larsaaberg

fingeravtrykk som laaser opp telefonen lokalt er greit, men fingeravtrykk som passord paa nett er risikabelt. fordi om noen faker ditt fingeravtrykk saa vil de ha tilgang til dine gmail, youtube, g suits documenter, kontoer osv

 

jeg kan se for meg fremgangsmaaten ca slik:

 

1. innstaller spyware paa android telefonen til vedkommen som du vil hacke via email/ spam

2. soek opp filen som inneholder fingeravtrykket

3. scan ut bilde av fingeravtrykket

4. bruk 3d printer eller kreativitet til a fake fingeravtrykket

5. vips saa har man password til hele google kontoen til vedkommen

Det stemmer ikke det du sier her.

For det første. Telefonen inneholder ingen fil som inneholder et "bilde" av ditt fingeravtrykk som kan brukes til å print noe som helst ut. På samme måte som at en webside hvor du logger inn med passord ikke lagre passordet ditt, lagres ikke fingeravtrykket på en måte så du kan rekonstruere fingeravtrykket.

For det annet, så er det ikke selve fingeravtrykket som låser opp websiden. Selvom du hakket fingeren av en person, ville du ikke kunne bruke dette til noe, med mindre du også har personens telefon.

Sannsynligvis er dette implementert noe ala dette:

- Websiden redirecter til signeringstjenesten med melding om at en bruker vil logge inn.

- Signeringstjenesten sender en push til telefonen din om at websiden ønsker å logge deg inn.

- Du autentisere deg på telefonen med fingeravtrykk.

- Telefonen signere en token med et privat sertifikat unikt for din telefon, men hvor google har lagret public key.

- Token sendes til tilbake til signeringstjenesten, hvor det verifiseres, med telefonen public key, at den faktisk er signert av telefonen.

- Signeringstjenesten utsteder en JWT og redirecter tilbake til websiden

I dette tilfelle er signeringstjenesten google. Jeg vil tro at websider som tilbyr at du logger deg inn med din google-konto, vil kunne tilby dette uten å måtte gjøre endringer.

Dette er i praksis 2-faktor autentisering, da den krever at du har både din finger og telefon. Det er ekstremt vanskelig å lurer en slik form for login.

Den "vanlige bruker", dvs han/hun som ikke orker å bla seg fram til bruksanvisninger for elementære ting, bruker ikke Android. Jeg gjør det selv, men vil aldri anbefale det til noen som ikke liker å fikle.

Sikke noe vås. Svigermor bruker Android, og hun er kjempefornøyd.

Kanskje du kan utdype hvilke elementære ting det er du prater om?

Utrolig dumt.

Veldig farlig.

Ikke gjoer det.

 

Sikkerhet er å ikke ha sine biologiske data involvert.

Jeg er ikke enig. Fingeravtrykk-leseren på moderne mobiltelefoner er vanskelig å lurer. Sikkerheten på denne løsning tilsvare 2-faktor autentisering.

og finger-dataene blir syncet i sky hos en såkalt leverandør, der kan de enten selge eller gi fra seg data uten at vi vet om.

Jeg tror du missforstår. Så vidt jeg er bekjent behandles biometriske data bare på telefonen. De blir ikke sendt til noen server.