Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Można oszukać skaner tęczówki

Rekomendowane odpowiedzi

Podczas konferencji Black Hat zademonstrowano sposób na oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki. Zespół Javiera Galbally z Universidad Autonoma de Madrid wykorzystał dane o tęczówce przechowywane przez system biometryczny do wydrukowania obrazu oka. Okazało się, że w 80% przypadków system uznał takie wydruki za prawdziwe oczy.

Po raz pierwszy udowodniono, że możliwa jest kradzież danych o tęczówce w celu kradzieży tożsamości.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przyda się informacja, że oszukiwanie skanerów tęczówki to żadna rewelacja (jeśli to ma być najskuteczniejszy system biometryczny, to pogratulować). Ciekawe jest tylko to, że obraz tęczówki został wygenerowany na podstawie nie zdjęcia ukradzionego z bazy jakichś porównań, a syntetycznych parametrów przechowywanych w systemie. To taki odpowiednik generowania prawidłowego hasła (niekoniecznie identycznego z oryginałem) na podstawie jego hasha.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wszystko co człowiek stworzył, człowiek oszukać może.

 

ps: chyba jednak lepsze są skomplikowane hasła....

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ja jak już pisałem w innym wątku, jestem przeciwny zabezpieczeniom biometrycznym (w tym i w paszportach, dowodach itp.), bo nawet jak zabezpieczenia będą się rozwijać to równolegle z nimi rozwijać się będą metody ich oszukiwania.

Hasło zmienisz, a obraz tęczówki?

 

radar

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

oszukanie jednego z najskuteczniejszych zabezpieczeń biometrycznych - skanera tęczówki.

 

Skanowanie siatkówki jest lepszym zabezpieczeniem, aczkolwiek bardziej skomplikowanym, kłopotliwym (czas skanowania, niemożność identyfikacji w locie) i inwazyjnym (wymaga oświetlenia naczyń dna oka).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Od dawna układam plany przepisów, które do autoryzacji wszystkiego wymagałyby używania próbek kału. Co prawda plany dotyczyły urzędów - próbki musiałyby być składowane minimum przez pięć lat w przezroczystych szafach (i pojemnikach) w tym samym pokoju, w którym pracowałby urzędnik wymagający dokumentów od petenta (o ile załatwienie sprawy wymagałoby więcej dokumentów niż jedna kartka A4). Gdyby pokój uległ przepełnieniu, próbki wędrowałyby w górę, zgodnie z hierarchią urzędniczą.

 

 

Myślę, że to byłoby ostateczne rozwiązanie problemu uwierzytelniania we wszelkich instytucjach i korporacjach.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety ten projekt nie ma szans. Typowy urzędnik cały swój kał wkłada w wykonywaną pracę, a resztkami obsmarowuje podatników.

 

Pomysł zacny, ale bez szans na realizację.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nawet jeśli istniałby ustawowy nakaz używania najbardziej kruchych przezroczystych materiałów znanych nauce? Zepsułeś mi dzień...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Matsukawa

Informacja jest albo stara, albo uczestnicy tej konferencji są technologicznie zapóźnieni. W biuletynie NASK ze stycznia br. można przeczytać o opatentowanej w USA metodzie ochrony skanerów tęczówki przed opisywanymi w artykule oszustwami:

 

"Członkowie Pracowni Biometrii NASK skonstruowali kilka metod testu żywotności oka, które eliminują zagrożenie oszukania systemu przy pomocy fałszywej tęczówki. Najbardziej innowacyjną z nich okazała się technologia bazująca na dynamice oka, badająca zmiany średnicy źrenicy pod wpływem zmiennych warunków oświetleniowych, dzięki czemu można odróżnić żywą tęczówkę od zaawansowanych falsyfikatów gałki ocznej. W badaniach wykorzystano pomiar aktywny, śledzący dynamikę zmian źrenicy przy stymulacji oka impulsem świetlnym. Właśnie ta metoda wraz z urządzeniem pomiarowym uzyskała ochronę patentową Biura Patentów i Znaków Towarowych Stanów Zjednoczonych. Wnioski o uzyskanie ochrony patentowej w kraju oraz pozostałych krajach Unii Europejskiej są jeszcze na etapie przetwarzania przez właściwe urzędy patentowe."

http://www.nask.pl/b...ASK_01_2012.pdf

 

Czyli nowoczesnych skanerów tęczówki oszukać się nie da. Trzeba tylko trochę kasy wyskrobać na modernizację

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie da się oszukać, bo zrobił to NASK i zaakceptował amerykański urząd patentowy?

 

A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...

 

A zanim ktoś zacznie rozmyślać o jeszcze bardziej zaawansowanej biometrii - szkoda czasu. Niedawno okazało się, że parametry biometryczne z wiekiem zmieniają się, więc zbyt wyrafinowane techniki z tej branży stają się bardziej uciążliwe i kosztowne w utrzymaniu.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Matsukawa
A jaki problem napisać program na telefon, który będzie sprawdzał ile na niego pada światła (co i tak większość telefonów robi automatycznie) i na podstawie pomiaru będzie generował dynamiczny obraz oka? Zresztą, po co generować - wystarczy pokazać zdjęcie zarejestrowane u oryginału przy podobnym natężeniu światła. Albo żeby ułatwić "kradzież" obrazu tęczówki, poświecić "obiektowi" w oczy, szybką kamerą złapać wszystkie fazy zawężania źrenicy i potem to tylko odpowiednio odtwarzać...
Ten patent... ech... nie na tym polega. Oko ludzkie wykonuje bez przerwy mikroruchy (tzw. mikrosakady), które układają się w pewien charakterystyczny wzorzec. Wzorzec ten zmienia się przy niespodziewanym oświetleniu a także nastroju danej osoby. Można w ten sposób wykryć m.in. czy ktoś kłamie, albo czy jest zdenerwowany lub czuje się zagrożony. Wzorzec ten jest bardzo zindywidualizowany, choć oczywiście posiada pewne stałe cechy, które są właśnie chronione patentem i zaszyte w oprogramowaniu. Które to oprogramowanie jest odpowiednio zaszyfrowane itd.

 

Zapewne można to podrobić, jak wszystko inne. Ale na razie limit czasowy skutecznie uniemożliwia takie operacje. W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą. Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W każdym razie wszystkie naiwne metody włamywania typu kamera, telefon z tajemniczą aplikacją, zdjęcia i inne koncepcje z przedszkola nic tu nie dadzą.

 

Dokładnie to samo mówili autorzy wszystkich "przestarzałych" systemów biometrycznych.

 

Oko musi się ruszać, tak jak żywe, znajdujące się w żywej głowie... przytomnego człowieka. Koniec z zawleczeniem nieprzytomnego albo sterroryzowanego gościa pod czytnik...

 

A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Myślę, że grubo przesadzasz. Skoro człowiek potrafi poznać człowieka w bardzo różnych warunkach, to jest to obiektywnie możliwe, więc w przypadku maszyny wszystko jest wyłącznie kwestią jej umiejętnego oprogramowania.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak samo myśleli ci, którzy próbowali zaprogramować sieć neuronalną do rozpoznawania czołgów na zdjęciach satelitarnych. W testach wszystko wyszło wspaniale, a w praniu okazało się, że nauczyli maszynę rozróżniać zdjęcia zrobione przy słonecznej pogodzie od tych zrobionych przy pochmurnej.

 

A nie zapominajmy, że sieć neuronalna to nie jest maszyna umiejętnie zaprogramowana, a jedynie umiejętnie naśladująca coś czego tak do końca nie rozumiemy (i nie wiadomo czy kiedykolwiek zrozumiemy).

 

Nie przeczę jednak, że mamy ogromny postęp w zapożyczaniu pewnych mechanizmów z przyrody - roboty przestały się przewracać (chociaż jeszcze muszą być podłączone do mainframe'a), a pozycjonowanie sprzętów latających też jest niczego sobie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Twoja wypowiedź dowodzi jedynie tego, że maszyna była źle oprogramowana, a nie tego, że maszyna w samej swojej naturze nie jest w stanie rozpoznawać ludzi po odpowiednim zaprogramowaniu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Każda maszyna, która źle działa jest albo źle skonstruowana, albo źle zaprogramowana. Na przykład wehikuł czasu na moim balkonie.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety, jedyne co mi ostatnio zadziałało to ładowarka do Nokii zrobiona z dwóch widelców. (serio)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Matsukawa
A potem się okaże, że 90% pracowników nie przyszło do pracy, bo system nie wpuścił. Bo byli zdenerwowani jakimś deadline'em, zmieniła się pogoda, albo zaczęła się psuć świetlówka przy automacie skanującym.
W takich systemach można ustawić próg wymagalności. I tak np. prezes banku, którego decyzje są niezwykle istotne dla całej instytucji może mieć 100% wymagalność autentyczności i relaksu przed akceptacją podejmowanej decyzji. Ale już przy wejściu do gabinetu wymagana będzie 100% weryfikacja tożsamości i 10% relaks, bo przecież podczas biurowej balangi może się zachcieć skorzystać z prywatnego kibelka...

Z kolei przy głównym wejściu wymagane będzie 30% tożsamości (na wypadek awarii świetlówki), ale przy podpisywaniu listy płac już znacznie więcej, bo skacowany pracownik z przekrwionymi oczkami jest mniej wydajny. Tak więc 100% daje dniówkę z możliwością doliczenia premii, 50% tylko dniówkę, a poniżej 30% na gościa będzie czekał e-mail z działu kadr...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

To świadczy tylko o wadliwym algorytmie rozpoznawania który daje się oszukać wydrukiem. Sam pomysł jest dobry, ale jak widać wprowadzono go optymistycznie w życie i było to wadliwe wprowadzenie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...