mboost-dp1
Fingerprints are user names, not passwords
http://blog.dustinkirkland.com/2013/10/fingerprint...
Fint blogindlæg fra en af udviklerne af eCryptfs.
TL;DR: Biometri egner sig til identifikation, ikke autentifikation.
Fint blogindlæg fra en af udviklerne af eCryptfs.
TL;DR: Biometri egner sig til identifikation, ikke autentifikation.
#2
Som udgangspunkt skal man ikke bruge noget, som ikke kan skiftes, som autentifikation. Biometri kan ikke udskiftes; vores iris og fingeraftryk kan ikke ændres. Det samme gælder for vores personnummer. Og lige så snart det ikke kan udskiftes er det et problem - for hvis det ikke kan udskiftes, hvad gør man så når nogen har opnået en tilstrækkelig god kopi af en iris eller et fingeraftryk? Udelukker f.eks. ledende medarbejdere fra alle de afdelinger de har behov for?
Som udgangspunkt skal man ikke bruge noget, som ikke kan skiftes, som autentifikation. Biometri kan ikke udskiftes; vores iris og fingeraftryk kan ikke ændres. Det samme gælder for vores personnummer. Og lige så snart det ikke kan udskiftes er det et problem - for hvis det ikke kan udskiftes, hvad gør man så når nogen har opnået en tilstrækkelig god kopi af en iris eller et fingeraftryk? Udelukker f.eks. ledende medarbejdere fra alle de afdelinger de har behov for?
Min holdning er, at biometrics er en dårlig erstatning for brugernavne og en elendig erstatning for passwords.
Der er allerede givet flere gode argumenter for at biometrics ikke er brugbart som password. Der er et argument mere, hvilket er at hvis nogen er indstillet på ubegrænset magtanvendelse for at få fat i dine credentials, så har du ikke lyst til at bruge biometrics.
Biometrics er heller ikke nogen god erstatning for brugernavne. Det er der flere grunde til.
For det første vil systemer designet til at bruge biometrics som erstatning for brugernavn uvægerligt blive fejlanvendt som om det var en erstatning for passwords. Hvis det anvendes som erstatning for brugernavn, så skal det være fordi det er hurtigere end at indtaste sit brugernavn. Muligheden for at indtaste brugernavn skal stadigvæk være til stede i tilfælde man har et problem med biometrics.
Nogen vil insistere på at muligheden for at indtaste brugernavn skal lukkes så man tvinges til at bruge biometrics af hensyn til sikkerheden. Hvis man nogensinde hører den argumentation, så skal man indse at der er tale om at de har tænkt sig at bruge biometrics som erstatning for passwords.
Et andet argument for at biometrics er en dårlig erstatning for brugernavne er at det næppe er pålideligt nok. Biometrics er mere egnet til sammenligning end til søgning, så du kommer nemt til at skulle bruge lineær tid på noget som et brugernavn kunne have klaret i logaritmisk tid. Desuden er jeg ikke overbevist om at det vil virke hver gang. Hvor meget tid skal man spilde på at prøve igen, fordi systemet ikke genkendte dig eller troede du var en anden, før det havde været hurtigere at indtaste et password?
Der er allerede givet flere gode argumenter for at biometrics ikke er brugbart som password. Der er et argument mere, hvilket er at hvis nogen er indstillet på ubegrænset magtanvendelse for at få fat i dine credentials, så har du ikke lyst til at bruge biometrics.
Biometrics er heller ikke nogen god erstatning for brugernavne. Det er der flere grunde til.
For det første vil systemer designet til at bruge biometrics som erstatning for brugernavn uvægerligt blive fejlanvendt som om det var en erstatning for passwords. Hvis det anvendes som erstatning for brugernavn, så skal det være fordi det er hurtigere end at indtaste sit brugernavn. Muligheden for at indtaste brugernavn skal stadigvæk være til stede i tilfælde man har et problem med biometrics.
Nogen vil insistere på at muligheden for at indtaste brugernavn skal lukkes så man tvinges til at bruge biometrics af hensyn til sikkerheden. Hvis man nogensinde hører den argumentation, så skal man indse at der er tale om at de har tænkt sig at bruge biometrics som erstatning for passwords.
Et andet argument for at biometrics er en dårlig erstatning for brugernavne er at det næppe er pålideligt nok. Biometrics er mere egnet til sammenligning end til søgning, så du kommer nemt til at skulle bruge lineær tid på noget som et brugernavn kunne have klaret i logaritmisk tid. Desuden er jeg ikke overbevist om at det vil virke hver gang. Hvor meget tid skal man spilde på at prøve igen, fordi systemet ikke genkendte dig eller troede du var en anden, før det havde været hurtigere at indtaste et password?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund