it-swarm.com.de

Was sind die Risiken, wenn ich meinen Fingerabdruck einem Themenpark zur Verfügung stelle?

Ich habe kürzlich Epcot Center besucht und war überrascht, dass sie gebeten haben, einen meiner Fingerabdrücke zu scannen, bevor ich den Park betrat, obwohl ich mein Ticket bereits in der Hand hatte. Ich glaube nicht, dass sie einen bestimmten Finger benötigen. Dies scheint eine Zwei-Faktor-Authentifizierungsmethode namens Ticket Tag zu sein, die sehr ähnlich zu den Aussagen der TSA zu Ihren Körperscans klingt: "Wir speichern den Scan nicht, aber Sie können eine 'verwenden. weniger bequeme 'Methode, wenn Sie wollen ( meistens ). "

Habe ich Recht, mir Sorgen zu machen? Was sind hier die wahrscheinlichsten und schlimmsten Fälle?

15
Pedro

Ich fürchte, ich habe keine gute Antwort, aber ich muss einige Gedanken berücksichtigen, die anderen helfen könnten, eine gute Antwort zu finden.

Sie hinterlassen Ihren Fingerabdruck schon überall. Wenn jemand jedoch Ihren Fingerabdruck erhalten möchte, muss er derzeit Zeit und Energie aufwenden, um sich Ihnen physisch zu nähern und einen Ort zu finden, an dem er einen guten Fingerabdruck von etwas abheben kann. Dies bedeutet, dass es teurer ist, es für eine zufällige Person zu tun, und es bedeutet, dass es nicht wirklich in großem Maßstab durchgeführt werden kann.

Telefone und andere Geräte bieten heutzutage auch die hilfreiche Funktion, Ihren Fingerabdruck zu lesen. Dies erhöht die Wahrscheinlichkeit, dass jemand irgendwo auf eine Datenbank zugreifen kann, und verringert das relative Risiko, einen Fingerabdruck im Themenpark zu hinterlassen.

Wir scheinen uns in Richtung einer Gesellschaft zu bewegen, in der es normal ist, Ihren Fingerabdruck als Kennung zu verwenden. "Es ist ein Benutzername und kein Passwort", sagen die Leute, und in gewisser Weise haben sie Recht. Es ist jedoch etwas mehr als ein Benutzername, da es nicht trivial (ohne Werkzeug machbar) ist, einen Fingerabdruck zu heben und wiederzuverwenden, wie es ein Benutzername wäre. Aus diesem Grund ist es als vertrauenswürdige Identifikationsmethode wie auf Ihrem Telefon und als zweiter Authentifizierungsfaktor so beliebt.

Dieser Trend bedeutet auch, dass Fingerabdruckspeicher mit zunehmender Verbreitung immer weniger vertrauenswürdig sind. Die öffentliche Wahrnehmung sollte dahingehend tendieren, dass "jeder bereits eine Kopie meines Fingerabdrucks hat. Wer sagt, dass die Verwendung als Authentifizierungsmethode immer noch sicher ist?" Dies führt dazu, dass die Tatsache, dass jemand eine Kopie hat, weniger problematisch ist, da nicht nur darauf vertraut wird.

Einige vorhandene Antworten erwähnen, dass der Fingerabdruck wahrscheinlich als Code gespeichert ist, nicht als sehr genaues Bild oder Darstellung Ihres Fingerabdrucks, und dass verschiedene Geräte ihn auf unterschiedliche Weise codieren würden ("abc" vs. "123"). Ich denke, dies ist teilweise richtig: Ein abgeleiteter Code wird normalerweise bei der Authentifizierung verwendet, was es schwieriger macht, den ursprünglichen Fingerabdruck wiederherzustellen. Ich würde jedoch erwarten, dass es sich um einen deterministischen und zumindest teilweise reversiblen Prozess handelt. Wenn Sie die Art des Fingerabdrucklesers kennen, können Sie den abgeleiteten Code wieder in etwas umkehren, das dem Fingerabdruck ähnelt. Darüber hinaus würde ich erwarten, dass die Branche der Fingerabdruckleser auf die effektivste Art und Weise konvergiert, um den eigenen Fingerabdruck zu lesen und zu codieren, sodass nicht mehr die Methode jedes Fingerabdrucklesers einzeln rückentwickelt werden muss.


Zusammenfassend:

  1. Eine Datenbank, wie sie ein Themenpark hätte, ist wertvoll, wenn Sie eine Person zu geringeren Kosten hacken möchten und/oder wenn Sie dies in größerem Umfang tun möchten.

  2. Ihr Fingerabdruck wird an immer mehr Stellen digital gelesen. Da diese Systeme und Datenbanken häufiger werden, sollten sie weniger vertrauenswürdig sein.

  3. Auch wenn sie Ihren ursprünglichen Fingerabdruck wahrscheinlich nicht speichern (leicht zu duplizieren), kann die codierte Version wahrscheinlich in etwas zurückentwickelt werden, das dem Original ähnelt. Sobald dies erledigt ist, kann dies für jeden Fingerabdruck verwendet werden, der mit diesem Gerät erstellt wurde, oder zumindest für jeden, der jemals im Themenpark war.

4
Luc

Wenn Sie glauben, was ihre Politik sagt, sollten Sie nicht so besorgt sein. Selbst wenn sie Ihre Fingerabdrücke speichern würden und ihre Datenbank durchgesickert wäre, bedeutet dies nicht, dass jeder Ihren Fingerabdruck in freier Wildbahn kopieren kann.

Da ein biometrisches Gerät einen Teil Ihres Körpers (z. B. einen Finger) scannt, die in diesem Gerät verwendete Software dieses Bild jedoch in eine Art Zeichenfolge oder zumindest für Software interpretierbare Elemente konvertieren muss. Möglicherweise speichert Gerät A Ihren Fingerabdruck als "abc" und Gerät B als "123".

Dies bedeutet jedoch nicht, dass es kein Risiko sein kann. Fingerabdrücke werden immer noch verwendet, um SIE eindeutig zu identifizieren, und in Zukunft werden sie nur noch häufiger verwendet. Wenn Sie durch Flughäfen reisen, geben Sie Ihren Fingerabdruck, wenn Sie Ihr Telefon entsperren, ...

Außerdem sagen sie, dass sie das eigentliche Fingerabdruckbild nicht speichern. Wahrscheinlich bilden sie diese Zeichenfolge einmal, wenn Sie den Themenpark zum ersten Mal betreten. und wenn Sie es erneut eingeben, erstellt das Gerät erneut dieselbe Zeichenfolge aus dem Bild und prüft, ob es bereits in der Datenbank vorhanden ist. Wenn ja, haben sie Ihre eindeutige Themenpark-ID. Wie der Prozess mit Hash-Passwörtern.

Das schlimmste Szenario wäre, dass sie Ihren Fingerabdruck speichern und heimlich auch ein Bild Ihres Gesichts mit einer versteckten Kamera machen und es an die NSA senden, damit Big Brother bereits ein bisschen mehr über Sie weiß Aber sie haben wahrscheinlich bereits die Informationen, die der Themenpark über Sie und mehr bieten könnte. Machen Sie sich also nicht zu viele Gedanken über diesen Themenpark. :)

Was sie tun könnten, ist mit Ihrem Fingerabdruckregister, z. B. wie oft Sie den Park besuchen oder etwas Ähnliches, und dies irgendwie als Marketingstrategie zu verwenden.

Und wenn jemand wirklich Ihren Fingerabdruck haben möchte, folgt er Ihnen einfach, bis Sie Ihre StarBucks-Tasse wegwerfen oder einen Türknauf berühren. um Ihren Fingerabdruck von dort zu bekommen.

3
O'Niel

Wenn Sie nur Ihren Fingerabdruck verwenden, um ein hochsicheres Gerät zu entsperren, sollte Sie dieses Beispiel ernsthaft beunruhigen. Es ist nur dann harmlos, wenn:

  • sie speichern nicht freiwillig ein vollständiges Bild der Fingerabdrücke des Kunden
  • sie wurden nicht von einem Angreifer angegriffen, der sie stiehlt
  • was sie speichern, kann nicht verwendet werden, um ein Image wiederherzustellen

Sie sollten aber auch wissen, dass Sie jedes Mal, wenn Sie in einem Pub ein Bier trinken, ohne Handschuhe zu tragen, eine Kopie Ihrer Fingerabdrücke auf dem Glas hinterlassen. Ok, es ist schwer zu benutzen, aber nicht viel schwerer als Fingerabdrücke aus Regierungsdatenbanken zu stehlen.

Meiner Meinung nach bedeutet dies, dass Sie sich niemals auf einen Fingerabdruck verlassen sollten allein, um ein hochsicheres System freizuschalten. Der Fingerabdruck identifiziert einen einzelnen Menschen sicher, hier kein Problem. Es ist jedoch schwierig, Ihren eigenen Fingerabdruck zu widerrufen, wenn er kompromittiert wird, und er sollte Ihrer Regierung (vielleicht können Sie ihm vertrauen) und vielen ihrer Agenten (sind sie alle vertrauenswürdig?) Bereits bekannt sein, auf die sie für ihre normale Arbeit zugreifen können diese Datenbanken.

Biometrie kann eine Möglichkeit sein, die Mehrwegidentifikation aktiv zu sichern: etwas, das Sie kennen (ein Passwort) nd etwas, das Sie sind (Fingerabdruck). Es ist vollständig gesichert, wenn es mit etwas kombiniert wird, das steuern kann, dass Sie tatsächlich einen Fingerabdruck geben (z. B. einen Sicherheitsbeauftragten). Das Entsperren eines elektronischen Geräts ist jedoch sehr praktisch, aber nicht so sicher.

0
Serge Ballesta