/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Er det muligt at omgå sikkerheden i en iri~
Fra : Mads-Ole Bak


Dato : 15-01-03 20:12

Hej

Jeg er ved at skrive en opgave, som bl.a. omfatter sikkerhed i kryptering.
Jeg har et spørgsmål, som jeg ikke har kunne finde et svar på noget sted.

Hvis man har en iris- eller fingeraftryksscanner koblet til en pc, og bruger
denne fx i forbindelse med NT-logon eller kryptering af filer, er det så
muligt på nogen måde at bryde denne kryptering/logon eller "snyde"
scanneren? Det jeg er interesseret i, er en sammenligning af sikkerheden ved
fx fingeraftryks- eller iris-scanning vs password. Umiddelbart skulle man jo
synes at det er umuligt at bryde, da man ikke som med password kan prøve sig
frem (eller sætte et program til det), men er der noget andet jeg overser?

Er der nogle der har et link til noget materiale som beskriver denne
sikkerhed, eller som kan fortælle noget om dette?

Mvh

Mads-Ole



 
 
Anders Wegge Jakobse~ (15-01-2003)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 15-01-03 20:49

"Mads-Ole" == Mads-Ole Bak <<mobak@wanadoo.dk>> writes:

[Om sikkerhed i biometrisk adganskontrol]

> Er der nogle der har et link til noget materiale som beskriver denne
> sikkerhed, eller som kan fortælle noget om dette?

Her er et link der fortæller hvordan det er lykkes at snyde flere
fingeraftrykslæsere ved hjælp af ret simple hjælpemidler:

<http://cryptome.org/gummy.htm>

--
/Wegge

Christian E. Lysel (15-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 15-01-03 21:12

Anders Wegge Jakobsen wrote:
> Her er et link der fortæller hvordan det er lykkes at snyde flere
> fingeraftrykslæsere ved hjælp af ret simple hjælpemidler:
> <http://cryptome.org/gummy.htm>

Endnu mere simple hjælpemidler gennemgåes hos c't,

http://www.heise.de/ct/english/02/11/114/


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Christian Andersen (15-01-2003)
Kommentar
Fra : Christian Andersen


Dato : 15-01-03 21:16

Mads-Ole Bak wrote:

> Hvis man har en iris- eller fingeraftryksscanner koblet til en pc, og bruger
> denne fx i forbindelse med NT-logon eller kryptering af filer, er det så
> muligt på nogen måde at bryde denne kryptering/logon eller "snyde"
> scanneren?

Er signalvejen mellem aflæser og PC sikker?

Er det muligt at narre computeren til at tro en "rigtig" finger/iris er
aflæst?

Hvad med replay? Altså hvor en tidligere, successfuld identificering
bliver gentaget for computeren.

Hvad med selve aflæseren? Kan et fingeraftryk "løftes" fra pladen og
bruges igen?

Hvad med PCen? Er dataene der bliver brugt til at identificere
fingeraftryk sikret godt nok?

Hvis dataene ligger i aflæseren, hvor sikker er den så?

Det var lige de ting jeg kunne komme på. Der er sikkert mange flere.

--
..signature

Kjeld Flarup (15-01-2003)
Kommentar
Fra : Kjeld Flarup


Dato : 15-01-03 23:56

Mads-Ole Bak < wrote:
> Det jeg er interesseret i, er en sammenligning af sikkerheden ved
> fx fingeraftryks- eller iris-scanning vs password. Umiddelbart skulle man jo
> synes at det er umuligt at bryde, da man ikke som med password kan prøve sig
> frem (eller sætte et program til det), men er der noget andet jeg overser?

Det springende punkt er om scanneren kan erkende den præsenterede biometri som
levende. Ellers vil det blive meget populært at skære fingrene af folk, eller
hovedet hvis vi taler om Iris.




--
------------------------- Med Liberalistiske Hilsner --------------------------
Civilingeniør, Kjeld Flarup - Mit sind er mere åbent end min tegnebog
Ådalen 8, Mogenstrup, 7800 Skive, Tlf: 40 29 41 49, Fax: 96 95 74 48
Den ikke akademiske hjemmeside for liberalismen - www.liberalismen.dk


Povl H. Pedersen (16-01-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 16-01-03 00:19

In article <3e25b26e$0$233$edfadb0f@dread15.news.tele.dk>, Mads-Ole Bak wrote:
> Hej
>
> Jeg er ved at skrive en opgave, som bl.a. omfatter sikkerhed i kryptering.
> Jeg har et spørgsmål, som jeg ikke har kunne finde et svar på noget sted.
>
> Hvis man har en iris- eller fingeraftryksscanner koblet til en pc, og bruger
> denne fx i forbindelse med NT-logon eller kryptering af filer, er det så
> muligt på nogen måde at bryde denne kryptering/logon eller "snyde"
> scanneren? Det jeg er interesseret i, er en sammenligning af sikkerheden ved
> fx fingeraftryks- eller iris-scanning vs password. Umiddelbart skulle man jo
> synes at det er umuligt at bryde, da man ikke som med password kan prøve sig
> frem (eller sætte et program til det), men er der noget andet jeg overser?

Ja. De fleste Biometriske fidelihutter har i dag en ret høj
sandsynlighed for at lave falske positiver. Og en irisscanner kan
vel snydes med et billede/video.
>
> Er der nogle der har et link til noget materiale som beskriver denne
> sikkerhed, eller som kan fortælle noget om dette?

Den er i dag ikke tilstrækkelig, og jeg tvivler på om den
bliver det.

Det er langt bedre med eksempelvis en Aladdin eKey eller
en RSA SecurID token anvendt sammen med password.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Kasper Dupont (16-01-2003)
Kommentar
Fra : Kasper Dupont


Dato : 16-01-03 06:39

"Povl H. Pedersen" wrote:
>
> RSA SecurID token anvendt sammen med password.

Er der egentlig nogen her, der ved hvordan sådan en
token virker? Jeg har læst på RSAs hjemmeside, at der
genereres et pseudotilfældigt tal med klokkeslet og
nøgle som seed, og serveren generer et tal på samme
måde og sammenligner. Men hvordan kan uret i token
og server holdes synkroniseret?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Christian E. Lysel (16-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 16-01-03 08:17

Kasper Dupont wrote:
> Er der egentlig nogen her, der ved hvordan sådan en
> token virker? Jeg har læst på RSAs hjemmeside, at der

Var der ikke noget med et patent der forhindre folk i at finde ud af
hvordan det virker.

Der findes vist nok nogle der lavede reverse engineering på software
klienten. Dog kan kan jeg ikke finde det på google mere.

Prøv evt. at kikke denne tråd igennem,

http://groups.google.com/groups?selm=fL587.8557%24LP2.835633%40bgtnsc06-news.ops.worldnet.att.net

> genereres et pseudotilfældigt tal med klokkeslet og
> nøgle som seed, og serveren generer et tal på samme
> måde og sammenligner. Men hvordan kan uret i token
> og server holdes synkroniseret?

Det kan de heller ikke, og i virkeligheden går de to enheder ikke lige
præsist.

Heldivis er der nogle brugere der brugere deres token op imod serveren
:) Serveren kan derved ved brugervalideringen synkronisere sin tid i
forhold til det enkelte token.



--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Morten L. (16-01-2003)
Kommentar
Fra : Morten L.


Dato : 16-01-03 08:17


> > RSA SecurID token anvendt sammen med password.
>
> Er der egentlig nogen her, der ved hvordan sådan en
> token virker? Jeg har læst på RSAs hjemmeside, at der
> genereres et pseudotilfældigt tal med klokkeslet og
> nøgle som seed, og serveren generer et tal på samme
> måde og sammenligner. Men hvordan kan uret i token
> og server holdes synkroniseret?
>

Det behøver nu ikke være så pokkers præcist.. en SecureID token skifter 1
gang i minuttet - og i teorien, kan serveren sagtens "se" om de tal der
indtastes er en periode for tidligt, eller sent, og derved korrigere tiden.
En gang i mellem oplever man, at de kommer ud af sync, og systemet beder om
at få NÆSTE visning indtastet, når tallet skifter - og vupti - systemet er
igen i sync.

/Morten



Thomas Bjorn Anderse~ (16-01-2003)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 16-01-03 08:50

Kasper Dupont <kasperd@daimi.au.dk> writes:

> "Povl H. Pedersen" wrote:
> >
> > RSA SecurID token anvendt sammen med password.
>
> Er der egentlig nogen her, der ved hvordan sådan en
> token virker? Jeg har læst på RSAs hjemmeside, at der
> genereres et pseudotilfældigt tal med klokkeslet og
> nøgle som seed, og serveren generer et tal på samme
> måde og sammenligner.

Se også:
http://www.atstake.com/research/reports/acrobat/initial_securid_analysis.pdf

--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH

Christian E. Lysel (16-01-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 16-01-03 08:26

Povl H. Pedersen wrote:
> Ja. De fleste Biometriske fidelihutter har i dag en ret høj
> sandsynlighed for at lave falske positiver. Og en irisscanner kan
> vel snydes med et billede/video.

Sjovt nok er det ikke det producenterne fortæller til deres kunder.

> Det er langt bedre med eksempelvis en Aladdin eKey eller
> en RSA SecurID token anvendt sammen med password.

Det jeg har læst om Aladdin eKey virker ikke overbevisende (måske har
jeg dog ikke læst nok), men kan en komprimiteret klient maskine ikke
afslører nøglen?

Min største anke imod RSA er patentet og at de er forprogrammeret, og du
ingen indflydelse har på hvordan krypterings nøglen ser ud.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste