用于登录网站的生物统计指纹

Question

有没有使用指纹进行网站认证的方法？

我在考虑以下情况。

• 服务器拥有所有有效用户的ISO 19794-2指纹模板。
• 客户机具有指纹扫描仪。
• 客户端在浏览器上打开网站
• 浏览器有Java Applet/ActiveX控件/ HTML5对象从扫描仪获取指纹模板&发送到网站。
• 网站允许/不允许基于指纹。

但是，这似乎很不安全。获得一个jpg的指纹并将其转换为ISO 19794-2模板并不困难。然后通过编程方式，可以通过向网站发送用户标识&模板来登录该网站。

是否有一个安全的算法/设计允许人们使用指纹登录网站？

Answer 1

这是frereprint scanner与您网站的验证逻辑之间Trusted path的问题。如果有人可以伪装成有效的客户并向您的申请提交登录请求，您的计划将被打破。

我认为你可以做的最好的是使用双因素认证，我会请求一个用户密码，并提供它作为输入到一些PKDF，并用它加密登录请求，这样，如果有人得到的用户指纹，他在不知道用户密码的情况下将无法伪造登录请求。此外，生物识别主要是作为附加认证因素完成的，而不是唯一的。

如果您不想这样做，您可以混淆应用程序代码，使用一次性密钥（在短时间内有效）将其发布，以最大限度地减少逆向工程的风险，并用此签名请求关键，但它不是非常安全，它需要大量的硬件而没有任何显着的安全性增加。