Frage:
Wie sicher ist ein Fingerabdrucksensor gegenüber einem Standardkennwort?
Gavin Youker
2016-12-06 02:08:57 UTC
view on stackexchange narkive permalink

Laut Apple, Touch ID, beträgt die Wahrscheinlichkeit eines Fingerabdruckabgleichs 1: 50000, während die Wahrscheinlichkeit, einen vierstelligen Passcode zu erraten, 1: 10000 beträgt. Statistisch gesehen würde dies Touch ID fünfmal sicherer machen. Aber die Antwort ist nicht so einfach. Die Rekonstruktion eines Fingerabdrucks ist weitaus einfacher als die Rekonstruktion eines Passcodes. Obwohl ein Fingerabdruck einzigartig ist, laufen Sie im Grunde immer mit dem Sicherheitsschlüssel herum. Ich sehe, ein Fingerabdruck ist wie die vier Ziffern eines Passcodes, nur nicht in der richtigen Reihenfolge (ist dies jedoch das richtige Denken?).

Unabhängig davon bin ich nicht an einem Passcode interessiert. Ich interessiere mich für ein Passwort . Mit Softwareanwendungen können Sie sich bei sozialen Medien, Online-Transaktionen und sogar bei Bankkonten anmelden. Ist ein Verhältnis von 1: 50000 wirklich so sicher, wenn man es mit einem Passwort vergleicht, besonders wenn man sich solche Sensationsdaten ansieht? Ich bin mehr daran interessiert, nachdem der Angreifer das Passwort oder den Fingerabdruck hat, nicht so sehr an Brute-Forcing-Methoden. Mit einem starken Passwort scheinen die Chancen viel größer zu sein. Obwohl ein Fingerabdruck pro Person eindeutig ist, ist ein Passwort pro Situation eindeutig. Wenn ich Ihren Fingerabdruck habe, habe ich Ihre E-Mail, Ihre Social-Media-Konten und Ihre Bankdaten. Wo als Passwort habe ich möglicherweise nur Ihr Facebook.

Wächst das Scannen von Fingerabdrücken nur aus praktischen Gründen schnell oder ist es für den typischen Benutzer sicherer? Werbeansprüche sind bequemer und sicherer. Ist dies jedoch normalerweise der Fall?

Die Tatsache, dass Sie Ihr Telefon normalerweise nicht unbeobachtet lassen, erhöht die Sicherheit.Der Angreifer müsste Ihren Fingerabdruck und Ihr Telefon stehlen. Die Technik ist zwar einfach, aber unbemerkt wahrscheinlich nicht.Außerdem kann ein 4-stelliger Passcode auf der Schulter gesurft werden, während Ihr Fringerprint dies nicht kann
Um jemanden zu zitieren, der [TouchID auf Iphone6 gehackt] (https://blog.lookout.com/blog/2014/09/23/iphone-6-touchid-hack/) und [Iphone5s] (https: //blog.lookout).com / blog / 2013/09/23 / warum-ich-Äpfel-Touchid-gehackt-und-immer-denke-es-ist-fantastisch /): * TouchID ist keine „starke“ Sicherheitskontrolle.Es ist eine "bequeme" Sicherheitskontrolle. *
Passwörter sind leichter geheim zu halten als Fingerabdrücke.Und Passwörter sind einfacher zu ersetzen, wenn sie durchgesickert sind.
Nicht gerade sicherheitsrelevant, aber erwähnenswert: In den USA kann ein Gericht Sie nicht zwingen, ein Gerät mit einem Passwort zu entsperren, aber mit einem Fingerabdruck.Der Unterschied besteht darin, dass einer Informationen in Ihrem Kopf ist und der andere Sie dazu zwingt, etwas mit Ihrem Finger zu berühren.
@LTME was ist, wenn Sie sie irgendwo aufgeschrieben haben?Eine Art physische / digitale Kopie.
Sehr empfehlenswerte Lektüre: [Ihre nicht zerhackbaren Fingerabdrücke sichern nichts.] (Http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/)
Mögliches Duplikat von [Wie sicher ist die Verwendung Ihres Fingerabdrucks für ein Passwort gegen opportunistische Diebe?] (Http://security.stackexchange.com/questions/138827/how-secure-is-using-your-fingerprint-for-password-against-Opportunisten-Diebe)
Hmmmm.Ist das dein Finger?
"Ein Fingerabdruck ist nicht Ihr Passwort. Es ist Ihr Benutzername."
@DavidTonhofer Wer hat das gesagt?
@GavinYouker Ich kann mich wirklich nicht erinnern.Jemand in einem Kommentarbereich, denke ich.Oder vielleicht jemand in einem Interview in IEEE Security & Privacy, aber wahrscheinlich der erstere.
Auf der Skala von Secure to Convenient würde ich sagen, dass es sich eher um Convenient handelt als um Passwörter.
Es ist ein häufiges Thema in der Sicherheit.Viele Menschen verwechseln Identität und Passwort.Zum Beispiel E-Mail, Fingerpring, Kreditkartennummer, Telefonnummer, Sozialversicherungsnummer, Bankkontonummer - all dies sind Ihre Identifikation, keine Passwörter.Das Traurige ist, dass sie oft wie Passwörter verwendet werden: / Passwörter sind Geheimnisse, Identitäten nicht - die Verwirrung führt zu Komplikationen wie dem Maskieren von Kartennummern, um sie zumindest teilweise als Identifikation nützlich zu halten, während sie (hoffentlich) ihre erworbenen eliminierenPasswortrolle.
Ein Telefon ist etwas, das Sie haben;Ein Fingerabdruck ist etwas, das Sie * haben *, und ein Passwort ist etwas, das Sie * kennen *.Es ist besser, jeweils einen von zwei zu haben.Ganz zu schweigen davon, dass Sie buchstäblich überall Fingerabdrücke hinterlassen und 99,999% der Menschen nicht jede Sekunde Handschuhe tragen.
Apples Vergleich "1 zu 10000 für einen vierstelligen Passcode" erscheint etwas unaufrichtig.Poppycock, sage ich.Jedes zusätzliche Zeichen, das Sie diesem Passcode hinzufügen, erhöht die Sicherheit exponentiell.Wenn Sie es über 10 oder 12 Stellen bringen, wird es eine ziemlich große Aufgabe, die sicherlich viel sicherer ist als 1 zu 50000. 10 oder 12 Stellen sind schwer zu merken, sagen Sie?10 Ziffern sind nur eine Telefonnummer.20 Ziffern sind nur zwei Telefonnummern.Bei Touch ID geht es um Bequemlichkeit, nicht um Sicherheit.Denken Sie auch daran, dass jemand Ihren Daumen immer gewaltsam auf diese Touch ID-Schaltfläche legen kann, selbst wenn Ihr Daumen tot ist.
@Mr.E Ein ausreichend motivierter Angreifer könnte Sie physisch sowohl von Ihrem Telefon als auch von Ihrem Fingerabdruck entlasten, nicht jedoch von Ihrem Passwort.
@Craig Ich denke, Sie interpretieren falsch, was ich sage.Ich frage, ob eine Änderung von 1: 50000 wirklich * so * gut ist, weil meiner Meinung nach ein Passwort stärker ist.
Das Problem ist, dass ein 4-stelliger Passcode überhaupt nicht sicher ist.In diesem Fall ist der Fingerabdruckleser sicherer.Aber je länger der Passcode ist, desto stärker ist die Sicherheit.Der Suchraum für einen 4-stelligen Passcode nur für Zahlen beträgt 11.100 Permutationen.Dies entspricht der Schätzung von Apple von 1: 10000.Unter der Annahme von nur 1.000 Vermutungen / Sekunde wird dieser Passcode in 11 Sekunden kompromittiert.5-stellig bringt Ihnen fast 2 Minuten, 6-stellig kauft 20 Minuten, 7-stellig kauft über 3 Stunden, 8 kauft fast anderthalb Tage, 9 kauft 2 Wochen, 10 kauft 4,24 Monate, 11 kauft 3,5 Jahre, 12 kauft 35 Jahre,13 kauft 3,5 Jahrhunderte.
@SteffenUllrich, Ich kann nicht erkennen, wie bequem TouchId ist, als einen dreistelligen Passcode einzugeben.
@Wildcard, Technisch sind sie hashbar.Sie müssten nur zig Millionen Darstellungen hashen.
Acht antworten:
John Wu
2016-12-06 02:19:42 UTC
view on stackexchange narkive permalink

Der Fingerabdruck dient als einziges Authentifizierungsmittel für den Zugriff auf das Gerät, jedoch nicht für den Zugriff auf gesicherte Dienste oder Websites. Es hat daher nicht die gleiche Rolle wie ein Kennwort.

In der Regel wird die Authentifizierung per Fingerabdruck als zweiter Authentifizierungsfaktor verwendet, wobei der erste Faktor der physische Besitz des Geräts ist, auf dem sich das Kennwort befindet Der Fingerabdrucksensor wird gehostet. Und es kann auch andere Faktoren geben, wie das herkömmliche Passwort.

Wenn Sie beispielsweise eine Online-Banking-App haben, müssen Sie normalerweise zuerst Ihren Benutzernamen und Ihr Passwort eingeben und dann der App mitteilen, dass Sie Touch ID aktivieren möchten. Wenn Sie später die App verwenden möchten, authentifiziert das Gerät den Fingerabdruck, ruft das Kennwort aus dem Kennwortspeicher ab und sendet es an den eigentlichen Server, der das Kennwort authentifiziert. Wenn Sie das Gerät nicht haben, ist der Fingerabdruck unbrauchbar. Und wenn das Gerät nicht über das Kennwort verfügt, ist das Gerät auch unbrauchbar.

Fazit: Sie können den Fingerabdruck nicht einfach selbst verwenden. Und nein, es ist kein sicheres Passwort, es sei denn, das Passwort ist sehr, sehr kurz.

"Dann das Passwort aus dem Passwortspeicher abrufen und senden" - Touch ID aktivieren bedeutet, dass Ihr Passwort auf dem Gerät gespeichert (nicht verwaschen) wird?Bedeutet dies, dass das Aktivieren von Touch ID möglicherweise Ihr Passwort für jemanden zugänglich macht, der Zugriff auf Ihr Gerät erhält?
Kommt natürlich auf die App an.Viele Verbraucher verwenden jedoch die Funktion "Angemeldet bleiben" ihres Telefonbrowsers, mit der ein Kennwort auf dem Gerät gespeichert werden kann.
@elmer007 Die eigentliche Antwort lautet: Sie können auch das Passwort eingeben.Wenn Sie sich nur mit Ihrem Fingerabdruck bei einer App anmelden, bedeutet dies, dass das Gerät entweder Ihr Passwort speichert oder etwas speichert, mit dem Sie sich bei der Site / App / was auch immer anmelden können, was es fast so gut wie ein Passwort macht.
Der erste Faktor ist der physische Besitz des Geräts und der zweite Faktor ist ein Fingerabdruck, der höchstwahrscheinlich vom Gerät erhalten werden kann.Wenn also jemand Ihr Telefon stiehlt und Ihr Fingerabdruck auf dem Bildschirm / in der Hülle angezeigt wird, kann er sich damit anmelden.
"Und wenn das Gerät kein Passwort hat, ist das Gerät auch nutzlos": Das ist ein weiterer großer Nachteil bei der Verwendung von Fingerabdrücken: Sie befinden sich überall auf Ihrem Telefon!Jeder, der Ihr Telefon stiehlt, hat eine sehr hohe Wahrscheinlichkeit, auch Fingerabdrücke abzurufen.(Wenn Sie ein (gutes) Passwort verwenden, es sei denn, Sie kleben es selbst auf Ihr Telefon oder verwenden es im Passwortspeicher eines unverschlüsselten Browsers, ist es nicht leicht zugänglich, wenn das Telefon gestohlen wird.)
@JohnWu, Ist das also eine 3-Wege-Authentifizierung?
@Pacerier Ich bin nicht sicher, was Sie mit "dies" in Ihrem Satz meinen, aber ich sehe in diesem Thread nichts, was auf eine Site hinweist, die 3FA erzwingt.Für die Banking-Website benötigen Sie weder die Touch-ID noch das Telefon, da Sie die App auf jedem gewünschten Gerät installieren können.
* "Der Fingerabdruck dient als einziges Authentifizierungsmittel für den Zugriff auf das Gerät, jedoch nicht für den Zugriff auf gesicherte Dienste oder Websites." *: Nicht, wenn Ihr Passwort-Manager Fingerabdrücke verwendet: https://myki.com/
Shritam Bhowmick
2016-12-06 15:43:38 UTC
view on stackexchange narkive permalink

Usability v / s-Sicherheitsmatrizen werden nicht mit abhängiger biometrischer Autorisierung aufgelöst. &-Authentifizierung

Bevor ich anfange, sollten Sie sich zunächst die grundlegenden Grundlagen der Sicherheit ansehen ist in Matrizen eingebaut:

enter image description here

Es kann leicht geschlossen werden, dass High Security leider über Funktionen mit geringer Benutzerfreundlichkeit verfügt.

Woher weiß ich das?

Ich habe mich derzeit mit der sicheren Architekturimplementierung möglicher &-Authentifizierungsmechanismen code für befasst > mit iOS & Android - beides. Der Rahmen ist nicht & mit all der Forschungserfahrung entschieden, ich habe hier einige Punkte festgehalten, die es wert sein könnten, notiert zu werden.

enter image description here

Mögliche Risiken

  1. Wenn es sich um einen primären Sicherheitsschutz für den Zugriff auf kritische Assets handelt, gibt es Händler, die eine einzelne Person abschütteln können , hacke seinen Daumen ab & login. Es könnte so einfach sein, dass Finanzdaten in sicheren Anmeldeverfahren (primärer Anwendungsfall) aufbewahrt werden.
  2. Andere Bedrohungen könnten darin bestehen, den Druck mithilfe der hochauflösenden Bildgebung & sammeln zu lassen und dann Bildverarbeitungstechniken anzuwenden, um den Klon des Fingerabdrucks zu sammeln & verwendet es später, wenn es auf einem dünnen Plastikfaden gedruckt wird. Auf diese Weise ist hier ein zweiter Bypass möglich.
  3. Materialien, die beim Erstellen eines Telefons verwendet werden, können Drucke sammeln. & danach kann der bestimmte Teil physisch zerlegt werden, um die Sicherheitsumgehungen von &address klonen zu lassen.

    4. Im Gegensatz zur Verwendung normaler Passwörter, letzteres - könnte es für Benutzer wichtig sein, das Problem zu lösen, physisch nicht gefährdet zu sein. Alles, was es benötigt, ist das Bewusstsein der Benutzersicherheitsstufe, dass das Kennwort & für einen konformen Firmentyp, z. PCI-DSS usw. (bei Betrug mit Finanzdaten).

    Es gibt Benutzerfreundlichkeit, aber dann gibt es Sicherheit. Eine bessere Benutzerfreundlichkeit führt daher zu offensichtlich breiteren Oberflächen mit Sicherheitsrisiken. Daher ist im Folgenden die Verwendung biometrischer Geräte wie der folgenden in Betracht gezogen:

    1. Iris (L)
    2. Termogramm (L)
    3. DNA ( L)
    4. Geruch (L)
    5. Netzhaut (L)
    6. Venen [Hand] (L)
    7. Ohr (M)
    8. Gehen (M)
    9. Fingerabdruck (M)
    10. Gesicht (M)
    11. Unterschrift (H)
    12. Handfläche (M)
    13. Stimme (H)
    14. Eingabe (M)
      15. ol>

      Hinweis: H für (hoch), M für (mittel) & L für (niedrige) Risiken.

      Lassen Sie uns dasselbe in Matrizen wie im zuvor erwähnten Grundkonstrukt vorstellen. & prüfen, ob es den Kriterien entspricht:

      enter image description here

      Gesamtrisikofaktoren :

      Der physische Angriff

      Bieten Sie eine Bereinigung an Glas Champagner an das Zielopfer während eines sozialen physischen Ereignisses und schaffen es, das Glas wiederherzustellen, um ein hochauflösendes Bild der Fingerabdrücke des Ziels zu erhalten.

      Der Speicherangriff

      Alle diese Fingerabdrücke müssen entweder lokal oder zentral gespeichert werden lly. Stehlen Sie das Telefon5 des Zielopfers und erhalten Sie über physische Schnittstellen den internen Inhalt und greifen Sie den gespeicherten und verschlüsselten Fingerabdruck an. Wenn sie zentral gespeichert werden, wird dieser zentrale Speicher früher oder später unterbrochen, da wir uns nicht in der magischen Raumzeit befinden, in der die Wahrscheinlichkeit 0 lebt.

      Der algorithmische Angriff

      Wie bei jeder anderen Authentifizierungstechnik werden beim Lesen, Speichern und Vergleichen von Fingerabdrücken Algorithmen verwendet. Daher ist diese Authentifizierung auch algorithmischen Angriffen ausgesetzt.

      Die oben genannten Methoden sind mit Risiken verbunden. Es gibt einen wichtigen Punkt bei der biometrischen Authentifizierung, den viele kommerzielle Installationen respektieren, der jedoch nicht sofort offensichtlich ist: Banken sollten sich niemals auf biometrische Daten verlassen, um sowohl Authentifizierung als auch Identifizierung zu ermöglichen. Biometrische Messungen sind nützlich, aber keineswegs einzigartig. Zwei Personen haben möglicherweise nicht genau den gleichen Fingerabdruck, die gleiche Handgeometrie oder das gleiche Irismuster, aber die Messungen sind häufig verlustbehaftet genug, um Kollisionen zuzulassen. Biometrie muss nur ein Teil eines Multi-Faktor-Authentifizierungssystems sein. & kann daher angepasst werden, wenn 2FA & Biometric nebeneinander ausgeführt wird.

      Andere Einschränkungen der Benutzerfreundlichkeit stark>:

      Abgesehen von diesen Risiken gehören zu den weiteren Einschränkungen die folgenden:

      1. Fehlerrate - Falsche Akzeptierungen und falsche Ablehnungen sind für viele Arten von Biometrie immer noch inakzeptabel hoch.
      2. Benutzerakzeptanz - von Benutzern immer noch nicht allgemein vertrauenswürdig; Die verschiedenen Datenschutzbedenken sind immer noch recht groß, und die Vorstellung, dass ein Teil Ihres Körpers jetzt ein Sicherheitsmechanismus ist, ist für einige Bürger immer noch nicht relevant.
        3. ol>

        Die Frage von OP vergleicht dieselbe mit dem herkömmlichen Passwort - Daher sind herkömmliche Passwortschemata weniger wahrscheinlich. & ist weniger Bedrohungsoberflächen ausgesetzt als die früheren biometrischen Sicherheitsmechanismen. Die konformere Beibehaltung der herkömmlichen Passwörter & biometrische optionale Anmeldemethoden nach der vorherigen Anmeldung waren erfolgreich - könnte das Mitnehmen sein.

Mitforscher hier: Ich bin sehr gespannt auf Ihre Forschung!Würde es Ihnen etwas ausmachen, Links zu Veröffentlichungen, aktuellen Themen usw. usw. zu teilen?
Wie hängt der Screenshot eines Inhaltsverzeichnisses mit dem Rest des Beitrags zusammen?Sicher, es geht um Sicherheit, aber es scheint mir immer noch ein bisschen unzusammenhängend zu sein.
Auch das Inhaltsverzeichnis zeigt eine Recherche von nur 3 Seiten?Es ist gut zu sagen, dass Sie derzeit in diesem Bereich recherchieren, aber es ist nicht sinnvoll, eine 3-seitige Arbeit zu zeigen.Ich würde vorschlagen, das Bild zu entfernen.
@Zanon warten, das ist kein eingebetteter Dokumentbetrachter?
@Anders würde Ihren Fokus eher auf eine Antwort als auf ein bloßes Inhaltsverzeichnis legen.Wie ist es für die Verbesserung der Post relevant?
@ShritamBhowmick Ich habe keine Kommentare zum Rest der Antwort.Ich habe einfach nicht verstanden, was das Inhaltsverzeichnis dort gemacht hat, also habe ich gefragt.
@Anders Der Punkt, um es detailliert zu beschreiben, ist zu zeigen, dass eine relevante vorherige Forschung durchgeführt wurde.Außerdem handelt es sich nicht um eine 3-seitige Kopie. Es handelt sich um eine grundlegende Entwurfskopie neben dem Original, das kürzlich veröffentlicht werden soll.
Es sieht so aus, als ob [Stimme ist so ziemlich aus dem Fenster] (https://www.youtube.com/watch?v=I3l4XLZ59iw), was jede Art von Sicherheit betrifft.
@Wayne Werner ja, es sieht so aus. Vielen Dank, dass Sie diese wertvollen Informationen im Gegensatz zu den anderen geteilt haben. Ich weiß es wirklich zu schätzen, dass Sie diesem einen Mehrwert hinzufügen können.
roel
2016-12-06 15:36:04 UTC
view on stackexchange narkive permalink

Ein Fingerabdruck sollte niemals als Passwort verwendet werden. Es kann als Kennung verwendet werden. Sie können Ihren Fingerabdruck nicht ändern. Wenn es sich um Ihr Passwort handelt und Ihr Konto kompromittiert wurde, können Sie kein neues 'Passwort' festlegen, da Sie keine neuen Fingerabdrücke erhalten können. Aber es ist möglicherweise auch nicht ideal als Kennung. Ich wusste es nicht, aber anscheinend sind Fingerabdrücke nicht so einzigartig, wie Sie in Ihrem ersten Beitrag gesagt haben.

Sie können Ihren Finger wechseln und einen neuen Fingerabdruck mit einem Daumenstift und etwas Zitronensaft erhalten.
@cde Funktionieren Fingerabdruckscanner tatsächlich mit einem solchen deformierten Finger?Sie arbeiten schlecht genug an wohlgeformten Fingerabdrücken. Ich würde erwarten, dass dies sie noch schlimmer machen würde.
@luaan hängt davon ab, wie sie deformiert werden.Wenn Sie die Hügel und Täler schleifen oder abbeißen, dann nein.Wenn Sie sie einfach ändern, dann ja.
Wenn Sie einen Fingerabdruck als Passwort verwenden und ihn nicht ändern können, ist es so wichtig, manipulationssichere Sicherheitshardware für biometrische Scanner zu verwenden.Weil ein Fingerabdruck gescannt und in eine Art Bitstrom umgewandelt wird, und wenn das immer das Gleiche wäre, wären die Dinge sehr schlecht.Daher funktionieren diese Dinge häufig mit einem eingebetteten privaten Schlüssel und dem Mischen des Fingerabdrucks mit zufälligen Salzen, sodass jeder Druckscan eine andere, aber überprüfbare Ausgabe erzeugt.
cde
2016-12-06 11:56:27 UTC
view on stackexchange narkive permalink

Ein Passwort beliebiger Länge ist zumindest in den USA viel sicherer als ein Fingerabdruck.

Sie können (meistens) nicht gezwungen werden, ein Passwort preiszugeben. Sie haben keinen solchen Schutz davor, gezwungen zu werden, Ihren Fingerabdruck auf Ihrem gesperrten Gerät aufzugeben.

Doch diese winzigen Hautrippen, die wir alle teilen, befanden sich im Herzen eines Virginia Gerichtsverfahren letzte Woche, in dem ein Richter entschied, dass die Polizei, die vermutete, dass auf dem Smartphone eines Verdächtigen belastende Beweise vorlagen, den Mann legal zwingen könnte, sein Gerät mit seinem Fingerabdruckscanner zu entsperren. Während die fünfte Änderung die Angeklagten davor schützt, ihre numerischen Passwörter preiszugeben, was als selbst belastender Testimonial angesehen wird, fallen biometrische Daten wie Fingerabdruckscans nicht in den Geltungsbereich des Gesetzes.

„Wenn Sie gezwungen sind, etwas preiszugeben, das Sie preisgeben Wissen Sie, das ist nicht in Ordnung “, sagte Marcia Hofmann, Anwältin und Sonderberaterin der Electronic Frontier Foundation der Digital Rights Group. "Wenn die Regierung in der Lage ist, auf andere Weise Beweise zu sammeln, die gerade existieren, können sie dies sicherlich tun, ohne auf die Zehen des Verfassungsschutzes zu treten."

Nicht nur Staat, Ein Bundesgericht hat dies erst in diesem Jahr bestätigt.

Natürlich hängt dies von den Gesetzen Ihres Landes ab, da das Vereinigte Königreich dies kürzlich festgelegt hat, sodass nicht einmal eine gerichtliche Anordnung erforderlich ist, um Sie zu zwingen So geben Sie ein Passwort an.

So sprechen Sie einen Ihrer Punkte an:

Obwohl ein Fingerabdruck pro Person eindeutig ist, ist ein Passwort pro Situation eindeutig. Wenn ich Ihren Fingerabdruck habe, habe ich Ihre E-Mail, Ihre Social-Media-Konten und Ihre Bankdaten. Wo als Passwort darf ich nur dein Facebook haben.

Nicht ganz. Ein Fingerabdruckscanner kann mehrere Fingerabdrücke und Seiten desselben Fingers verfolgen. Wischen Sie in eine Richtung oder zur Seite, und Sie haben einen neuen Datenpunkt. Ich kann problemlos mehr als 100 Fingerabdrücke auf einem Druckerscanner bereitstellen. Viel mehr auf einem Swipe-Scanner. Und natürlich hat die typische Person nur eine Handvoll Passwörter verwendet. Aus sozialer Sicht sind ein Fingerabdruck und ein Passwort derselben durchschnittlichen Person in der Praxis in Bezug auf die zu erwartenden Werte gleich Zugriff.

Zumindest in Großbritannien können Sie gezwungen sein, Ihre Passwörter aufzugeben.Vergleiche https://en.wikipedia.org/wiki/Key_disclosure_law#United_Kingdom.
Fingerabdruckscanner können einen bestimmten Finger normalerweise auch dann identifizieren, wenn Sie ihn auf eine Weise streichen, mit der Sie ihn nicht auf dem Fingerabdruck trainiert haben.Nein, Sie können nicht einfach mehr als 100 Fingerabdrücke bereitstellen.Es wäre dumm zu erwarten, dass Sie mehr als 10 bereitstellen könnten.
@iheanyi Es ist dumm zu sagen, dass wenn jemand, der ein Telefon oder einen Computer-Fingerabdruckleser verwendet, Ihnen sagen kann, dass das eine verdammte Lüge ist.
Ich habe über ein Jahrzehnt lang Fingerabdruckleser auf Computern und Telefonen verwendet.Ich kann dir sagen, dass du falsch liegst.Von den vielen Geräten, die ich hatte, konnten Sie aus nur den 10, die Sie besitzen, nichts in der Nähe von 100 oder kaum mehr als 10 verschiedenen Fingerabdrücken erzeugen.Wenn wir uns in den letzten 3 Jahren auf Fingerabdruckleser beschränken, kann ich die stärkere Aussage treffen, dass Sie mit 10 Fingern nur 10 Fingerabdrücke erhalten können.
elsadek
2016-12-06 04:04:55 UTC
view on stackexchange narkive permalink

Wie im obigen Kommentar erwähnt, ist der Fingerabdruck eine "bequeme" Sicherheitskontrolle. Es ist jedoch nicht zuverlässig für die Fernzugriffskontrolle .
Wenn es um die biometrische Authentifizierung im Allgemeinen geht, gibt es einen Faktor, den Infosec-Leute tendenziell ignorieren: die Nähe des Biosensorgeräts und des Systems , das dieses Gerät zur Zugriffssteuerung verwendet.

Sie laufen im Grunde immer mit dem Sicherheitsschlüssel herum

Sie hinterlassen also Ihre Fingerabdruckspuren zufällig an beliebigen Stellen, was bedeutet, dass Sie Der Fingerabdruck kann genauso abgerufen und verwendet werden wie ein gestohlenes Passwort. Davon abgesehen ist ein System, das Fingerabdruck zur Authentifizierung eines Remotebenutzers verwendet, dem gleichen Risiko ausgesetzt wie das System, das Kennwort verwendet. Das Remote-System kann nicht überprüfen, ob ein legitimer Benutzer authentifiziert ist oder nicht.

Auch dies kann die Frage möglicherweise nicht beantworten, aber wenn ein biometrischer Zugriff vor Ort verwendet wird, können wir dies Identifizieren Sie die Benutzer physisch, sodass wir sicher sind, dass nur die richtigen Benutzer authentifiziert und / oder autorisiert werden.

WoJ
2016-12-12 18:59:10 UTC
view on stackexchange narkive permalink

Es kann genauso sicher sein (Bedingungen gelten)

Eine vierstellige PIN oder ein Fingerabdruck sind sehr gut vorausgesetzt, es gibt etwas Kluges, um ihre kleinen Schlüsselbereiche zu verringern .

In der Regel handelt es sich hierbei um einen Drosselungsmechanismus, der die Zeit zwischen den Anmeldeversuchen nach einer fehlgeschlagenen Authentifizierung verlängert. Bei aktuellen iOS-Versionen werden die ersten drei Versuche nicht gedrosselt, dann sind dies eine Minute, 5 Minuten usw. Wenn Sie 10 Versuche erreichen (nach 1 Stunde 36 Minuten, wenn meine Berechnung stimmt), sind Sie kann das Gerät löschen lassen (falls konfiguriert).

enter image description here source sub>

Dies umfasst den Online-Angriff. Was ist mit Offline?

Wenn es nur darum geht, mit einem Schlüssel zu verschlüsseln, der von Ihrem Schlüssel mit kurzem Schlüsselabstand (PIN, Fingerabdruck) abgeleitet ist, wären Offline-Angriffe einfach. Die Lösung bestand darin, ein TPM (das Apple Secure Enclave nennt) zu verwenden, das

  • lange Schlüssel (über 2048 Bit) für die Verschlüsselung generiert
  • stellt diesen Schlüssel (normalerweise für das Betriebssystem, aber das könnte ein Angreifer sein, der den Schlüssel anfordert) erst nach einer erfolgreichen Authentifizierung (über den Fingerabdruck / die PIN) zur Verfügung, die wie oben beschrieben gedrosselt wird.
Offline-Angriffe können durch Verwendung von Arbeitsnachweisen, einem sehr rechenintensiven Hash (wie bcrypt), abgewehrt werden.Nicht sehr teuer für 1 Versuch (ein paar Sekunden), unmöglich für einen Brute-Force-Angriff
nigel222
2016-12-07 19:28:18 UTC
view on stackexchange narkive permalink

Weder ist sicherer . Es hängt alles von den Umständen ab, wie andere Antworten hier erklären.

Was besser ist, ist, beide zu verwenden. Dies ist eine Zwei-Faktor-Authentifizierung, a.k.a. "Etwas, das Sie haben und an das Sie sich erinnern".

Ein Fingerabdruck allein ist nutzlos, wenn nur ein paar Versuche möglich sind, ein ziemlich sicheres Passwort zu erraten. Ein gestohlenes Passwort ist schwer zu verwenden, wenn es nicht eingegeben werden kann, ohne durch den passenden Fingerabdruck bestätigt zu werden.

Ich persönlich verabscheue die Sicherheit von Fingerabdrücken, weil es brutale Leute gibt, die Ihnen zuerst den Finger abschneiden und später nachdenken . Wenn es nicht funktioniert, sind Sie immer noch ohne Finger. Wenn sich ein Finanzkonto oder eine wertvolle Ausrüstung dahinter befindet, werde ich mich immer weigern, meinen Fingerabdruck anzubieten. Meine Bank gab mir ein batteriebetriebenes Widget für das Online-Banking. Um mich anzumelden, lege ich meine Karte in das Widget ein und gebe meine PIN ein, um das Widget zu aktivieren. Dann identifiziere ich mich auf der Online-Site der Bank und erhalte eine Nummer, die ich in das Widget eingebe. Das Widget berechnet eine andere Zahl, die ich der Bank gebe. Wenn diese Zahl wie erwartet ist, bin ich dabei.

Das Hacken meines Computers hilft nicht, da Herausforderung und Reaktion jedes Mal unterschiedlich sind und von der geheimen (und zeitlich variierenden?) Logik im Widget abhängen . Ein Dieb muss also sowohl meine Bankkarte als auch mein Widget (normalerweise befindet sich eine in meinem Haus und die andere in meiner Brieftasche) sowie meine PIN und meine Anmelde-ID erhalten. Es ist anfällig für einen Einbrecher, der in mein Haus eindringt und mich bedroht, aber auf andere Weise schwer zu brechen.

Wenn Sie Ihr eigenes System rollen, finden Sie hier einen kostenlosen Plug für die Google Authenticator-App (mit der Sie Kombinieren Sie ein Passwort mit einem Smartphone als Widget für die Anmeldesicherheit (ohne zusätzliche Kosten).

Craig
2016-12-12 01:01:42 UTC
view on stackexchange narkive permalink

Apples Vergleich "1 zu 10000 für einen vierstelligen Passcode" erscheint etwas unaufrichtig. Poppycock, sage ich.

Jedes zusätzliche Zeichen, das Sie diesem Passcode hinzufügen, erhöht die Sicherheit exponentiell. Wenn Sie es über 10 oder 12 Stellen bringen, wird es zu einer ziemlich großen Aufgabe, die sicherlich viel sicherer ist als 1 zu 50000. 10 oder 12 Stellen sind schwer zu merken, sagen Sie? 10 Ziffern sind nur eine Telefonnummer. 20 Ziffern sind nur zwei Telefonnummern.

Bei der Touch-ID geht es um Komfort und nicht um Sicherheit. Denken Sie auch daran, dass jemand Ihren Daumen immer zwangsweise auf diese Touch ID-Schaltfläche legen kann, selbst wenn Ihr Daumen tot ist.

Das Problem ist, dass ein 4-stelliger Passcode überhaupt nicht sicher ist. In diesem Fall ist der Fingerabdruckleser sicherer, obwohl er immer noch nicht tatsächlich sicher ist.

Je länger der Passcode ist, desto höher ist die Sicherheit. Der Suchraum für einen 4-stelligen Passcode nur für Zahlen beträgt 11.100 Permutationen. Dies entspricht der Schätzung von Apple von 1: 10000. Unter der Annahme von nur 1.000 Vermutungen / Sekunde wird dieser Passcode in 11 Sekunden kompromittiert, während der Fingerabdruck Sie ungefähr eine Minute lang erhält.

Ein 5-stelliger Passcode liefert Ihnen fast 2 Minuten, 6 Ziffern kaufen 20 Minuten, 7 Ziffern kauft über 3 Stunden, 8 kauft fast anderthalb Tage, 9 kauft 2 Wochen, 10 kauft 4,24 Monate, 11 kauft 3,5 Jahre, 12 kauft 35 Jahre, 13 kauft 3,5 Jahrhunderte und 14 kauft 35 Jahrhunderte. Ein 15-stelliger Passcode mit allen Nummern würde bis zu 35.300 Jahre benötigen, um geknackt zu werden. 16 Ziffern können bis zu 353.000 Jahre dauern. Zufälliger Zufall bedeutet natürlich, dass es auch möglich ist, dass ein bestimmter Algorithmus innerhalb der ersten 4 Versuche den richtigen Code errät, aber dies ist äußerst unwahrscheinlich.

Natürlich können moderne Computer, die GPUs verwenden, Milliarden von Vergleichen pro Sekunde durchführen. Nehmen Sie also diese Jahre und Jahrhunderte und Dutzende von Jahrhunderten mit einem Körnchen Salz. 16 Stellen, die auf einhundert Milliarden Vermutungen pro Sekunde geschätzt werden (Ressourcen auf Regierungsebene), würden ungefähr anderthalb Tage dauern. Sie würden die Sicherheit dieses 16-stelligen Passworts verbessern, indem Sie den Schlüsselraum vergrößern (indem Sie Buchstaben zusätzlich zu Zahlen, Großbuchstaben zusätzlich zu Kleinbuchstaben usw. verwenden).

Aber Sie erhalten das Idee.

Dies beantwortet die Frage nicht und konzentriert sich auf den Passcode, wenn das OP ausdrücklich angibt, dass Passcodes nicht sein Fokus sind.
@schroeder Das OP gibt ausdrücklich an, dass Passcodes tatsächlich sein Fokus sind, in dem Sinne, dass er glaubt, Passcodes seien sicherer als Fingerabdruckleser.Und er hat Recht, vorausgesetzt, Sie können mehr als 4 Ziffern für Ihren Passcode verwenden.Natürlich spielen wir ein Semantikspiel mit "Passcode" gegen "Passwort".
"Egal, ich bin nicht an einem Passcode interessiert. Ich bin an einem Passwort interessiert."Die Semantik wird in diesem Fall vom Kommunikator klar definiert.
"Natürlich spielen wir ein Semantikspiel mit" Passcode "gegen" Passwort "."
Es ist wichtig, die gestellte Frage zu beantworten, nicht das, was Sie beantworten möchten.
Die gesamte Frage ist umstritten, wenn Ihre einzige Sicherheitsoption eine 4-stellige PIN (z. B. iPad 4) ist, und die Frage ist unzureichend oder naiv, wenn Sie ein Gerät verwenden, bei dem Ihre einzigen Optionen die Erkennung von Fingerabdrücken * oder * ein langer numerischer Passcode sind(iPhone 5s / 6 / 6s / 7).In diesem Fall ist der Fingerabdruck definitiv sicherer, wenn Sie sich an eine 4-stellige PIN halten. Wenn Sie jedoch einen 12- oder 14-stelligen Passcode haben, ist dieser definitiv stärker als der Fingerabdruckleser und ein Passwort * mit Buchstaben und BuchstabenZahlen sind nicht einmal eine Option.
Und wieder ist Passcode vs Passwort ein Semantikspiel.:) Ich kann argumentieren, dass ich die Frage tatsächlich beantwortet habe.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...