Alfonso Maruccia

Biometria, il furto dell'iride

Un gruppo di ricercatori č riuscito a replicare gli schemi di un'iride umana e a usare i dati per farsi riconoscere da un dispositivo di scansione biometrico. Bastano 10 minuti e un paio di centinaia di iterazioni

Roma - Anche i dispositivi biometrici basati sulla scansione dell'iride hanno le loro pecche: il sistema di bio-autenticazione sin qui ritenuto uno dei più sicuri è "caduto" sotto i colpi di Javier Galbally e colleghi, che in una ricerca presentata in occasione della conferenza Black Hat hanno preso di mira questo genere di tecnologia di sicurezza.

Partendo dai metadati (registrati nei database dei bio-autenticatori) sui vari "pattern" e caratteristiche delle singole iridi umane, i ricercatori hanno ideato un algoritmo in grado di testare una iride artificiale fino al raggiungimento dell'obiettivo - vale a dire l'autenticazione attraverso le caratteristiche dell'iride di un particolare soggetto scelto in precedenza.

I ricercatori non hanno mai avuto bisogno di accedere ai dati dell'iride-bersaglio, e sono bastati solo 10 minuti di tentativi (corrispondenti a 100-200 diverse permutazioni dei vari pattern leggibili dal dispositivo) per superare l'autenticazione per mezzo della scansione oculare.
Galbally e colleghi dicono di essere consapevoli del fatto che, anche se questo dovrebbe rappresentare il primo attacco portato con successo contro la scansione dell'iride, i sistemi di riconoscimento commerciali usati ordinariamente contengono meccanismi di difesa aggiuntivi che rendono il successo dell'attacco meno probabile.

Alfonso Maruccia
9 Commenti alla Notizia Biometria, il furto dell'iride
Ordina
  • ....infatti la nuova frontiera è l'autenticazione comportamentale....un esempio sono le tecniche di analisi di tipo KeyStroke Latency Pattern..... googlate e vedrete Occhiolino.....e poi alla fine nell'autenticazione dovrebbero sempre unirsi due concetti:
    - Something you know (una password)
    - Something you have ( Caratteristica Biometrica, Token, KeyStroke Latency Pattern...etc etc.)
  • Insomma, qualcosa che al cinema si vede da un pezzo, anche se a sfondo umoristico...
    Aleb
    429
  • Sta nel nome stesso della tecnologia
    BIO-METRIA
    Cioè MISURAZIONE di una caratteristica BIOLOGICA.
    1) PER definizione CHIUNQUE può effettuare una misura
    2) PER definizione una caratteristica biologica misurabile non è segreta (te la porti addosso ben visibile)
    3) Non è revocabile un dito (o un occhio) non sono id "revocabili" sono sempre tali e quali inoltre se la caratteristica (dito occhio o quel che sia) viene compromessa (ad esempio perdita dell'occhio in un incidente) c'è qualche "problemino"...
    4) Ogni misurazione di una caratteristica biometrica costituisce una potenziale violazione della privacy e la possibilità di un entità che abbia effettuato tali misurazioni circa possa mentire per scopi o interessi imprecisati.
    non+autenticato
  • - Scritto da: tucumcari
    > Sta nel nome stesso della tecnologia
    > BIO-METRIA
    > Cioè MISURAZIONE di una caratteristica BIOLOGICA.
    > 1) PER definizione CHIUNQUE può effettuare una
    > misura
    > 2) PER definizione una caratteristica biologica
    > misurabile non è segreta (te la porti addosso ben
    > visibile)
    > 3) Non è revocabile un dito (o un occhio) non
    > sono id "revocabili" sono sempre tali e quali
    > inoltre se la caratteristica (dito occhio o quel
    > che sia) viene compromessa (ad esempio perdita
    > dell'occhio in un incidente) c'è qualche
    > "problemino"...
    > 4) Ogni misurazione di una caratteristica
    > biometrica costituisce una potenziale violazione
    > della privacy e la possibilità di un entità che
    > abbia effettuato tali misurazioni circa possa
    > mentire per scopi o interessi
    > imprecisati.

    Quoto al 100%, porca l'oca! In lacrime
    non+autenticato
  • 10 minuti e 100/200 tentativi !
    Pure il sistema di riconoscimento più scarso dopo il terzo tentativo non riuscito blocca l'accesso per diversi minuti sempre che non faccia scattare qualche allarme.
    non+autenticato
  • Infatti: "i sistemi di riconoscimento commerciali usati ordinariamente contengono meccanismi di difesa aggiuntivi che rendono il successo dell'attacco meno probabile"
    non+autenticato
  • per ora è così, ma non porre limiti all'hacking

    senza contare che un criminale determinato potrebbe cavarti l'occhioA bocca aperta

    onestamente a me questa cosa della biometria sembra tanto una cazzata, imho è meglio avere password e cose del genere, visto che sono facilmente occultabile dietro un "non me la ricordo"
    non+autenticato
  • si ma magari x farti confessare la password ti cavano comunque un occhio!!!
    non+autenticato
  • - Scritto da: fabio
    > si ma magari x farti confessare la password ti
    > cavano comunque un
    > occhio!!!

    Mica detto, e comunque usare solo la biometria garantisce che se perdi un dito o un occhio per un incidente sei fregato per sempre, visto che non hai alcun altro modo di accedervi.

    E poi comunque potresti tranquillamente avere la sfortuna che ti capiti qualcosa di molto minore (che so, ad esempio un'ustione alla mano) per farti perdere temporaneamente l'accesso.
    non+autenticato