如何处理生物识别的主要缺陷:不可撤销的识别?
生物识别方法的主要问题是它们是不可能被撤销的。一旦我的指纹,在任何形式下被窃取,我不能把它放在一个世界范围内的撤销名单,因为这样做会阻止恶意使用和我自己的合法使用。
考虑到使用标准打印机制作假指纹或虹膜图像是多么容易,我想知道如何避免将我的个人属性暴露在被盗的风险之下。
任何人在以下基本程序基础上使自己成为代理标识符在技术上有多大的可行性:
- 一个高质量的随机发生器建立一个独特的指纹数学数字,以交换多个身份证明和个人秘密信息的注册证明。一个独特的随机指纹将产生作为指纹图像的私人部分的传统私人-公开钥匙。
- 这个独特的数学设计印在一个实心塑料假手指上:一个用实心戒指固定在我的钥匙环上的代理手指。这将用作我的私钥的指纹图像,并用于传统的私钥对匹配身份验证。
- 我用这个代理手指来代替我真正的手指来识别我自己。
- 如果我的代理手指被窃取(物理上或通过它的任何存储的验证机制),我宣布它被撤销,通过它在世界范围内的撤销列表上的唯一号码。
GOTO步骤1。
回答 3
Security用户
发布于 2013-09-20 16:53:10
诉诸生物识别技术,即从人体使用者的身体部位采取物理措施的全部要点是,所述身体部分与使用者相连,不能随意切换(不幸的是,它可以被移除,但实际上不能粘住)。
的确,不可能撤销生物特征识别是一个固有的问题,目前还没有一个很好的解决办法。然而,如果你通过使用外部设备(比如你的假手指)来解决这个问题,那么为什么要做一些像模仿人类手指这样粗俗的事情呢?承认你现在使用的是基于设备的安全(“你拥有的东西”,而不是“你拥有的东西”),并且让设备成为智能卡或类似的东西,这会更简单、更安全。这甚至不是一个新的想法;例如,在日本,他们使用封条进行签名。你的代理手指只是一个日本印章在万圣节道具的形状因素。
Security用户
发布于 2013-09-20 17:13:29
说打印出来的指纹可以让你访问,就像说‘OR '1'='1’会对普通的旧密码做同样的事情。
实际上,有一种保护(和撤销)生物特征的方法。短而简单,在存储用户的生物数据之前,系统可以利用某种不可逆的功能对其进行失真。如果您想了解更多关于它的信息,请搜索"可取消生物特征“
Security用户
发布于 2013-09-23 08:37:42
正如很多次所显示的那样,市场上所有的指纹传感器都可以很容易地被你在任何超市买到的廉价原料愚弄。因此,上面关于将生物识别技术与常规身份验证令牌(例如智能卡或非常长的随机密码)结合起来的文章当然是正确的。您可以欺骗本地生物识别身份验证,但可以撤销用于远程通信的凭据。
http://grahamcluley.com/2013/09/hackers-bypass-iphones-touch-id-fingerprint-scanner/
http://www.puttyworld.com/thinputdeffi.html
http://www.theregister.co.uk/2002/05/16/gummi_熊_战败_指纹_传感器/
https://security.stackexchange.com/questions/42718
复制相似问题
腾讯云开发者
