有没有办法使用指纹对网站进行身份验证?
我在考虑以下情况。
然而,这似乎非常不安全。获得一个人的指纹并将其转换为相同的ISO 19794-2模板并不难。然后程序化的人可以通过发送用户标识和登录来登录网站。模板到网站。
是否存在允许人们使用指纹登录网站的安全算法/设计?
答案 0 :(得分:3)
这是fingreprint扫描仪和您网站的验证逻辑之间Trusted path的问题。如果有人可以伪装成有效的客户并向您的应用程序提交登录请求,那么您的方案将被破坏。
我认为你能做的最好就是使用双因素身份验证,我会请求用户密码,并将其作为输入提供给某些PKDF,并用它加密登录请求,这样如果有人获得用户指纹,他就赢了无需知道用户密码就能伪造登录请求。此外,生物识别主要是作为额外的身份验证因素完成的,而不是唯一的身份验证因素。
如果您不想这样做,您可以对应用程序代码进行模糊处理,使用一次性密钥进行发布,这将在非常短的时间内生效,以最大程度地降低逆向工程的风险,并使用此密钥签署请求,但它不是很安全,它需要大量的husstle而没有任何显着的安全性增加。
答案 1 :(得分:0)
从客户端读取指纹和进行身份验证非常有可能。但这必须得到扫描仪制造商的支持。链接:http://camsunit.com/application/javascript-based-fingerprint-scanner-for-website-authentication-and-attendance.html共享用于与指纹扫描仪通信的javascript API。其中一项操作是CaptureAndVerify,它使用新捕获的模板来验证已加密的现有模板,并将响应直接传递给服务器,同时确保应安全地进行身份验证。