Vi har et kjærlighetshatforhold med biometrisk ID. Tross alt ser det ut så utrolig ut når helten i et sci-fi-bevegelsesbilde går inn i det begrensede tilgangsområdet etter å ha sin hånd og iris skannet. Men det handler om det beste du kan si om biometrisk sikkerhet. Det er konseptuelt feil i en rekke måter, og nesten alle implementeringer vi har sett blir ødelagt før eller senere.

Saks i punkt: Prolific anti-biometri hacker [Starbug] og en gruppe venner på Berlin CCC kan autentisere til “Samsung Pay” betalingssystemet gjennom IRIS-skanneren. Videoen, innebygd nedenfor, viser hvordan: Ta et bilde av målets øye, skriv det ut og hold det opp til telefonen. Det var vanskelig!

Sarkasme Bortsett fra, bruker IRIS-sensoren IR til å gjenkjenne mønstre i øyet, så [Starbug] og Co. måtte bruke et kamera med nattesynmodus. En kontaktlinse plassert over bildet fullfører illusjonen – vi gjetter det får refleksjonene fra rombelysningen rett. Ingen etsende fingeravtrykksmønstre i kobber, ingen ledende gel – bare en utskrift og en kontaktlinse.

Vi har rantet om fingeravtrykks usikkerhet før; De er ikke en god hemmelighet, de er uigenkallelige, og de er vanskelig å lagre sikkert. Og på toppen av disse konseptuelle problemene, er de ganske skumle, som [Starbug] og mange andre har vist, går tilbake.

Så hvorfor bruker vi dem fortsatt? Fingeravtrykk lesere og iris skannere er “god nok” sikkerhet og de er morsomme å hacke rundt med. Må du legge til ett til prosjektet ditt for grenser? Absolutt. Må du kreve at borgerne skal bruke dem til autentisering, eller bruk dem til ekte sikkerhet? Vi ville ikke.

Video playerhttp: //cdn.media.ccc.de/ctributors/berlin/biometrie/h264-hd/biomeetrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4

00:00.
00:00.
01:16.

Takk [MBLN] for tipset!