2012-12-07 60 views
3

有沒有使用指紋進行網站認證的方法?用於登錄網站的生物統計指紋

我在考慮以下情況。

  • 服務器擁有所有有效用戶的ISO 19794-2指紋模板。
  • 客戶機具有指紋掃描儀。
  • 客戶端在瀏覽器上打開網站
  • 瀏覽器有Java Applet/ActiveX控件/ HTML5對象從掃描儀獲取指紋模板&發送到網站。
  • 網站允許/不允許基於指紋。

但是,這似乎很不安全。獲得一個jpg的指紋並將其轉換爲ISO 19794-2模板並不困難。然後通過編程方式,可以通過向網站發送用戶標識&模板來登錄該網站。

是否有一個安全的算法/設計允許人們使用指紋登錄網站?

回答

3

這是frereprint scanner與您網站的驗證邏輯之間Trusted path的問題。如果有人可以僞裝成有效的客戶並向您的申請提交登錄請求,您的計劃將被打破。

我認爲你可以做的最好的是使用雙因素認證,我會請求一個用戶密碼,並提供它作爲輸入到一些PKDF,並用它加密登錄請求,這樣,如果有人得到的用戶指紋,他在不知道用戶密碼的情況下將無法僞造登錄請求。此外,生物識別主要是作爲附加認證因素完成的,而不是唯一的。

如果您不想這樣做,您可以混淆應用程序代碼,使用一次性密鑰(在短時間內有效)將其發佈,以最大限度地減少逆向工程的風險,並用此簽名請求關鍵,但它不是非常安全,它需要大量的硬件而沒有任何顯着的安全性增加。