Quanto è sicuro usare le impronte digitali per la password contro i ladri opportunisti?

supponendo che non abbiano accesso alle impronte digitali

Credo che questa ipotesi sia sbagliata. Le impronte digitali possono essere estratte da molte cose che tocchi o anche da foto .

Ma supponiamo che "loro" non possano farlo:

Una password è digitale. È esatto Se la tua password è "IiL1l", è banale controllare che non sia "1ILlI". Le impronte digitali non sono digitali. Ogni dispositivo che convalida la tua impronta digitale è in grado di confrontare la scansione che fai per modellare come appare la tua impronta digitale.

Questo sembra un grosso problema, ma questo ha enormi conseguenze. Per crittografare le cose, le password vengono convertite in chiavi (usando qualcosa chiamata funzione di derivazione della chiave). Se si modifica solo una singola lettera della password, viene derivata un'intera chiave diversa. La chiave non viene mai memorizzata sul dispositivo. Ogni volta che decifri qualcosa, la chiave viene nuovamente derivata dalla tua password. La chiave è non archiviata ovunque. Poiché la tua password è sempre la stessa e la derivazione della chiave è deterministica, la chiave è sempre la stessa e la decrittografia funziona.

Per le impronte digitali, non può funzionare. I sensori di impronte digitali funzionano in modo diverso, ma alla fine si ottiene sempre qualcosa che assomiglia a un'immagine in bianco e nero / scala di grigi. Prova un esperimento più semplice: metti un foglio di carta sulla tua scrivania. Prendi una macchina fotografica. Scatta due foto che sono esattamente le stesse. Non sarai in grado di farlo, e per un'impronta digitale è molto più difficile!

Per questo motivo, non è possibile derivare una chiave dall'impronta digitale. La tua impronta e la chiave sono memorizzate sul dispositivo. Il dispositivo verifica se l'impronta digitale è simile a quella memorizzata e rilascia la chiave già memorizzata sul dispositivo .

Per questo motivo, un'impronta digitale sarà sempre meno sicura di una password complessa.

Diamo prima un'occhiata all'efficacia della biometria

Le tecnologie biometriche vengono valutate in base a tre criteri di base:

Il tasso di scarto falso

Percentage of authorized users who are denied access;

Falso tasso di accettazione

Percentage of unauthorized users who are granted access;

Tasso di errore del crossover

The level at which the number of false rejections equals the false acceptance.

Tra tutti i possibili dati biometrici, solo tre caratteristiche umane sono considerate veramente uniche:

Fingerprints, retina of the eye, iris of the eye

Il tasso di errore del crossover è il punto in cui si intersecano falsi scarti e false accettazioni, è probabilmente la misura di accuratezza più comune e più importante per un sistema biometrico. La regolazione ad un estremo crea un sistema che richiede corrispondenze perfette e comporta un alto tasso di falsi scarti, ma eccessivi falsi accetta. Il trucco è trovare un buon equilibrio tra i due (vicino al punto in cui i due tassi di errore sono uguali).

La maggior parte delle tecnologie che analizzano le caratteristiche umane convertono queste immagini in una qualche forma di minutiae ogni successivo tentativo di accesso risulta in una misurazione che viene confrontata con un valore codificato per verificare l'identità dell'utente. Un problema con questo metodo è che il corpo umano cambia a causa di malattie, ferite, ecc.

Le impronte digitali non cambiano, ma possono essere difficili da leggere se una persona ha una grande usura sulle dita.

Le impronte digitali:

Universitaly: Medium, Uniqueness: High, Permanence: High, Collectability: Medium, Performance: High, Acceptability: Medium, Circumvention: High

Domanda:

are there any known or potential security concerns?

Sì. Un sistema che utilizza la biometria come soluzione di sicurezza deve avere un buon TCB (trusted computing base) per applicare la politica di sicurezza. Questo si riferisce alle regole di configurazione per un sistema. TCB è costituito dall'hardware e dal software che è stato implementato per garantire la sicurezza di un particolare sistema di informazioni. (Kernel del sistema operativo e set specificato di utilità di sicurezza, come il sottosistema di login dell'utente.) Hardware e software deboli == sistema di accesso debole che può essere ignorato.

Are fingerprints easily recoverable from the cases of phones?

Non facile, ma possibile

Can an average hacker with full access to your phone try guessing "passwords" that represent your finger print?

Dipende dal TCB (hardware e software). In un software debole, sicuro che sia possibile.

How unique and complex is a fingerprint compared to a password?

Le impronte digitali sono considerate veramente uniche.

Fonte: Micheal E. Whitman (ph.D, CISM, CISSP), Principles of Information Security, 2015

Il problema di un telefono protetto da un'impronta digitale è che il vetro del telefono probabilmente ha l'impronta digitale su di esso, a meno che tu non indossi sempre i guanti. Quindi, se un utente malintenzionato può isolare un'impronta digitale dal telefono, può crearne un'immagine e passarla sullo scanner. Richiede una tecnologia specifica (pensa a TV Esperti ...), ma IMHO è molto più semplice di una password corretta . Riconosco che per aver rubato ciò che si trova sul mio telefono personale, il rapporto guadagno / costo è molto inferiore a 1 e un attaccante probabilmente non lo proverebbe nemmeno. Ma se il mio telefono dovesse contenere dati davvero sensibili, non farei affidamento su solo un'impronta digitale.

Un'impronta digitale è solo un sistema di autenticazione corretto se qualcuno controlla che è davvero l'impronta del tuo dito.