用于登录网站的生物特征指纹

Posted 2023-02-19

【中文标题】用于登录网站的生物特征指纹

【英文标题】：Biometric fingerprints for logging into a website

【发布时间】：2012-11-25 11:26:14

【问题描述】：

有没有办法使用指纹对网站进行身份验证？

我在想下面的场景。

服务器具有所有有效用户的 ISO 19794-2 指纹模板。 客户端计算机具有指纹扫描仪。 客户端在浏览器上打开网站 浏览器具有 Java Applet/ActiveX 控件/html5 对象从扫描仪获取指纹模板并发送到网站。 网站根据指纹允许/禁止。

但是，这似乎很不安全。获取别人指纹的 jpg 并将其转换为相同的 ISO 19794-2 模板并不难。然后通过将用户 ID 和模板发送到网站来以编程方式登录网站。

是否有允许人们使用指纹登录网站的安全算法/设计？

【参考方案1】：

这是指纹扫描仪与您网站的验证逻辑之间的Trusted path 问题。如果有人可以伪装成有效的客户并向您的应用程序提交登录请求，那么您的方案就会被破坏。

我认为你能做的最好的是使用两因素身份验证，我会请求用户密码，并将其作为输入提供给一些 PKDF，并用它加密登录请求，这样如果有人得到用户指纹，他就赢了'在不知道用户密码的情况下无法伪造登录请求。此外，生物识别主要是作为额外的身份验证因素完成的，而不是唯一的。

如果您不想这样做，您可以混淆应用程序代码，使用一次性密钥发出它，这将在很短的时间内有效，以最大限度地降低逆向工程的风险，并使用此密钥签署请求，但它不是很安全，它需要大量的工作，而没有任何显着的安全性增加。

【参考方案2】：

从客户端读取指纹并进行身份验证是非常可能的。但这必须得到扫描仪制造商的支持。链接：http://camsunit.com/application/javascript-based-fingerprint-scanner-for-website-authentication-and-attendance.html 共享用于与指纹扫描仪通信的 javascript API。其中一项操作是 CaptureAndVerify，它使用新捕获的模板验证加密的现有模板，并将响应直接传递给服务器，以确保安全地完成身份验证。