Можно ли использовать сканер отпечатков пальцев на моем веб-сайте?

Я создаю веб-приложение и хочу иметь безопасную область, где вы можете только войти в свой палец. Моя первоначальная идея состояла в том, чтобы просто использовать считыватель штрих-кода USB, и вы сканируете это, и он выводит идентификатор в текстовое поле, но это не очень безопасно. Поэтому я хочу использовать считыватель отпечатков пальцев USB, чтобы создать хэш для каждого человека и сохранить его в текстовом поле. Который тогда будет проверять это на базе базы данных со всем хэш-значением. Кто-нибудь знает, есть ли там отпечаток пальца, который может это сделать, или способ, которым я могу легко интегрировать читателя в веб-сайт?

EDIT: Идея для этого веб-сайта заключается в том, что он похож на систему входа в систему (вроде как вы можете делать часы взад и вперед, если вам платят ежечасно). Идея заключается в том, что никто не может подписать кого-то другого. Если вы просто используете пароль, то кто-то может просто сказать своему другу пароль, который может ввести его. Вот почему я подумал о отпечатке пальца или о чем-то подобном... Я открыт для других предложений

Кроме того, я использую PHP

EDIT 2: Основная идея: я должен придумать способ доказать, что кто-то был там, зарегистрировавшись. Я не хочу использовать пароли, потому что тогда кто-то может просто сказать кому-то еще свой пароль, чтобы ввести Любые другие предложения? Это не должно быть отпечатки пальцев.

Ответ 1

Вы не можете делать то, что хотите.

Отпечатки пальцев никогда точно не совпадают. Даже если вы сканируете свой правый указательный палец дважды подряд, сканирование будет не таким. Таким образом, "хеширование отпечатка пальца" не будет работать - два хэша одного пальца будут неотличимы от двух хэшей двух разных пальцев (с хорошим криптографически сильным хешем).

Считыватели отпечатков пальцев работают, сохраняя некоторый ключ на борту и позволяя этому ключить, если и только если указанный отпечаток достаточно близко к ожидаемому. Сам отпечаток пальца не используется для прямого доступа к чему-либо за пределами читателя.

Отправка отпечатка пальца, как видно читателю по сети, неприемлема - люди нервничают о том, чтобы отдать свои отпечатки в полицию. Вы думаете, что им все будет в порядке, давая их вам?

Также неприемлемо, если читатель скажет, что "палец 2 в порядке". Это может быть легко подделано.

Вместо этого попросите своего пользователя использовать сертификаты клиента X.509 (SSL) для доступа к вашему сайту. Они могут, если они пожелают, контролировать доступ к их закрытому ключу через считыватель отпечатков пальцев.

EDIT: обновление этого ответа. В 2014 году существует стандарт от Альянса FIDO под названием "UAF", который позволяет сайтам использовать аутентификацию по отпечаткам пальцев таким образом, что это работает на разных сайтах. По слухам, Paypal скоро начнет использовать его.

Ответ 2

Биометрия - очень плохой способ сделать аутентификацию по многим причинам:

1) Они по существу просто пароль, который вы никогда не сможете изменить. (По крайней мере, не без серьезной боли!) При использовании традиционных схем паролей, если ваш пароль будет украден или догадан, вы можете хотя бы его изменить. Но если кто-то украдет ваш отпечаток пальца, то что вы собираетесь делать?

2) Биометрия не секретна. Каждый раз, когда вы прикасаетесь к чему-то, вы оставляете свой пароль. Каждый раз, когда вы получаете изображение, изображение вашего лица/изображения сетчатки копируется. Пароли должны оставаться секретными, чтобы быть полезными.

3) Как сказал Бореалид, биометрия никогда не сканируется точно так же дважды. Поэтому, когда вы выполняете сопоставление, для ввода ввода должен быть какой-то фактор выдумки. Это:

a) Просто позволяет злоумышленникам скопировать ваши данные и воспроизвести их, так как им не требуется точное соответствие. Злоумышленнику нужно только приблизиться к принятию.

b) Он заставляет сервер аутентификации хранить вашу биометрическую информацию в виде открытого текста. Вы не можете использовать биометрические данные, например пароли, так как тогда вам нужно будет точно соответствовать хешируемому значению.

Так что не делай этого!

Ответ 3

Биометрия для удаленной аутентификации никогда не защищена. Вы не можете знать, находится ли настоящий палец с этим отпечатком пальца в читателе или если пользователь отправляет вам только изображение. Таким образом, отпечаток пальца просто становится паролем, который пользователь никогда не может изменить, что одинаково для каждой службы, к которой вы входите, и которая остается на каждом объекте, к которому прикасается пользователь.

Биометрия может работать только для локальной аутентификации, где вы доверяете читателю не взломать (то есть физический контроль над читателем), и читатель может отличить настоящий палец/глаз/... от поддельного. Больше всего этого не может.

Можно создать односторонний хэш отпечатка пальца. Сначала вам нужно извлечь несколько наблюдаемых так же, как вы могли бы сделать для нечеткого совпадения. Но так как вам нужно точное совпадение для хэша, вам нужно выкинуть коды ошибок на значения, которые вы извлекли, а затем исправить незначительные различия по каждому измерению. Это нелегко кодировать, и оно не устраняет основные проблемы, перечисленные выше, но это должно быть возможно.

Ответ 4

Итак, вы хотите использовать локальный механизм аутентификации для аутентификации удаленного ресурса? Здесь много проблем, чтобы предположить, что это не будет разумным выбором. Например, как веб-приложение знает, что хеш принадлежит оригинальному пользователю, а не тому, у кого есть дубликат?

Вместо этого я бы предложил пойти по пути банков несколько лет назад, когда у них были считыватели смарт-карт, отправленные клиентам кредитных карт. Используйте сканер отпечатков пальцев для хранения локальной копии имени пользователя, требующего второй формы аутентификации, такой как пароль.

Ответ 5

Это так фиктивно. Почему вы не можете зашифровать отпечаток? Ваш мастер хранится в зашифрованном виде, вы отправляете зашифрованный сервер. Серверное программное обеспечение не шифрует оба и делает сравнение. Просто. Ваши "экспертные" решения являются фиктивными.

Ответ 6

почему бы не использовать программное обеспечение для сопоставления лиц для аутентификации.

http://www.oculislabs.com/products/privateeye