Хранение отпечатка пальца на сервере, в каком виде, на сколько безопасно для клиента?

Question

[E N]

Нужно организовать доступ клиентов фитнес клуба по отпечатку пальца, соответственно у каждого клиента будет своя учетная запись в которой будут храниться данные об отпечатке, сервер разумеется в датацентре.
Как данные будут сохраняться на сервере? в виде изображения (очень не хотелось бы) или в виде кода? получив доступ к которому злоумышленник не чего не смог бы сделать.
Есть категория клиентов которые боятся оставлять свои биометрические данные, опасаясь того что они могут попасть в третьи руки, нужно их убедить что ничего страшного в этом нет.

Comments

[Станислав Б]

Есть категория клиентов которые боятся оставлять свои биометрические данные, опасаясь того что они могут попасть в третьи руки, нужно их убедить что ничего страшного в этом нет.

на мой взгляд правильно делают. надо всегда быть готовым к тому, что любые данные, которые ты отдал на сторону, будут проданы или украдены третьими лицами. Лучше бы кто убедил фитнес клубы, что им не нужны отпечатки пальцев.

[E N]

Станислав, если я захочу, то сниму Ваш отпечаток, не будете же вы ходить в перчатках все время, так -же как и снимок радужной оболочки можно хорошей камерой удаленно взять, тут попахивает теорией заговора и РЭН-ТВ, некоторые до сих пор не пользуются картами платежными а некоторые даже телефонами, так как боятся всего, такие люди всегда будут, когда электрификацию проводили таких было очень много, а что теперь, где они?
Я не считаю отпечаток пальца чем-то сверх секретным, но это не значит что эти данные не нужно защищать.

[Станислав Б]

EVGENIJ NEFEDOV,

нужно их убедить что ничего страшного в этом нет.

Убедить их в том что данные не могут быть украдены\переданы третьим лицам вы не сможете, т.к. никто не может это сейчас гарантировать.

Можно попробовать убедить их в том, что в передаче отпечатков третьим лицам нет ничего страшного. Но тут я тоже крайне сомневаюсь, что это удастся.

так что наверно вам стоит смерится с потерей части клиентов в шапочках из фольги

Answer 1

[GilbertAmethyst]

А мне нравится идея с отпечатками. Довольно удобно, не нужно таскать с собой карту.

Я думаю, что наиболее правильно хранить такие данные в виде хэша, как пароль. Тогда при получении доступа к БД третьи лица ничего не смогут узнать, либо процесс будет невероятно усложнён.
Пользователь прикладывает палец -> Идёт генерация цифровой подписи -> Она хэшируется и аналогичный хэш ищется в БД -> Если находится и он соответствует клиенту -> Успех, впускаем человека
При этом в самой БД в чистом виде цифровую подпись не храним, только хэшированную.

А способ генерации цифровой подписи это уже вопрос больше к коду в вашем конкретном случае.

Ещё как вариант сделать приложение на телефон и работать непосредственно с сканерами там и API для взаимодействия с ними (как это делают сбербанк, например), тем же у кого нет в телефоне сканера давать обычную карточку. Сэкономите на оборудовании.

Comments

[E N]

Телефон не вариант, нужно сократить расходы клуба за счет персонала административного, а телефон можно передавать из рук в руки и проводить кучу людей в разные дни.