биометрическая идентификация
 

дактилоскопический сканер
народ, кто-нить имел дело с дактилоскопическими сканерами (или перелопатил много статей по этому поводу)? как там с защитой?
например такая ситуация - сканер подключен к домашнему компу, интересен такой момент - возможно ли подменить математическую модель отпечатка пальца из базы на другую? в описании одного такого сканера: использует свою флеш-память для хранения пары модель отпечатка - пароль, т.е. если отпечаток совпадает, сканер автоматически вводит куда нужно пасс, причем данные передаются зашифрованными...может тогда там встроенный смарт чип, который аппаратно шифрует эти данные? но такой инфы нигде нет...вообще подобной инфы очень мало

кому интересно, инфу по биометрической идентификации можно найти на http://wiki.oszone.net/ (прямые ссылки выложить не получилось, пишет [forbidden link] )

уязвимые места биометрических систем:

• Атака путем повторной передачи корректной информации.Аппаратные компоненты биометрической системы должны передавать информацию на обработку программным компонентам для аутентификации пользователя.Если эти передаваемые данные в определенный момент перехватить, то в будущем можно попытаться повторно симулировать их передачу от аппаратных компонентов,чтобы получить доступ к системе.К примеру,при использовании сканера для проверки отпечатков пальцев,подключенного через порт Usb,последовательность передаваемых во время верификации данных может быть перехвачена, и позднее повторно передана тому же порту.
  
  
• Фальсификация. Поскольку принцип работы биометрических устройств идентификации сводится к распознаванию некоторых физических характеристик человека,можно попытаться создать точную копию характеристики. В мае 2002 года Цутому Матцумото, исследователь из Национального университета в Иокогаме, провел презентацию (а позднее опубликовал статью) об уязвимых местах сканеров для отпечатков пальцев.Потратив 10$ на пищевые продукты, которые можно найти на кухне любой домохозяйки, ему удалось сделать из них фальшивые желатиновые отпечатки пальцев, при помощи которых были обмануты большинство моделей сканеров.
  
  
• Манипуляции с базой данных. Биометрическая информация должна храниться в некоторой базе данных,чтобы поступившие данные можно было сравнивать с некоторым образцом в процессе аутентификации пользователя.Поэтому, проникнув в базу данных,шпион может добавить характеристики пользователя,ранее не имевшего доступ к системе.
  
  
• Инженерный анализ. Любое устройство биометрической аутентификации состоит из аппаратной и программной части,которые взаимодействуют с операционной системой или приложениями.Можно проанализировать программный код приложения,чтобы в дальнейшем создать программную "заплату", позволяющую всегда идентифицировать пользователя как легального,даже если на самом деле его данные вообще отсутствуют в системе.

на эти вещи надо обращать внимание при выборе любой системы биометрической идентификации, считаю что для домашнего варианта самый проблемный пункт - это манипуляции с базой данных, т.к. везде при аутентификации подразумевается что информация в базе данных верна...