Re: [ml] SW di riconoscimento biometrico tramite modo di battitura tasti

On Mon, Nov 01, 2004 at 06:40:35PM +0100, Lorenzo Porro [LnZ] wrote:

Il  succo  del discorso  e'  piu'  o meno  "il  dato  biometrico e'  una
password, per di  piu' non modificabile..." e su  questo sono ovviamente
d'accordo anche io..

> E poi qualsiasi tecnica di autenticazione diventa vana se il dispositivo 
> di input è sotto il controllo di un attacker.

Fino a un  certo punto.. ti faccio solo un  esempio.. 

con un dispositivo biometrico usb  o simile se l'attaccante ha l'accesso
fisico  alla porta  (usb) o  simile puo'  sostituire il  dispositivio di
riconoscimento biometrico con qualcosa  che invii esattamente gli stessi
dati  (lettura fingerprint,  etc.);  non vedo  neanche troppo  difficile
entrare in possesso di questi dati  (pensa a un "keylogger" tipo ps/2 ma
per usb..)

Se  invece  l'autenticazione  e'  basata  su  otp  (one  time  password,
p.  es.  token rsa  o  banale  foglietto  con griglia  di  combinazioni,
etc.)  o certificati  (smartcard),  dove  vi e'  un  dato "segreto"  non
facilmente  estraibile (ovvero  che difficilmente  entrera' in  possesso
dell'attaccante) e che non viene  trasmesso sul canale di autenticazione
(p.  es.   cavo  usb)  diventa   molto  piu'  difficile,   anche  quando
l'attaccante  abbia  pieno accesso  (porta  usb,  lettore smart  card  o
addirittura pc completamente compromesso)

Ovviamente  se poi  la  smartcard  o il  token  o  il foglietto  vengono
lasciati insieme al lettore, con  il pin in bellavista o precedentemente
compromesso con uno dei sistemi possibili..

Cmq stiamo andando sul filosofico, direi di chiudere qui il thread.

bye
Koba (moderatore)