使用指纹读取器进行操作系统身份验证是否比使用(强)密码更安全?
这会轻易被黑客入侵吗?
顺便问一下,指纹存储在哪里?在硬件芯片上还是在文件系统上?
这取决于阅读器的硬件吗?
这是否依赖于库/操作系统的实现?
答案1
大多数生物识别系统的问题在于它们本身就很“嘈杂”,这就需要软件筛选出真正的信号。密码只有几个字节,因此必须非常精确。生物识别指纹、虹膜扫描、视网膜扫描或声纹都需要有一个“足够接近”的阈值,因为生物识别技术每天都在变化。破解此类系统可以利用生物识别身份验证技术的“足够接近”特性。
因此,在我看来,简单的生物识别技术不如正确选择的密码安全。这甚至还没有涉及实施细节,例如扫描仪和身份验证器之间的信号捕获/重放可能性,或容易被破坏的皮肤电导率传感器(舔纸!)。
与密码一起使用时,它可以增强安全性。但正如我所说,它不应该被使用反而密码。
答案2
扫描仪的安全性可能在很大程度上取决于硬件的质量。我猜现在笔记本电脑附带的大多数扫描仪都很便宜,不适用于高安全性的情况。即使是用于门锁的更高质量的扫描仪也无法避免指纹复制。这流言终结者剪辑证明了这一点。
正如哈雷所说,多次挑战总是比单次挑战更安全。
答案3
指纹通常比密码更安全,但这都是相对的。
但你知道什么比指纹更安全吗?指纹和密码。你所拥有的东西加上你所知道的东西比单独使用其中任何一种都要安全得多。
答案4
- 使用指纹读取器进行操作系统身份验证是否比使用(强)密码更安全?这会很容易被黑客入侵吗?
有一段时间,人们认为是这样。从那时起,已经开发出几种方法来打败这些扫描仪的廉价版本。
如果它被用作双因素或多因素身份验证过程的一部分,那么我相信它将通过提高进入难度来增强安全性。这里有人讨论这。
- 顺便问一下,指纹存储在哪里?在硬件芯片上还是在文件系统上?
通常是文件系统。许多扫描仪只是将印象转换为哈希值,然后传输到主机 PC。Kronos触控 ID是一个企业解决方案,旨在用作时间钟;它将数据存储在 Paradox 表中(!)哈希,因此很明显他们的利润率是从这个设备上来的......
- 这取决于阅读器的硬件吗?
读者很多,每个人都有自己的方法。虽然我不能对此发表任何权威意见,但似乎“是”对这个问题的回答相当不错。
- 这是否依赖于库/操作系统的实现?
再次强调,我认为这取决于读取器的类型。有些读取器实际上传输的不仅仅是哈希值(实际的指纹图像),而有些则不传输。