Mamy związek miłości-nienawiści z identyfikatorem biometrycznym. W końcu wygląda tak niesamowite, gdy bohater na obrazie ruchu Sci-Fi wchodzi do obszaru dostępu do ograniczonego dostępu po zeskanowaniu ręki i tęczówki. Ale to najlepiej, co możesz powiedzieć o bezpieczeństwie biometrycznym. Jest koncepcyjnie wadliwy w kilka sposobów, a prawie każda implementacja, którą widzieliśmy, zostaje złamany wcześniej lub później.
Sprawa w punkcie: płodny haker anti-biometrii [Starbug] i grupa kumpli w Berlinie CCC są w stanie uwierzytelnić się do systemu płatności “Samsung Pay” przez skaner Iris. Wideo, osadzony poniżej, pokazuje, jak: Zrób zdjęcie oka celu, wydrukuj go i przytrzymaj do telefonu. To było trudne!
Sarkazm na bok, czujnik Iris używa IR do rozpoznawania wzorów w oku, więc [Starbug] i Co. musiały użyć kamery z trybem Night Vision. Soczewka kontaktowa umieszczona na zdjęciu kończy iluzję – zgadujemy, że dostaje odbicia z oświetleniem pokoju. Brak wzorów odcisków palców do trawienia do miedzi, bez przewodzącego żelu – tylko wydruk i obiektyw kontaktowy.
Zrobiliśmy wcześniej niepewności odcisków palców; Nie są dobrym tajemnicą, są nieodwołalne, a ciężko są bezpiecznie przechowywać. I na szczycie tych problemów koncepcyjnych są dość fałszywe, jak [Starbug] i wielu innych pokazano, wracając do tyłu.
Dlaczego więc nadal ich używamy? Czytniki odcisków palców i skanery tęczówki są “dobrym” bezpieczeństwem “, a oni fajnie się z hakować. Musisz dodać jednego do projektu dla drugów? Absolutnie. Musisz potrzebować swojego obywateli, aby korzystać z nich do uwierzytelniania lub używać ich do rzeczywistego bezpieczeństwa? Nie bylibyśmy.
Video PlayerHttp: //cdn.media.ccc.de/contribuutors/berlin/Biometrie/h264-hd/biometrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00.
00:00.
01:16.
Dzięki [MBln] na końcówkę!