有没有办法使用指纹对网站进行身份验证?
我在想以下场景。
- 服务器具有所有有效用户的ISO 19794-2指纹模板。
- 客户端计算机具有指纹扫描仪。
- 客户在浏览器上打开网站
- 浏览器具有Java Applet/ActiveX控件/HTML5对象从扫描仪获取指纹模板并发送到网站。
- 网站允许/禁止基于指纹。
但是,这似乎非常不安全。获取别人指纹的jpg并将其转换为相同的ISO 19794-2模板并不难。然后,可以通过编程方式通过向网站发送userid和模板来登录网站。
是否有一种安全的算法/设计允许人们使用指纹登录网站?
这是 fingreprint 扫描仪和您网站的验证逻辑之间的可信路径问题。如果有人可以伪装成有效的客户端并向您的应用程序提交登录请求,那么您的计划将被破坏。
我认为你能做的最好的事情就是使用双因素身份验证,我会请求一个用户密码,并将其作为输入提供给一些 PKDF,并用它加密登录请求,这样如果有人获得用户指纹,他将无法在不知道用户密码的情况下伪造登录请求。此外,生物识别技术大多是作为额外的身份验证因素完成的,而不是唯一的身份验证因素。
如果你不想这样做,你可以混淆应用程序代码,用一次性密钥发出它,这将在很短的时间内有效,以最大限度地降低逆向工程的风险,并用这个密钥签署请求,但它不是很安全,它需要大量的喧嚣,没有任何显着的安全性提高。
从客户端读取指纹和进行身份验证是非常可能的。但这必须得到扫描仪制造商的支持。链接:http://camsunit.com/application/javascript-based-fingerprint-scanner-for-website-authentication-and-attendance.html 共享用于与指纹扫描仪通信的javascript API。其中一个操作是捕获和验证,它使用新捕获的模板验证加密的现有模板,并将响应直接传递给服务器,并确保身份验证应安全地完成。