?

Log in

No account? Create an account

Previous Entry | Next Entry

Пальцы второго сорта

Зашла речь об использовании биометрии (конкретнее – пальчиков) в дверных замках квартир, автомашин, офисов, гостиниц. Безопасно или нет?

Как ни странно, ответить на этот вопрос прямо сейчас нельзя. Только после внедрения этой технологии станет известна степень риска. Дело в следующем.

Когда мы, безопасники принимаем решение об использовании персданных (в частности, биометрических), мы оцениваем риск их утечки в целях мошенничества. Именно в целях мошенничества. Можно ли с помощью утекших данных украсть деньги? Если да – мы их будем усиленно защищать или вовсе откажемся от их обработки. Если нет – мы ограничимся минимальной защитой, только чтоб формально выполнить требования законодательства.

А можно ли украсть деньги с помощью чужих пальчиков? Да, если они будут использованы для удостоверения личности в платёжных системах, банкоматах, удалённом банковском обслуживании, получении льгот и т.п. сервисах, завязанных на материальный интерес.

   
У индусов с глубокой древности так определено, принято и заповедано богами: правая рука – для чистых дел типа еды; левая рука – для нечистых типа подтирания зада. Например, подав что-то левой рукой, вы серьёзно обидите человека.
Упрощённо говоря, есть два класса информационных систем: "серьёзные" и "несерьёзные". Сложные и простые, денежные и некоммерческие, защищённые и не очень. Вот они узрели возможность применения биометрического подтверждения личности и выжидательно смотрят друг на друга. И каждый из них говорит: «Если вы начнёте использовать, то мы не станем. Ибо опасно.» Нельзя применять отпечаток пальца в банкомате, если эти пальцы употребляются для дверей в гостиницах и, как следствие, доступны десяткам тысяч недоверяемых работников отельного бизнеса. И наоборот. Если по пальчику можно оформить кредит и загранпаспорт, никакой здравомыслящий человек не сунет его в аутентификатор веб-форума.

Те и другие выжидают. Те и другие не могут оценить риски, пока противная сторона не определится. Пат. Заколдованный круг.

Выход из ситуации видится в том... Догадались уже? Элементарно!

Требуется глобальное соглашение. Или стандарт. Можно RFC. Все 10 пальцев человека должны быть упорядочены по степени важности. 1-й и 2-й – только для авторизации при банковских операциях, 3-й и 4-й – для паспортно-визовых целей и так далее. А 9-й и 10-й – для наименее защищённых и наименее доверяемых систем, где красть почти нечего. Вовсе не обязательно, чтобы под соглашением подписались сразу все операторы персданных и производители софта. Достаточно договориться лишь некоторым. Не соблюдающих сию договоренность "невидимая рука рынка" подтянет. За шкирку.

Comments

( 48 comments — Leave a comment )
skie2004
Apr. 15th, 2011 01:24 pm (UTC)
Бедные инвалиды...
malaya_zemlya
Apr. 16th, 2011 12:14 am (UTC)
кстати да. Для беспалых или даже забинтованных должен быть отдельный интерфейс. И если в этом интерфейсе дыра, то вся биометрия идет насмарку.
vitus-wagner.dreamwidth.org
Apr. 15th, 2011 01:35 pm (UTC)
А через пару лет после принятия стандарта биологи опубликуют открытую закономерность, позволяющую по отпечатку 10-го пальца восстановить остальные 9.
beldmit
Apr. 15th, 2011 02:41 pm (UTC)
Не опубликуют. А сначала снимут кучу денег.
(no subject) - vitus-wagner.dreamwidth.org - Apr. 15th, 2011 02:44 pm (UTC) - Expand
(no subject) - beldmit - Apr. 15th, 2011 02:45 pm (UTC) - Expand
(no subject) - slobin - Apr. 15th, 2011 04:17 pm (UTC) - Expand
(no subject) - mingan - Apr. 15th, 2011 07:36 pm (UTC) - Expand
(no subject) - de_nada - Apr. 16th, 2011 02:53 pm (UTC) - Expand
(no subject) - ashmanov - Apr. 24th, 2011 08:58 pm (UTC) - Expand
(no subject) - slobin - Apr. 25th, 2011 12:56 am (UTC) - Expand
kastaneda
Apr. 15th, 2011 01:44 pm (UTC)
Простите, в последнее время ваши посты мне кажутся всё более странными.

Для начала давайте определимся, о каких рисках идёт речь. Если речь идёт о том, что некие мошенники раздобудут наши отпечатки пальцев (а мы их везде-везде оставляем огромное количество) и смогут при помощи этих отпечатков залезть к нам в сейф — то здесь проблемы преимущественно технические. Сканеры отпечатков пальцев постоянно совершенствуются; только самые примитивные сканеры можно обмануть при помощи фотошопа и клея.

Если же речь идёт об организационных проблемах и о возможных злоупотреблениях со стороны персонала… Банки как-то справляются с fraud'ом по кредиткам.
vitus-wagner.dreamwidth.org
Apr. 15th, 2011 02:46 pm (UTC)
Насколько я понимаю, речь идет об угрозах, которые возникают, когда биометрическая информация передается по каналам связи в электронном виде, и хранится в базах данных. Соответственно, злоумышленник имеет возможность подсунуть в протокол взаимодействия с организацие А биометрическую информацию стыренную из базы данных организации Б и таким образом аутентифицироваться как персона В.
(no subject) - mindfactor - Apr. 17th, 2011 08:50 am (UTC) - Expand
(no subject) - vitus-wagner.dreamwidth.org - Apr. 17th, 2011 09:04 am (UTC) - Expand
(no subject) - mindfactor - Apr. 17th, 2011 09:15 am (UTC) - Expand
(no subject) - infowatch - Apr. 15th, 2011 05:54 pm (UTC) - Expand
__v__e__
Apr. 15th, 2011 01:48 pm (UTC)
пятница
предлагаю тебе модификацию метода - для самых ответственных случаев использовать отпечатки не пальца вовсе, а мужского полового члена. Эти отпечатки и достать злоумышленнику труднее, и случайно оставляются они все же реже, и тоже на труднодоступных местах.

А женщин - вовсе лишить права подписи, да.
crazy_daemon
Apr. 15th, 2011 03:07 pm (UTC)
Re: пятница
- Эй,- крикнул с места Крис, - Таких вопросов тебе, еще, наверное, не задавали, но скажи, а вы в своем отделе тестирования, не проверяли, может сканеры и на него реагируют?
- Как это, не проверяли? Обижаешь, проверяли, конечно! - гордо сказал докладчик.
После его слов в зале раздался повторный взрыв хохота.
- Ну и как? – Крис пытался перекричать зал.
Все затихли, в ожидании ответа. Только, то там, то здесь раздавались отдельные всхлипы.
- А никак. Нет там никаких отпечатков.
- Если совсем никаких, то плохо дело, - ответил Крис.
И зал снова взорвался.

http://ar14.livejournal.com/164810.html
Re: пятница - __v__e__ - Apr. 15th, 2011 03:49 pm (UTC) - Expand
shaplov
Apr. 15th, 2011 02:04 pm (UTC)
Че-то мне кажется что биометрия может служить только для быстрой идентификации, типа чтобы ФИО не надо было вбивать... А для серьезных вещей -- не годиться, потому что, параметры идентификации фактически в открытом доступе оказываются, сами по улице ходят, а то что сейчас их подделать сложно, так завтра будет не так, если реальными деньгами запахнет...
evil_harconen
Apr. 15th, 2011 07:19 pm (UTC)
В цивилизованном мире (у арабов) сканирование сетчатки глаза используется и для идентификации при пересечении границы, и, частенько, для единственной идентификации при банковских операциях. Заметных мошенничеств на этом деле пока незаметно.
(no subject) - mingan - Apr. 15th, 2011 07:39 pm (UTC) - Expand
my_virtual
Apr. 15th, 2011 02:11 pm (UTC)
Угу, а потом в подворотнях начнут не мобильники отбирать, а пальцы оттяпывать...
vlad_suh
Apr. 15th, 2011 04:57 pm (UTC)
Отпечатки с любых поверхностей уже лет сто снимать умеют. А разрушители легенд недавно показывали, как легко их подделать.
(no subject) - my_virtual - Apr. 15th, 2011 08:32 pm (UTC) - Expand
(no subject) - infowatch - Apr. 16th, 2011 05:11 am (UTC) - Expand
(no subject) - my_virtual - Apr. 16th, 2011 05:33 am (UTC) - Expand
(no subject) - vlad_suh - Apr. 16th, 2011 09:10 am (UTC) - Expand
omant
Apr. 15th, 2011 02:58 pm (UTC)
нужно промежуточное обрабатывающее устройство, за которым следит клиент.

кошелёк-телефон, например.

устройство связывается с телефоном, передаёт ему часть запроса, телефон считывает пальчики, обрабатывает по запросу, возвращает устройству результат, пальчики уничтожаются. главное, как-нибудь защитить от сохранения и воровства пальчиков в самом телефоне - это задача разработчиков. или каждый раз сканировать те же пальчки по-разному, по алгоритму запроса, но это вопрос, можно ли так вообще.
vlad_suh
Apr. 16th, 2011 09:01 am (UTC)
В таком варианте идея сводится к персональному аппаратному ключу. Какая разница, таскать с собой просто шифровальный аппарат, или аппарат, который ещё и отпечатки пальцев требует. Хотя во варианте с отпечатками его терять безопаснее.
(Deleted comment)
infowatch
Apr. 15th, 2011 05:59 pm (UTC)
Конечно, не выдерживает. Ведь такой теории нет. Есть практика. Даже несколько разных практик - для разных условий. А теория идентификации отсутствует.
(no subject) - mindfactor - Apr. 17th, 2011 08:52 am (UTC) - Expand
malaya_zemlya
Apr. 16th, 2011 12:22 am (UTC)
Главная проблема с биометрией ИМХО, это что делать, если пальчики все ж таки увели. Делать пластическую операцию при каждом взломе базы данныз уж очень накладно.
infowatch
Apr. 16th, 2011 05:09 am (UTC)
Я ж не зря отвёл по 2 пальца на каждый тип сервиса. Один запасной.
(no subject) - de_nada - Apr. 16th, 2011 06:36 am (UTC) - Expand
(no subject) - malaya_zemlya - Apr. 16th, 2011 09:27 am (UTC) - Expand
(no subject) - infowatch - Apr. 16th, 2011 10:53 am (UTC) - Expand
(no subject) - mindfactor - Apr. 17th, 2011 08:54 am (UTC) - Expand
lugoblin
Apr. 16th, 2011 07:46 am (UTC)
Они разве друг на друга смотрят, а не на ментовские базы данных с дактилоскопией?
(Deleted comment)
infowatch
Apr. 16th, 2011 01:01 pm (UTC)
Мы разрабатываем технологии для мирного времени. Решения на основе логики "погибаю, но не сдаюсь" не рассматриваем.
mindfactor
Apr. 17th, 2011 08:59 am (UTC)
"Всё уже украдено до нас".

Всё просто на самом деле - не надо класть все яйца в одну корзину.

А именно - сделать много способов идентификации и аутентификации.
Пароль, заведомо сложный пароль, аппаратный ключ, смска на телефон, пальчики, сетчатка глаза, предъявить паспорт и так далее.

Каждому способу госстандартом присваивается баллы.
Для каждой операции назначаются нужное число баллов, а дальше пользователь сам решает, как их набирать, какой именно комбинацией.
infowatch
Apr. 17th, 2011 09:30 am (UTC)
Разные способы аутентификации действуют не последовательно, а параллельно. Следовательно, общая защищённость будет снижаться с каждой новой опцией. По закону суммы обратных величин.
(no subject) - mindfactor - Apr. 17th, 2011 09:53 am (UTC) - Expand
(no subject) - infowatch - Apr. 17th, 2011 10:02 am (UTC) - Expand
(no subject) - mindfactor - Apr. 17th, 2011 11:20 am (UTC) - Expand
(Deleted comment)
(no subject) - mindfactor - Apr. 25th, 2011 01:25 pm (UTC) - Expand
obzor_chick
Apr. 19th, 2011 07:30 am (UTC)
Очень понравился ваш журнал, интересно чиать! И дизайн ниче)))
( 48 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow