image

Vingerafdrukgenerator omzeilt biometrische inlogsystemen

donderdag 15 november 2018, 14:11 door Redactie, 7 reacties

Onderzoekers van de Universiteit van New York hebben een vingerafdrukgenerator ontwikkeld die biometrische authenticatiesystemen met gegenereerde vingerafdrukken kan omzeilen. Vingerafdrukken worden steeds vaker gebruikt om smartphones te ontgrendelen, in te loggen op systemen, betalingen goed te keuren en andere toepassingen.

Bij smartphones is de vingerafdrukscanner vanwege ergonomische redenen vaak klein. Deze scanners scannen meestal alleen een gedeelte van de vingerafdruk. Doordat een klein deel van de vingerafdruk niet zo onderscheidend is als de volledige vingerafdruk, is er een grotere kans dat een gedeeltelijke vingerafdruk van één vinger onterecht wordt gematcht met een gedeeltelijke vingerafdruk van een andere vinger.

In het verleden bedachten onderzoekers het concept van "MasterPrints", een verzameling echte of synthetische vingerafdrukken die met een groot aantal andere vingerafdrukken matchen. De onderzoekers van de Universiteit van New York kwamen daarop met de "DeepMasterPrints", vingerafdrukken die door een neuraal netwerk zijn gegenereerd (pdf). Het neurale netwerk werd met allerlei afbeeldingen van vingerafdrukken getraind, zodat het vervolgens zelf vingerafdrukken kon genereren die als MasterPrint werkten en er voor mensen echt uitzien.

De onderzoekers vergelijken het met een woordenboekaanval, waarbij een aanvaller in hoog tempo allerlei woorden probeert. In het geval van de DeepMasterPrints worden er geen woorden maar vingerafdrukken gebruikt. Het succes van de DeepMasterPrints is afhankelijk van de afbeeldingen waarmee de generator is getraind en ingestelde foutmarge bij het inlogsysteem.

"Dit werkt onderstreept de noodzaak om tegenmaatregelen voor woordenboekaanvallen op biometrische systemen te ontwikkelen. Ook bevestigt het de noodzaak voor het ontwikkelen van anti-spoofingtechnologie voor biometrische systemen, waaronder die in smartphones en laptops worden gebruikt", aldus de Michigan State University Michigan State University.

Image

Reacties (7)
15-11-2018, 14:38 door Anoniem
Die vingerafdruk die op de ID kaart moet komen om de vingerafdrukkendatabase van de Roverheid te vullen he? Die toch?
15-11-2018, 14:50 door Anoniem
Nog een reden om geen biometrische gegevens te gebuiken voor authenticatie.
15-11-2018, 16:57 door Anoniem
Bij mijn One+3 telefoon is het zo dat na een aantal keren foutief proberen van een vingerafdrukscan, de telefoon alsnog vraagt de pincode in te voeren. Het is dus niet mogelijk om het verder te proberen. Dus in hoeverre is dit toepasbaar.
15-11-2018, 18:51 door karma4 - Bijgewerkt: 15-11-2018, 18:53
Door Anoniem: Nog een reden om geen biometrische gegevens te gebuiken voor authenticatie.
De volgende vingerscanner maakt gehakt van elke poging tot fraderende scans. Goedkope scanners worden vervangen, mooie groeimarkt.
Staat netjes in het redactieartikel.
16-11-2018, 10:24 door -karma4 - Bijgewerkt: 16-11-2018, 10:39

Ook opgepikt door redactie:
https://www.security.nl/posting/587344/Nederland+geeft+VS+toegang+tot+database+met+vingerafdrukken

Door karma4:
Door Anoniem: Nog een reden om geen biometrische gegevens te gebuiken voor authenticatie.
De volgende vingerscanner maakt gehakt van elke poging tot fraderende scans. Goedkope scanners worden vervangen, mooie groeimarkt.
Staat netjes in het redactieartikel.

Dat staat er juist helemaal niet in! In tegendeel! Er staat dat dit - in ieder geval bij smartphones - t.g.v. technische beperkingen erg moeilijk zal blijken zijn:

"Bij smartphones is de vingerafdrukscanner vanwege ergonomische redenen vaak klein. Deze scanners scannen meestal alleen een gedeelte van de vingerafdruk. Doordat een klein deel van de vingerafdruk niet zo onderscheidend is als de volledige vingerafdruk, is er een grotere kans dat een gedeeltelijke vingerafdruk van één vinger onterecht wordt gematcht met een gedeeltelijke vingerafdruk van een andere vinger."

Nergens wordt gesteld dat 'de volgende generatie' vingerafdrukscanners de problemen zouden oplossen. Wij denken dat je door tekst als "Recently, there have been rapid advancements in synthetic image generation by way of neural networks." op het verkeerde been bent gezet. Maar dat gaat over het genereren van synthetische handtekeningen voor een woordenboekaanval (of moet je hier spreken van een handtekeningenboekaanval?)
20-11-2018, 14:33 door Anoniem
Nergens wordt gesteld dat 'de volgende generatie' vingerafdrukscanners de problemen zouden oplossen. Wij denken dat je door tekst als "Recently, there have been rapid advancements in synthetic image generation by way of neural networks." op het verkeerde been bent gezet. Maar dat gaat over het genereren van synthetische handtekeningen voor een woordenboekaanval (of moet je hier spreken van een handtekeningenboekaanval?)

Dat geldt toch bijna voor elke technologie, de huidige laptop is toch ook niet te vergelijken met een ding van 20 jaar geleden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.