Comments | cat_mucius: (без темы)

cat_mucius

(Untitled)

Apr 19, 2013 17:11

Прочёл давеча совершенно сногсшибательную штуку: группа из Беркли сумела построить систему аутентификации на основе электроэнцефалограмм. То есть буквально так: компьютер способен опознать юзера с помощью мысли ( Read more... )

concerts, security, music, computing

Comments 10

lynx9 April 19 2013, 16:06:21 UTC

Забавно

cat_mucius April 20 2013, 00:52:45 UTC

Если бы ещё и было правдой... :-)

red_2 April 19 2013, 18:33:37 UTC

Здорово. :)

Все недостатки вида "вы думали, что залогинились на сайте А, а вас втихаря залогинило ещё и на сайте Б" наводят меня на мысль, что эти "пассивные" методы аутентификации, не контролируемые пользователем, "ничего не делай, только пароль думай" - гвоздь не от той стенки. Решение не от той задачки. Она похожа, и потому возникает соблазн их к ней привинтить. Но не та, и это вылезает, как только задумаешься про методы взлома.)

cat_mucius April 20 2013, 01:20:03 UTC

Ну, в принципе, любые действия, производимые втихаря от пользователя - проблема безопасности. Но я не вполне уверен, что ты имеешь в виду - всякие методы federated identity типа OpenID и тому подобное?

С ними проблема в том, что они дают большую власть удостоверителю, это да. Если я могу зайти в LiveJournal с гугловским аккаунтом, значит Гугл может зайти в LiveJournal под моим аккаунтом. Есть, кстати, всякие любопытные новые разработки против таких сценариев - надеюсь как-нибудь написать.

tsirya April 19 2013, 20:02:55 UTC

Извини, пожалуйста, я понимаю, что это серьезный челенж для специалиста в области секьюрити, но это просто ужасно смешно. Вспоминается анекдот "Штирлиц подумал, ему понравилось".
Но я всё равно не понимаю, зачем это нужно, если биометрические характеристики вроде отпечатков пальцев дают более точный и надежный результат. Пассаж про "отрастить новую сетчатку или отпечаток пальца" я что-то не поняла - предполагается, что человеку могут отрубить пальцы и выколоть глаза, и у него всё ещё останется возможность идентифицироваться силой мысли?

cat_mucius April 20 2013, 01:13:57 UTC

Ну конечно смешно. :-)

предполагается, что человеку могут отрубить пальцы и выколоть глаза, и у него всё ещё останется возможность идентифицироваться силой мысли?
Боже, зачем такие зверства. Имеется в виду что-то куда более простое: допустим, ты используешь сканер отпечатка пальца, чтобы заходить в Windows. Допустим, у меня рисунок твоих пальчиков есть: я тебя угостил вкусным чаем и срисовал отпечатки с чашки. Тогда я могу изготовить слепок из парафина и использовать его вместо твоего пальца, чтобы залогиниться под твоим именем (из описания совершенно реальной атаки, кстати).

Если ты обнаруживаешь, что тебя хакнули, то тебе приходится отказываться от использования отпечатков пальцев вообще. Заменить отпечаток на новый от другого пальца - не решение, может он у меня тоже есть. Отрастить новый рисунок папиллярных линий на подушечках - несколько сложновато. А вот заменить одну мысль-ключ на другую куда проще.

Правда, можно использовать пальцы ног. :-)

tsirya April 20 2013, 16:21:43 UTC

А сетчатка? :)

cat_mucius April 20 2013, 16:29:56 UTC

В смысле, можно ли также перехватить и использовать рисунок сетчатки? Можно, конечно. Я не думаю, что сегодня это можно сделать по фотографии, но представь себе: допустим, ты хочешь войти в какую-то систему, пользуешься сканером для сетчатки, а его контролирую я - и сканер рисунок сохраняет для меня, а уж воспроизвести рисунок на чём-то дело техники. Причём если пальцев десять, можно воспользоваться в случае чего другим, то глазьев всего два. :-) И что тогда делать, светлы очи заменять?

Thread 6