Empreintes biométriques pour se connecter à un site Web

Question

Existe-t-il un moyen de s'authentifier auprès d'un site Web à l'aide d'empreintes digitales?

Je pensais au scénario suivant.

• Le serveur possède des modèles d'empreintes digitales ISO 19794-2 de tous les utilisateurs valides.
• La machine client dispose d'un scanner d'empreintes digitales.
• client ouvre un site Web sur le navigateur
• Browser a Applet Java/contrôle ActiveX/objet HTML5 devient modèle d'empreinte digitale du scanner & envoie sur le site.
• Le site Web autorise/interdit l'utilisation de l'empreinte digitale.

Cependant, cela semble très peu sûr. Il n'est pas difficile d'obtenir un jpg de quelqu'un d'autre empreintes digitales et le convertir en modèle ISO 19794-2 de la même chose. Ensuite, vous pouvez vous connecter au site Web en envoyant le modèle & au site Web.

Existe-t-il un algorithme/conception sécurisé permettant aux utilisateurs de se connecter à un site Web à l'aide d'empreintes digitales?

Answer 1

C'est un numéro de Trusted path entre le scanner fingreprint et la logique de vérification de votre site Web. Si quelqu'un pouvait se déguiser en client valide et soumettre des demandes de connexion à votre application, votre système serait brisé.

Je pense que le mieux que vous pouvez faire est d'utiliser l'authentification à deux facteurs, je demande un mot de passe d'utilisateur, et je le crypte comme un mot de passe. ne sera pas en mesure de forger une demande de connexion sans connaître le mot de passe des utilisateurs. En outre, biométrique est principalement fait comme facteur d'authentification supplémentaire, pas le seul. Si vous ne voulez pas faire cela, vous pourriez obscurcir le code de l'application, l'émettre avec une clé unique, ce qui serait valable pour très peu de temps, pour minimiser le risque de rétro-ingénierie, et signer la demande avec cette clé clé, mais ce n'est pas très sécurisé, il faut beaucoup de husstle sans augmentation significative de la sécurité.