Nous avons une relation d’amour-haine avec une pièce d’identité biométrique. Après tout, il a l’air si incroyable lorsque le héros d’une image de science-fiction en mouvement entre dans la zone d’accès restreint après avoir scruté sa main et Iris. Mais c’est à peu près le mieux que vous puissiez dire de la sécurité biométrique. Il est conceptuellement imparfait dans un tas de manières et presque chaque mise en œuvre que nous avons vue est cassée tôt ou tard.
Cas d’affaire: Hacker prolifique Anti-Biométrie [Starbug] et un groupe de PALS au Berlin CCC sont capables d’authentifier au système de paiement «Samsung Pay» via le scanner IRIS. La vidéo, intégrée ci-dessous, vous montre comment: Prenez une photo de l’œil de la cible, imprimez-la et maintenez-la au téléphone. C’était dur!
Sarcasm de côté, le capteur IRIS utilise IR pour reconnaître les modèles de votre œil. [Starbug] et Co. devait donc utiliser une caméra avec mode de vision nocturne. Une lentille de contact placée sur la photo complète l’illusion – nous devinons que cela obtient les reflets de l’éclairage de la pièce. Pas de motif d’empreintes digitales de gravure dans le cuivre, pas de gel conducteur – juste une impression et une lentille de contact.
Nous avons expliqué l’insécurité des empreintes digitales avant; Ils ne sont pas un bon secret, ils sont irrévocables et ils sont difficiles à conserver de manière sécurisée. Et sur ces problèmes conceptuels, ils sont assez spoofables, comme [Starbug] et beaucoup d’autres ont montré, en retour.
Alors, pourquoi les utilisons-nous toujours? Les lecteurs d’empreintes digitales et les scanners d’iris sont «assez bon» de sécurité et ils sont amusants à pirater. Dois-tu ajouter un à votre projet pour les sourires? Absolument. Devez-vous avoir besoin de votre citoyen pour les utiliser pour l’authentification ou les utiliser pour une sécurité réelle? Nous ne le ferions pas.
Video Playerhttp: //cdn.media.ccc.de/contributors/berlin/biometrie/H264-HD/biometrie-11-fr-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00
00:00
01:16
Merci [mbln] pour le conseil!