Het grappige vindt ik altijd dat aan die scanners draadjes
zitten (usb/serieel) waar de digitale vorm van je vinger
afdruk overheen gaat. Dit is makkelijk te onderscheppen en
te faken... dus de scanner is zo accuraat als de beveiliging
van het systeem waar het aanzit...

Beste redactie foutje in jullie bericht

2 vingers = 99.6%
4 of meer = 99.9%

Toch even beter checken of artikel wel goed is voor jullie hem plaatsen ;)

Wat is er fout aan dan ?

Het klopt namelijk, maar mate je van 1 persoon meerdere vingers in het
systeem hebt staan en je hierop controleert wordt het systeem nauwkeuriger.

Onzin, bij goede scanners gaat data versleuteld over je usb kabel.
Een replay attack is vaak al niet mogelijk. (afgezien hiervan je systeem zal
controleren of iets exact wordt aangeboden zoals vorige keer, immers het is
uitgesloten dat een vinger 2 keer op exact dezelfde manier wordt
aangeboden, in gevallen waarin dit voorkomt matched hij niet)

Onzin.
Er zijn competities waarbij databases worden gebruikt die veel groter zijn.

Ook zijn er vele overheden te vinden die databases hebben die groter zijn.

Let wel, 48.000 records met 10 vingers per indivue betekend dat er maar
4800 mensen in het systeem zitten.
Het zijn wel 48.000 templates (hashjes of records) maar de kwaliteit van de
vingers van 4800 mensen is te overzien.

Het zou een ander verhaal zijn indien zij 48.000 templates hebben van 1
vinger per persoon, dus 48.000 mensen in totaal, dan zou de
nauwkeurigheid een heel stuk minder zijn.

Overigens valt het me op dat er bij testen vaak wordt overdreven.
Ook zie je nooit ergens staan hoeveel procent van de mensen niet eens
enrolled kunnen worden.
Want in de praktijk heb je altijd tussen de 0,5 en 1 procent van de mensen
die niet enrolled kunnen worden omdat hun vingerlijnen te dun zijn.

Deze moeten -mits ze niet hand onvriendelijk werk hebben- maar na een
jaar terug komen.

mvg,
G.M.

Toch niet overtuigd want ze zwijgen over False Negatives, en
dat is nu juist waar je last mee gaat krijgen als je op
Schiphol door de duane wilt.

Lees het orginele artikel in de redactie post maar en kijk
maar eens naar het percentage dat de redactie hier heeft
gebruikt 99% voor 4 of meer, en naar het artikel 99.9% bij 4
of meer vingers.

Ook daar geldt weer voor dat het beveiligingsniveau afhankelijk is van het
algoritme, de sleutel en het sleutelbeheer. Een veel gebruikte Zweedse
fabrikant van een vingerprintlezer heeft haar systeem gecombineerd met een
smartcard waarbij de match (grotendeels) plaatsvindt op de kaart (de chip
dus). Een zo op het oog zeer veilige methode, echter de data over het kabeltje
is versleuteld obv XOR...ofwel in een poep en een scheet te kraken!

Dit bewijst dus niet dat die scanners veilig zijn. Er is
alleen getest of ze nauwkeurig genoeg zijn om een afdruk met
een ander patroon niet perongeluk te herkennen als een die
veilig zou zijn.
Die apparaatjes kunnen dus behoorlijk nauwkeurig een patroon
herkennen. Maar dat zegt nog niets over de veiligheid: daar
komen ook zaken bij kijken als het voor de gek houden van de
scanner met een gekopieerd patroon.
Authenticatie werkt het beste als je drie lagen gebruikt:
wat je bent, wat je hebt en wat je weet. Maar als je veilig
wil spelen kan je nog net met 2 lagen af, zoals bv bij een
pinpas. Zodra je met 1 laag gaat werken, in dit geval wat je
hebt (patroon) dan is het niet goed te gebruiken in een
omgeving waar veiligheid belangrijk is. Dan zal je er nog
iets aan vast moeten hangen als een wachtwoord verificatie.
En laat het intreden van biometrische beveiliging nu net
bedoeld zijn om geen andere zaken meer te hoeven meezeulen
of onthouden.

False positives :-)

Uiteindelijk is alles te kraken, als je fysiek toegang hebt tot de PC, USB
kabel of fingerscanner en je in de gelegenheid bent daar mee te stoeien, zul
je altijd wel een manier vinden.

Echter waarom zou je indien je fysiek kunt rommelen nog je de
authenticatie/identificatie proces willen omzeilen ?
Je kunt dan toch al fysiek het geen nemen/gebruiken waar je je oog op hebt
laten vallen ?

Biometrie is net zo veilig als de sociale controle van de omgeving waarin je
het toepast. (c) GM

Die apparaatjes (scanner of sensor) doen helemaal niets.

Je kunt (letterlijk) gewoon je vinger(s) op een A4 scanner leggen en aan een
biometrische applicatie aanbieden.
Vreemd genoeg zijn die sensors duurder als een simpele A4 scanner.

Verder maken de beter (duurdere) sensors gebruik van asymmetrische
encryptie om het ingescande vinger over te brengen naar pc.

Er is inderdaad alleen getest hoe nauwkeurig een template database is.
Echter is de kwaliteit van de database afhankelijk van de gebruikte sensor
(resolutie, scherpte etc..etc..) en voornamelijk de gebruikte algoritme.
Als de enrollment algoritme al niet goed is, zal de matching algoritme maar
weinig kunnen compenseren.

Overigens is er een paper van FBI waarbij wordt verklaard dat 7 herkenning
punten voldoende zijn om elke Mens en alle apen te kunnen identificeren.

In de praktijk heb je er minstens 30 nodig nodig om resultaten van 99,9% te
kunnen behalen. (geautomatiseerd)


De drie lagen die je omschrijft zijn best practises te weten:
1) iets wat je hebt (smartcard, token b.v.)
2) iets wat je bent (biometrie)
3) iets wat je weet (pincode, wachtwoord)

Echter is dit vaak een dure en te omslachtige oplossing.
Afgezien hiervan is het nog steeds niet veilig.

Immers er zal altijd een risico bestaan dat er iets beschermd wordt op deze
wijze dat anderen graag wil hebben.
Waarbij een scenario, van vinger/hoofd afsnijden tijdens martel proces om
pincode te verkrijgen (eerst pincode hebben voordat je hoofd afsnijd ivm
gezichtherkenning) waarna je vrolijk met hoofd/vinger + smarcard en
pincode het beveiligde object eigen kan maken.

Echter hoef je geen vuile handen te maken indien je gewoon iemand gijzelt.
Ik kan me niet voorstellen dat de beheerder van een dergelijk authentificatie
systeem, met een pistool tegen ze hoofd, je nee durft te verkopen, zeker niet
indien je ter motifatie al reeds door 1 van ze handen hebt geschoten :)

Overigens moet je niet denken dat dit fictie is die alleen in films te vinden is.

Dus conclusie naast bovenstaande 3 beveiligingslagen dien je nog de
bescherming van het individu in te bouwen.
Dat doe je door old-fashion beveiliging (achter kogelwerendglas) bij receptie
en een geforceerde deurbeleid (toegangsluizen e.d.

Nee, juist false negatives. Een false positive zul je op schiphol niet horen
klagen. Wel iemand die ten ontrechte niet wordt geidentificeerd. ;-)

Nee, false negatives: je bent wie je bent maar je vinger vindt van niet. En je
mist je vlucht naar BokkieWokkie.

Nee je bent wie je bent, en je vinger behoort tot je, dus iets anders vind van
niet.

En wat gebeurd er dan als je boot vanaf een knoppix CD ???


dus USB eruit gewoon toetsenbord en muis aan systeem koppeld .