИТ. Пример путаницы: https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%D0%B6%D0%B8%D0%B2%D1%83%D1%87%D0%B5%D1%81%D1%82%D1%8C%20%D0%B1%D0%B8%D0%BE%D0%BC%D0%B5%D1%82%D1%80%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B. Я, как и, полагаю, большинство пользователей Хабра, не являясь экспертами по ГОСТ Р 54412-2011 воспринимаю термин прежде всего исходя из общей эрудиции, а не исходя из знаний упомянутых ГОСТов. Но если вам «шашечки», а не «ехать» — вы, безусловно, правы.
Прошу прощения, торопился, и за отведенные 3 минуты на редактирование не успел превратить ссылки в href=
В ГОСТ Р 54412-2011 — «живучесть», причём, там совершенно однозначно не скажешь, что они имеют в виду, если вчитаться в тот раздел, где об этом речь. В этой статье тоже живучесть, причём, совершенно однозначно. Что интересно, структура статьи напоминает развёрнутую часть ГОСТ Р 54412-2011, в которой упоминается «живучесть». Вероятно, авторы статьи так же восприняли тот ГОСТ, как и я (у них там ещё и «неживучесть» :) есть). Вероятно, в ГОСТе «живучесть» используют многозначно — и как общепринятый термин, и как специальный. Так же, как вы цитируете первое вхождение «живучести» в ГОСТ, можно процитировать, с дополнением, второе, с учётом текста, который выше: «Однако испытания на живучесть <биометрических образцов> находятся в процессе исследований...». В ГОСТ Р ИСОМЭК 24713-2-2011 — уже другой термин, «жизненность». Вот в этой статье тоже «жизненность». По-моему, просто терминология не устоялась. В итоге делаю вывод — или «живучесть», или «жизненность», и то и другое попадается в интересующем нас смысле. Не «живость» — точно, его нигде нет, не «витальность» — такой термин встречается исчезающе редко. К тому же, я, в ответе на тот коммент, попросил сказать, почему «живость» правильно и дать источники. Но вместо этого вы рассказали, почему «живучесть» не подходит и ни одного доказательства в пользу «живости» :)
В общем, в любом случае не вижу никакого криминала в этом слове, думаю, все читатели поняли, о чём речь.
В общем, в любом случае не вижу никакого криминала в этом слове, думаю, все читатели поняли, о чём речь.
Вообще же, уважаемые, если внимательно вчитаться в упомянутый ГОСТ, страница 22, термин «испытание на живучесть» там расшифрован как «испытания <системы> на возможность быть введенным мошенником в заблуждение». Так что — мои извинения авторам ГОСТ Р 54412-2011, и shame on you за неправильно использованный термин, да еще и с попыткой доказать свою правоту в комментарии со ссылкой на ГОСТ. Признайте ошибку и исправьте термин.
UFO just landed and posted this here
Sign up to leave a comment.
Аппаратные технологии безопасности Intel: новое слово в защите биометрических приложений. Часть первая