指紋を使用して Web サイトを認証する方法はありますか?
次のシナリオを考えていました。
ただし、これは非常に安全ではないようです。他人の指紋の jpg を取得し、それを同じ ISO 19794-2 テンプレートに変換することは難しくありません。次に、ユーザーIDとテンプレートをWebサイトに送信することにより、プログラムでWebサイトにログインできます。
指紋を使用してウェブサイトにログインできる安全なアルゴリズム/設計はありますか?
これは、fingreprintスキャナーとWebサイトの検証ロジックの間の信頼できるパスの問題です。誰かが有効なクライアントになりすましてアプリケーションにログイン要求を送信する可能性がある場合、スキームは機能しなくなります。
あなたができる最善のことは、2要素認証を使用することだと思います。ユーザーのパスワードを要求し、それをPKDFへの入力として提供し、それを使用してログイン要求を暗号化します。このようにして、誰かがユーザーの指紋を取得した場合、彼はユーザーのパスワードを知らなくてもログイン要求を偽造することができます。さらに、生体認証は、1つだけではなく、ほとんどの場合、追加の認証要素として実行されます。
これを行いたくない場合は、アプリケーションコードを難読化し、非常に短時間有効なワンタイムキーを発行して、リバースエンジニアリングのリスクを最小限に抑え、このキーを使用してリクエストに署名することができますが、それはあまり安全ではありませんが、セキュリティを大幅に向上させることなく、多くの手間をかける必要があります。
フィンガープリントの読み取りとクライアント側からの認証は非常に可能です。ただし、これはスキャナーの製造元によってサポートされている必要があります。リンク: http://camsunit.com/application/javascript-based-fingerprint-scanner-for-website-authentication-and-attendance.htmlは、指紋スキャナーと通信するための JavaScript API を共有しています。操作の 1 つは CaptureAndVerify です。これは、暗号化された既存のテンプレートを新しくキャプチャされたテンプレートで検証し、応答をサーバーに直接渡し、認証が安全に行われるようにします。