Onderzoekers pogen spoofing bij biometrische authenticatie te verhinderen

Het grote verschil tussen biometrische authenticatie is dat het uiteindelijke altijd wel te spoofen is (gijzel anders de persoon).

Wat niet zomaar te spoofen is, is kennis van de persoon zelf. Het lijkt mij een goed idee dat je dus een combinatie van beiden maakt. En dat je in geval van nood de code omdraait ofzo, en extern alles normaal verloopt maar het systeem wel intern de melding doorspeelt. (voor bijv. bij chantage of gijzeling)

Als ze het systeem zo goed kunnen maken dat het systeem angst kan herkennen of stress, en in zo'n situatie er een extra controle moet plaatsvinden of geflagged moet worden zodat het systeem ervan kan leren om misbruik te voorkomen.

Daarnaast is de skinscanner van Apple een goed apparaat om zelfgekozen delen van je lichaam te laten scannen, zoals onderkant / boven / linker / rechterzijde van je vinger maar nooit de vingerafdruk zelf, zodat alleen jij en het systeem er wat mee kunnen, maar geen enkele instatie er wat aan hebben aangezien die allemaal vingerafdruk databases gebruiken.

Nog beter:
Een hand in een beveiligd vierkant vakje steken en je hand op een bepaalde manier houden. Zonder die tegen de wanden houden, maar niemand anders kan zien hoe jij je handen houdt. Er kunnen dan geen afdrukken van genomen worden. (hoger niveau overheden authenticatie).

Voor telefoons een cijfercode van 6 cijfers, waarbij de cijfer na elke toets random van plek veranderd. Zodat je de hele tijd een andere plek indrukt, en voor middel van kleur een andere vinger moet gebruiken en de locatie van het cijfer ook nog eens verteld welke zijde je van je vinger moet laten scannen nadat je de code hebt ingetypt.(alleen jij weet welke kleur bij welke vinger hoort enz, (en bij een fout het nog moeilijker gemaakt wordt, om gokken te voorkomen).

Dus zelfs als iemand het dus heeft afgekeken met een camera bovenop je hand het hem toch niet lukt om met een valse afdruk te ontgrendelen omdat het elke keer anders is.

Dan maak je het in ieder geval veeel moeilijker dan het nu is.

[Reactie gewijzigd door XthinkZ op 27 juli 2024 11:08]

Tja het hele idee van "biometrics" is toch voornamelijk voer voor niet-techneuten die teveel James Bond hebben gekeken, en voor het gemak even vergeten dat het een film is. Zelfs hier op about.com iemand die het tot mijn stomme verbazing gewoon erkent!:

One way that shows a lot of promise in trying to combat identity theft is implementing biometric identification. You can see this on television crime shows like CSI, NCIS, etc. Biometrics include fingerprints, facial recognition, voice patterns, retinal scans, DNA, the list goes on.

Zoals dit bedrijf uiteenzet, "Biometric – Anything You can Store – I Can Steal ", en geeft een aantal goede voorbeelden van het onvermogen van Biometrics om een goed beveiligingssysteem te zijn.

Daarnaast heeft de EFF ook nog eens een goede reden waarom het helemaal niet zo prettig is om een centrale database te hebben met biometrische gegevens. "Who is watching you?" lijst een aantal problemen
Voor mij de belangrijkste:
The cost of failure is high. If you lose a credit card, you can cancel it and get a new one. If you lose a biometric, you've lost it for life. Any biometric system must be built to the highest levels of data security, including transmission that prevents interception, storage that prevents theft, and system-wide architecture to prevent both intrusion and compromise by corrupt or deceitful agents within the organization.

(Dit gecombineerd met het verhaal van hierboven dat zegt "Anything you can store I can steal" maakt natuurlijk vrij duidelijk waarom het een absoluut stupide idee om biometrics überhaupt te overwegen.)

Edit: En oh ja, voor die mensen die zeggen, "maar dan is dat product van die club (Innovya) uit dat artikel och een uitkomst, nou die vergeten dat het grootste probleem is dat zolang er "law en order ten koste van alles" lui als Opstelten en Teeven in een regering zitten (bestaan?) dergelijke systemen er niet zullen komen, omdat hun al evenmin met enig idee van burgerrechten behepte mensen bij politie en justitie maar al te graag met hun grijpgrage handjes in dergelijke databases willen zitten. En dat wij als IT-ers weten dat het "niet opslaan", zodra data in transit is, natuurlijk een fictie is, het is dan al op honderden systemen opgeslagen geweest.

[Reactie gewijzigd door ronaldvr op 27 juli 2024 11:08]