用於登錄網站的生物統計指紋

Question

有沒有使用指紋進行網站認證的方法？

我在考慮以下情況。

• 服務器擁有所有有效用戶的ISO 19794-2指紋模板。
• 客戶機具有指紋掃描儀。
• 客戶端在瀏覽器上打開網站
• 瀏覽器有Java Applet/ActiveX控件/ HTML5對象從掃描儀獲取指紋模板&發送到網站。
• 網站允許/不允許基於指紋。

但是，這似乎很不安全。獲得一個jpg的指紋並將其轉換爲ISO 19794-2模板並不困難。然後通過編程方式，可以通過向網站發送用戶標識&模板來登錄該網站。

是否有一個安全的算法/設計允許人們使用指紋登錄網站？

Answer 1

這是frereprint scanner與您網站的驗證邏輯之間Trusted path的問題。如果有人可以僞裝成有效的客戶並向您的申請提交登錄請求，您的計劃將被打破。

我認爲你可以做的最好的是使用雙因素認證，我會請求一個用戶密碼，並提供它作爲輸入到一些PKDF，並用它加密登錄請求，這樣，如果有人得到的用戶指紋，他在不知道用戶密碼的情況下將無法僞造登錄請求。此外，生物識別主要是作爲附加認證因素完成的，而不是唯一的。

如果您不想這樣做，您可以混淆應用程序代碼，使用一次性密鑰（在短時間內有效）將其發佈，以最大限度地減少逆向工程的風險，並用此簽名請求關鍵，但它不是非常安全，它需要大量的硬件而沒有任何顯着的安全性增加。