use*_*353 5 security authentication biometrics web
有没有办法使用指纹对网站进行身份验证?
我正在考虑以下场景。
然而,这似乎非常没有安全感。获取别人指纹的 jpg 并将其转换为相同的 ISO 19794-2 模板并不困难。然后,可以通过将用户 ID 和模板发送到网站来以编程方式登录网站。
是否有安全的算法/设计允许人们使用指纹登录网站?
这是指纹扫描仪和网站验证逻辑之间的可信路径问题。如果有人可以伪装成有效的客户端并向您的应用程序提交登录请求,您的方案就会被破坏。
我认为你能做的最好的事情就是使用两因素身份验证,我会请求用户密码,并将其作为某些 PKDF 的输入提供,并用它加密登录请求,这样如果有人获得了用户的指纹,他就不会被能够在不知道用户密码的情况下伪造登录请求。此外,生物识别主要是作为附加的身份验证因素,而不是唯一的因素。
如果您不想这样做,您可以混淆应用程序代码,使用一次性密钥发出它,该密钥在很短的时间内有效,以最大限度地减少逆向工程的风险,并使用此密钥签署请求,但它是不是很安全,它需要大量的努力,而没有任何显着的安全性提高。