Bil*_*ill 22 php security encryption fingerprint
我正在制作一个Web应用程序,并希望有一个安全区域,您只能用指纹登录.我最初的想法是只使用一个usb条形码阅读器并扫描它,然后将ID输出到文本框中,但这不是很安全.因此,我想使用USB指纹识别器为每个人生成一个哈希,并将其存储在文本框中.然后,将针对具有每个人的哈希值的数据库进行检查.有没有人知道是否有可以做到这一点的指纹识别器,或者我可以轻松地将阅读器集成到网站中?
编辑:这个网站的想法是,它就像一个登录系统(如果你每小时收到付款的方式就像你可以进出的那样)这个想法是没有人可以在其他人身上签字.如果您只是使用密码,那么有人可以告诉他们的朋友可以输入密码的密码.这就是为什么我想到了指纹,或类似的东西...我对其他建议持开放态度
另外,我正在使用PHP
编辑2:基本的想法,是我必须想办法通过登记证明有人在那里.我不想使用密码,因为那时有人可以告诉别人他们的密码输入.任何其他建议?它不一定是指纹.
Alt*_*tF4 19
生物识别技术是一种非常糟糕的身份验证方法,原因有很多:
生物识别技术并不是秘密.每当你触摸某些东西时,你就会留下密码.每次拍摄照片时,您的面部图像/视网膜图像都会被复制.密码必须保密才有用.
就像Borealid所说,生物识别技术从未完全扫描过两次.因此,当您进行匹配时,必须存在某种允许输入的软糖因素.这个:
只是让攻击者更容易复制数据并重放数据,因为他们不必完全匹配.攻击者只需接近即可接受.
它强制身份验证服务器以明文形式存储您的生物识别信息.您不能像密码那样哈希生物识别数据,因为那时您必须与哈希值完全匹配.
所以不要这样做!
Bor*_*lid 15
你完全不能做你想做的事.
指纹永远不会完全匹配.即使您连续两次扫描自己的右手食指,扫描也不会相同.因此,"对指纹进行散列"将不起作用 - 同一个手指的两个哈希值与两个不同手指的两个哈希值无法区分(具有良好的,密码学强的哈希值).
指纹读取器通过存储板上的一些键来工作,并且当且仅当给出的指纹足够接近他们期望时,才将该键输出.指纹本身不用于直接访问阅读器外的任何内容.
通过网络发送读者看到的指纹是不可接受的 - 人们很担心将他们的照片发给警察.你认为他们可以把它们交给你吗?
也不能接受的是让读者说"手指2没问题".这可能很容易被欺骗.
相反,让您的用户使用X.509(SSL)客户端证书来访问您的站点.如果他们愿意,他们可以通过指纹识别器控制对其私钥的访问.
编辑:更新这个答案.现在在2014年,FIDO联盟的标准称为"UAF",它允许站点以不同站点的方式使用指纹认证.有传言称Paypal即将开始使用它.
| 归档时间: |
|
| 查看次数: |
39516 次 |
| 最近记录: |