Немецкий исследователь Ян Крисслер (Jan Krissler, Starbug@), ранее выступавший с критикой Apple Touch ID, продемонстрировал (http://arstechnica.com/security/2014/12/politicians-fingerpr.../) на конференции Chaos Communication Congress (31C3) незащищённость метода биометрической аутентификации по отпечаткам пальцев, показав возможность восстановления отпечатков пальцев по снимкам рук, запечатлённым на обычных фотографиях. Если раньше для получения отпечатков пальцев требовался анализ гладкой поверхности, к которой прикасался человек, то новый метод клонирования отпечатка может быть применён без физического контакта.<center><img src="http://www.opennet.me/opennews/pics_base/0_1419918782.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>
В качестве примера, на основе нескольких фотоснимков рук, сделанных на пресс-конференции на обычную цифровую камеру с расстояния примерно трёх метров, был клонирован слепок отпечатка пальца Урсулы фон дер Лайен, министра обороны Германии. Для воссоздания оттиска была использована типовая программа Verifinger (http://www.neurotechnology.com/verifinger.html). Для построения модели отпечатка по изображению теоретически можно использовать и открытое ПО FingerJetFX (https://github.com/FingerJetFXOSE/FingerJetFXOSE), которое предоставляет схожие с Verifinger возможности.<center><iframe width="640" height="360" src="//www.youtube.com/embed/vVivA0eoNGM?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: http://arstechnica.com/security/2014/12/politicians-fingerpr.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41363
Ну и для обычных бандюков и прочих унтерменшей польза есть -- снятие отпечатков пальцев скоро станет "щёлк и готово!"
Для всяких яблокофилов вообще всё просто. Копка home - и готово.
> Копка home - и готово.Верно ^^ замечено. Яблоки заставят еще и могилу себе копать. И гроб за свой счет.
Аутентификация по отпечатку пальца в любом случае адская дыра, т.к. не позволяет зашифровать данные.Тех кто рекламирует эту тихналогею надо бить башкой об стену, все равно от ГСМов толка нет.
Перед тем как я пойду биться башкой об стену не объяснишь ли какая связь между аутентификацией и шифрованием? Сам отпечаток шифровать? Ну дык и обычный логин нельзя зашифровать -- от зашифрованного логина пользы нет:)
Что-то я тебя не понял.
Пароль можно в текстовый файл, в архив и под пароль! :). А можно хранить только в человеческой памяти, где он между импульсами нейронов зашифрован. Но вот палец ни как не зашифруешь и не спрячешь. В автобусе летом (чтобы про куравички не говорили) взялся за поручень, всё ПЗДЦ, все социалки взломаны, банковские карты всем доступны, все девайсы стали доступны злодеям, + появилась сотня кредитов (мало ли, вдруг банки скоро на пальцы обратят внимание, а то нынче народ не образованный, пишет/расписывается с ошибками, а с пальцами проблем практически нет (10 уникальный SID'ов как ни как, и это только на руках)) ...
Все это легко рушится простым требованием к приложению пальца в присутствии ответственного лица.
грим никто не отменял =)
Не в гриме дело. Важен факт приложения физического пальца к некому устройству аутентификации в противоположность посылке электронной версии или приложению имитирующего устройства. Может я ошибаюсь, но изменять рисунок на коже пока еще не научились, иначе бы преступный мир это давно бы уже юзал. А всякие накладки на подушечки пальцев тоже легко отметаются в случае физического присутствия.
> А всякие накладки на подушечки пальцев тоже легко отметаются в случае физического присутствия.???
> А всякие накладки на подушечки пальцев тоже легко отметаются в случае
> физического присутствия.Да знаешь, полицаем с автоматом много чего отметается, если он может детальный досмотр проводить. Единственная проблема - к каждому по полицаю приставлять несколько напряжно.
>Может я ошибаюсь, но изменять рисунок на коже пока еще не научилисьошибаетесь
Если только на короткий период или при помощи накладок.
"но кто проверит проверяющих?"
(с) Кто-то из великих
>Все это легко рушится простым требованием к приложению пальца в присутствии ответственного лица.Ответственное лицо тоже может рискнуть за 50% :)
>Пароль можно в текстовый файл, в архив и под пароль! :)От великаго и могучего спас только смайлик (намек что читать, возможно, надо).
>...
IMHO, нужно было только второе предложение. Заменить, только и исключительно, слово "можно" на "нужно". Армию/службы/etc в расчет не берем, бо ССЗБ(вычеркнуть), жизнь такая.
> Пароль можно в текстовый файл, в архив и под пароль! :). А
> можно хранить только в человеческой памяти, где он между импульсами нейронов
> зашифрован. Но вот палец ни как не зашифруешь и не спрячешь.
> В автобусе летом (чтобы про куравички не говорили) взялся за поручень,
> всё ПЗДЦ, все социалки взломаны, банковские карты всем доступны, все девайсы
> стали доступны злодеям, + появилась сотня кредитов (мало ли, вдруг банки
> скоро на пальцы обратят внимание, а то нынче народ не образованный,
> пишет/расписывается с ошибками, а с пальцами проблем практически нет (10 уникальный
> SID'ов как ни как, и это только на руках)) ...Это легко решается дополнительным требованием пин-кода или пароля.
> А можно хранить только в человеческой памяти, где он между импульсами нейронов зашифрован.Паяльник в бэкдор снимет любой шифр.
> Перед тем как я пойду биться башкой об стену не объяснишь ли
> какая связь между аутентификацией и шифрованием? Сам отпечаток шифровать? Ну дык
> и обычный логин нельзя зашифровать -- от зашифрованного логина пользы нет:)
> Что-то я тебя не понял.Создает ложное ощущение безопасности, хотя на деле только компрометирует данные.
> Ну и для обычных бандюков и прочих унтерменшей польза есть -- снятие
> отпечатков пальцев скоро станет "щёлк и готово!"Да оно давно уже таким стало. Ну, или почти таким. Я лично с приборами
бескраскового дактилоскопирования работать начал еще в 1997 году и они
уже тогда давали отличные результаты как по качеству, так и по скорости
дактилоскопирования. Правда, они не были бесконтактными, пальцы и ладони
все же нужно было прикладывать к стеклянной призме, покрытой слоем
прозрачного полимера.
> снятие отпечатков пальцев скоро станет "щёлк и готово!"Сувенирная гильотинка для сигар будет проще в использовании (якудза гарантируэ), а обычный складной ножичек - ещё и ощутимо дешевле.
Только использование гильотинки или ножика не скроешь, а вот использование камеры - запросто. В общем, наконец отпечатки выкинут на мусорку, куда им и дорога.
Скоро смартфоны будут опознавать хозяина просто когда тот будет его пытаться взять. И дико орать когда это будут делать друге.
А чего орать? Надо сразу выдвижные иглы с ядом!
> А чего орать? Надо сразу выдвижные иглы с ядом!Хватит лайт версии - электрошок. Подаешь 50 киловольт - посторонний пользователь сразу отучится хватать чужой смарт! Если, конечно, выживет.
Убивает не напряжение, а ток. Какой ток сможет обеспечить мобилко при напряжении 50 киловольт? Если взять среднюю мощность 10 Вт, без учета высокого сопротивления кожи человека, будет 0.0002 ампера.
> 50 киловольт? Если взять среднюю мощность 10 Вт, без учета высокого
> сопротивления кожи человека, будет 0.0002 ампера.Убивают джоули, энергия импульса. И средний ток в 0.0002 ампера может выглядеть и короткими мощными импульсами с кондера, где скважность небольшая, но импульсы достаточно убедительные.
Собственно, электрошокер вызывает лютое сокращение мышц с высокой частотой. В результате мышцы моментом выдыхаются и начинают жутко болеть, их клинит. В чем собственно и пойнт - агрессор утрачивает агрессию и способность к активным действиям.
Ну а если такое пройдет через область сердца - его тоже может заклинить. А чем там мышцы такие особенные. Поэтому шокером нельзя бить в область сердца, позвоночника или мозга, а продаваемые хомякам шокеры ограничены жалкими 3 ваттами...
Ток ощущаться-то начинает при 0,6-1,5 мА, а опасным считается начиная с ~20 мА. При разрешённых 3 Дж/сек для гражданских лиц ничего при 0,2 мА не будет, да и при 10 (разрешено ментам). И это товарищ выше ещё сопротивление человека не учитывал, которое берут обычно в 1000 Ом.
> мА. При разрешённых 3 Дж/секТы не понял. Это СРЕДНЯЯ энергия. И все это верно в допущении что это постоянный ток. Да, 25 киловольт анодного напряжения в телевизоре с CRT с мизерным током - скорее всего не прибьет. Потому что постоянный ток.
А шокер - импульсное устройство и такие вычисления неверны: там короткие но мощные импульсы. С приличным током в пике. Достаточные для того чтобы мышцы начали дергаться. Частота подбирается от сотен до тысяч раз в секунду, что очень быстро переклинивает мышцы через которые такой ток течет. Мышцы сводит быстрее чем противник сообразит что за ... в результате противник утрачивает способность к активным действиям. А если такой ток пройдет через область сердца - его тоже может заклинить, мышцы там ничем не хуже остальных, какая неожиданность. Поэтому во первых электроды шокера делают близко расположенными - путь протекания тока относительно короткий и потому наносит "локальный" урон, а во вторых, шокером нельзя тыкать в область сердца и еще ряд областей - противник может помереть или стать инвалидом, за что с обладателя шокера разумеется спросят по всей строгости закона. И да, FYI: я не поручусь за твою жизнь если ты хапнешься за электроды шокера разными руками.
> товарищ выше ещё сопротивление человека не учитывал, которое берут обычно в
> 1000 Ом.Если у нас есть заряженный кондер 50 000 вольт, который разряжается на 1000 ом, ток в пике будет, очевидно, 50А. Что следует из закона Ома. Если энергия (то-бишь время протекания тока) будет достаточной - мышцы это заметят и дернутся. Ты даже разряд пикофарадных величин замечаешь когда тебя долбает статикой. Там заряд мизерный, пикофарады. Шокер вкачивает больше и с приличной частотой. Собственно, высокое напряжение хорошо тем что позволяет прокачать убедительный ток, даже несмотря на сопротивление тела (которое сильно варьируется) и прочую одежду.
Мораль сей басни такова: не знаешь закон Ома - сиди дома! (спросить у гугля такую картинку, если кто не понял что с электричеством не шутят)
Мораль немного другая: если ты достанешь шокер, бандит достанет нож или ствол. А если учесть, что по одному они обычно не нападают, то эта штука как средство самообороны становиться очень неэффективной.
У меня например было такое устройство - переделанная пищалка от сигнализации. Крыс отпугивать ВЧ звуком. При 9В питания находиться рядом с ней было очень тяжко, при 12 - просто невозможно. Крысы сваливали со скоростью 10 м/сек. Не знал, что они так быстро бегают ))
Там вот, включить в кармане такую прелесть сильно проще, чем доставать шокер, целиться, искать кнопку... Заодно и внимание окружающих привлечет быстро.
> Мораль немного другая: если ты достанешь шокер, бандит достанет нож или ствол.Во первых, фича шокера именно в внезапности. Его нет смысла "доставать".
Во вторых, в данном случае предлагалось для защиты устройств от хапания посторонними людьми. Auth failed -> получи 50 киловольт в руку. Сразу отпадет охота чужие девайсы хапать. Правда авторизация должна быть очень надежной :)> А если учесть, что по одному они обычно не нападают, то
> эта штука как средство самообороны становиться очень неэффективной.Ну я понимаю что калаш против толпы гопов смотрелся бы убедительнее, но если с ним выйти на улицу - вместо толпы гопов будет толпа копов.
> Там вот, включить в кармане такую прелесть сильно проще, чем доставать шокер,
> целиться, искать кнопку... Заодно и внимание окружающих привлечет быстро.А если гоп попадется глуховатый, или просто заткнут уши какими-нибудь наушниками? "Крутите свои, они вам больше не понадобятся?" (из анекдота про поимку льва голыми руками).
Интересно, есть ли уже программы типа "поглаживаниями доведи свой Айфон до оргазма"?
> Интересно, есть ли уже программы типа "поглаживаниями доведи свой Айфон до оргазма"?Качественный абразивный материал может в этом немало помочь.
На ютубе варят в коле до оргазма
В Андроиде есть порно-игры с открытым кодом на эту тематику: ты гладишь и лижешь экран телефона, а он стонет голосом Торвальдса. В AppStore это извращение публиковать запретили.
> В Андроиде есть порно-игры с открытым кодом на эту тематику: ты гладишь
> и лижешь экран телефона, а он стонет голосом Торвальдса. В AppStore
> это извращение публиковать запретили.Уберите клоуна, он не смешной.
то, что ты не догнал шутку, не значит, что клоун не смешной
Hello, this is Linus Torvalds, and I pronounce PulseAudio as Pu.psh.sAddia...u..psh... o yeah!
> Hello, this is Linus Torvalds, and I pronounce PulseAudio as Pu.psh.sAddia...u..psh...
> o yeah!А вот и bunch of masturbating monkeys к нам пожаловали.
> Hello, this is Linus Torvalds, and I pronounce PulseAudio as Pu.psh.sAddia...u..psh...
> o yeah!Да хоть горшком пускай назовёт, всё равно снесу ))
Да задолбали эти яйцеголовые, скоро по плевку будут длину пинуса определять, фиг куда спрячешься от них!
> Да задолбали эти яйцеголовые, скоро по плевку будут длину пинуса определять, фиг
> куда спрячешься от них!Добро пожаловать в мир супервозможностей. К сожалению у медали есть обратная сторона - супеpгeморрой.
А кончится всё как в фильме Кин-Дза-Дза.
> Да задолбали эти яйцеголовые, скоро по плевку будут длину пинуса определять, фиг
> куда спрячешься от них!Яйцеголовых обычно интересуют исследования сами по себе. За тобой гоняться им впадлу будет (разве что если ты экспонат интересный). Это немного другим людям интересно.
> скоро по плевку будут длину пинуса определять,Сотрудники раздевающего сканера в аэропорту видят ВСЕ. От них размеры не спрячешь.
>> скоро по плевку будут длину пинуса определять,
> Сотрудники раздевающего сканера в аэропорту видят ВСЕ. От них размеры не спрячешь.Кроме размера счетов в оффшорах. А это поважнее длины писуна ))
> Кроме размера счетов в оффшорах.А это видят другие сотрудники.
Яблоко и без всяких отпечатков может залезть в айфон, авторизация по отпечатку пальца, функция для отвода глаз.
Ну так там защита не от яблока, а от соседа. Что обычно на порядок актуальнее.
>Представлена техника воссоздания пальцев по изображению рук на фотографииfixed.
Вот это я понимаю. А то всё стращают...
У меня на компе несколько раз возникала проблема из-за того что палец порезаный. Интересно, как-нибудь это решается? В эту сторону технологии двигаются? Мне реально пришлось менять отпечаток, потому что даже после того как палец зажил, его не признавал комп.
На основе техники воссоздания пальцев по изображению рук на фотографии создаешь протез, затем отрубаешь палец и пришиваешь протез и теперь ненужно менять отпечаток -)))
> как-нибудь это решаетсяДа. Кольчужными перчатками. Ищи у поставщиков оборудования для мясопереработки.
это надо полагать, одновременно появилась возможность подделывать рисунок сетчаки глаза, имея в наличии тоже просто фотографию
Должно быть, еще раньше появилась, т к рисунок ярче выражен и не обьемный.
> Должно быть, еще раньше появилась, т к рисунок ярче выражен и не
> обьемный.Кстати полицаи и сейчас, имея аппарат для бескрасочного снятия отпечатков, снимают на "всякий пожарный" и с краской тоже. Знакомый рассказывал пару лет назад.
И пальцы прижимают очень сильно к стеклу, чтобы четкая картинка была.