Аутентификация по отпечатку пальца на удаленном сервере

Question

[Robotex]

Хочу написать такую системку (видел, в инете, но они меня не устраивали — только окна и малый список устройств). Как себе вижу: пользователь скачивает утилитку на ПК, которая будет сканировать отпечаток и отправлять его на сервер. Сервер будет предоставлять АПИ сторонним сайтам для авторизации.

Но вот тут интересно, как быть с безопасностью. Если отправлять отпечаток пальца, то его могут перехватить и использовать в своих целях. Если шифровать, то шифр можно взломать, вломав настольную утилиту. К тому же при каждом сканировании отпечаток будет немного отличаться (палец немного повернул, когда проводил, например). У кого какие идеи, как это можно осуществить?

Answer 1

[Дмитрий Сидоров]

Такая защита будет слабее парольной… Если пароль ты можешь поменять сколько угодно раз, то пальцев у тебя всего 10… И да, смысл в такой защите только локально (когда между считывателем и защищаемой системой сложно что-то подсунуть).
Ну это мой ИМХО, т.к. видел сканеры такие только на витрине магазина в котором работаю :-)

Comments

[uadeveloper]

Можно использовать другие части тела :)

Answer 2

[TimTowdy]

Если отправлять отпечаток пальца, то его могут перехватить и использовать в своих целях. Если шифровать, то шифр можно взломать, вломав настольную утилиту

Используйте ассиметричное шифрование.

Comments

[Robotex]

Блин, точно! Как я сам не догадался. Спасибо.

[Robotex]

Ан, нет. Злоумышленник может перехватить зашифрованный отпечаток и использовать его — сервер все равно расшифрует. Вот если можно было бы как нибудь использовать каждый раз новый ключ.

Answer 3

[uadeveloper]

Я думаю вряд ли она будет популярна. Я например на 12 лет за сидением за компьютером ни разу так и не увидел в живую этого сканера.

Comments

[XaBoK]

Сервис может быть полезным. Я, например, знаю фирму аутсорсинга, которая предлагает такую услугу сканер отпечатков и клиент как средство подсчёта рабочих часов и посещаемости. То есть через их сервис работодатель может получить удобные таблицы и графики, плюс необходимые для бухгалтерии расчёты. Для маленьких компаний очень удобно.

[Евгений Михалев]

у меня был ноут в 2007-2008 годах, асус с таким сканером, правда я сразу снес винду там, так что сканером не пользовался.

Answer 4

[Robotex]

Мне не для популярна, мне для себя.

Comments

[Robotex]

Сейчас продают usb сканеры и в каждый третий ноут их страивают.

Answer 5

[Robotex]

Например, в том же Enum есть авторизация по отпечатку по методу, который я описал. Вот как они это делают?

Answer 6

[niko83]

видел ролик как имея отпечаток пальца на стакане изготовили муляж и зашли на комп без ведома владельца
Поищите, кому интересно, на ютубе наверное должно быть

Comments

[Robotex]

А какое это имеет отношение к вопросу?

[niko83]

сорри, не так понял вашу задачу

Answer 7

[Mikhail Davydov]

Например, в том же Enum есть авторизация по отпечатку по методу, который я описал. Вот как они это делают?

которая будет сканировать отпечаток и отправлять его на сервер

На сколько я знаю Enum распознает локально(без пересылки данных на сервер) при наличии аппаратной поддержки сканирования отпечатков (совпадает отпечаток с эталоном или нет говорит драйвер устройства сканирования).

Сейчас продают usb сканеры и в каждый третий ноут их страивают.

1. Встроенная аппаратная поддержка сканирования пальца минимальна (минимум ноутов и смартфонов). Будут ли для таких целей рядовые пользователи покупать usb сканеры — нет.
2. Фотографировать палец? Что, помоему, изврат и не даст необходимой точности рисунка пальца, да и фокусировка на портативных фото-видео-веб-камерах оставляет желать лучшего. goto 1

Answer 8

[Gleb_Sevruk]

Делай веб-службу + клиент на Flash/Silverlight.
Через WCF на .Net можно побаловаться, например можешь XML файл отправлять и получать.
А вообще лучше чем-то полезным заняться.

Comments

[Robotex]

поддержка linux должна быть в первую очередь, так что всякие проприетарные технологии не нужны

Answer 9

[Jabberwok]

Почитайте как работает SSL / TLS. Асинхронная проверка + сертификаты делают цепочку устойчивой к перехвату.

Comments

[Robotex]

Написал в сообщении выше.