Ya es bastante común encontrarse con portátiles que llevan incorporado lectores de huellas que pueden ser usados para loguearse u otros menesteres menos útiles, incluso con algún gadget geek para jugar a ser Macgyver.
Históricamente, por algun razón absurda de pensar que es algo tecnólógicamente avanzado, se ha asociado estos dispositivos a las pelis de acción con un espías que entran en la sala super segura de la muerte usando el dedito (a veces se lo curran más y hacen escáneres de retinas y análisis in situ de ADN) pero lo cierto es que la experiencia ha demostrado que la seguridad de estos dispositivos no es tal. Por ello, para cualquiera que se lo plantee, ya lo avanzo: “Jamás uséis un escáner de huellas como método de autenticación a un sistema o servicio que sea crítico o susceptible”. Este sistema se debe usar como añadido (como confirmación extra) para aumentar la seguridad de una clave por ejemplo.
El soporte de estos dispositivos en linux ha sido prácticamente nulo y cojo hasta la llegada del proyecto fprint que ha conseguido dar soporte a la gran mayoría de los dispositivos más extendidos en el mercado. La parte más grande e importante viene en forma de librería (libfprint) que nos permite acceder interactuar estos lectores. En Gentoo el paquete está disponible en el overlay wschlich-testing y existen paquetes para otras distros porque el proyecto ya ha cogido fama, de todas formas no hay mayor problema en descargar las fuentes y compilar directamente.
En los próximos posts nos adentraremos un poquito en como funcionan estos dispositivos y como se ha desarrollado el driver.
–
Fuente original en http://vierito.es/wordpress
15 responses so far ↓
1 mageles // Oct 3, 2008 at 9:45 am
En mi gimnasio ya no entramos con tarjetita, nos han dado a cada uno un código de 5 dígitos y luego usamos la huella para acceder.
Aunque supongo que no se puede considerar un sistema crítico
2 jaime // Oct 3, 2008 at 3:37 pm
Se podria dar algun dato objetivo de autenticaciones validas usando huellas de otras personas?
Quiero decir ¿como de NO confiable es?
3 vierito5 // Oct 3, 2008 at 4:20 pm
@mageles: que modernos son en tu gimnasio! A la larga seguro que se ahorran pasta en tarjetitas, pérdidas, etc. Es un cambio inteligente.
@jaime: Primero el problema surge cuando estamos realizando una identificación en lugar de una verificación. Es decir, si hace falta un PIN + huella está bien pero imagina que tenemos una bbdd con 3000 usuarios y cuando pones el dedo realiza un escaneo e identifica y da acceso al usuario. Bueno, pues la entropía del sistema no es ni de cerca la entropía que nosotros mismos exigimos y aceptamos como ‘buena’ en el resto de sistemas cuando usamos claves, cifrados, etc.
Como ya veremos en otros posts más adelante, los algoritmos de análisis tienen parámetros configurables sobre “lo seguro que debe estar de la verificación” y junto con la huella escaneada se guarda la confianza sobre ese escaneo. Sin duda no es como en las pelis que de 250 millones de personas te saca la cara de quien es.
Respecto a casos reales, mi padre ya me contó que en ‘Italia’ habían probado casos de padre-hijo con el cual podían entrar (y no era entrar al gimnasio
)nosotros lo probamos pero no funcionó.
Desde un aspecto más científico, cada uno dice una cosa, pero básicamente depende de 3 factores:
1- Las terminaciones nerviosas que llegan a la piel y se sitúan entre la dermis y la epidermis.
2- Tensión, presión (de la sangre por ejemplo) y ese tipo de cosas durante el desarrollo el feto.
3- Un factor genético variable.
Sinceramente sobre genética soy un ignorante así que no me meteré más. A mi me es díficil creer que esté realmente ligado al factor genético tanto como para suponer una relación directa pero caso práctico así ha sido O_o.
Por otro lado dependiendo del lector que usen, la imagen de partida puede tener incluso una resolución de imagen penosa a partir de la cual la entropía del sistema disminuye drásticamente y dedos bastantes diferentes con algunos puntos en común darse como autenticados.
Otro tema diferentes sobre si es confiable o no es que si alguien quiere tus huellas… las puede conseguir demasiado fácilmente, ni comparable el esfuerzo a obtener otros datos como una clave.
4 jaime // Oct 5, 2008 at 7:03 pm
Pues a mi me mola el asuntillo, pero no tengo lector de huellas para probarlo en mi portatil snif
Me mola la explicacion, y estoy expectante por verlos.
A ver si me agencio un lector de estos por dealextreme o algo XDDDDDD
5 jaime // Oct 5, 2008 at 8:00 pm
otra pregunta
si me agencio un bicho de estos ¿podria logearme en las diferentes webs por las q navego solamente pasando el dedico? Parece una chorrada pero si es asi me agencio uno
6 vierito5 // Oct 6, 2008 at 12:33 am
uhm…..por poder…. eso sí, picar algo de código no te lo va a quitar nadie.
Posibilidades que se me ocurren así rápidamente:
1- Usando firefox, crear una extension que haga las llamadas pertinentes al driver y en caso de autenticación rellenar usuario y passwd automáticamente. Es lo que hace firefox cuando pones que recuerde tu password, ¿no? Sería meter un hook para que hiciera lo mismo a excepción de una condición más: tener la huella autenticada. Nota mental para Jaime: las contraseñas guardadas en firefox está guardadas en casi claro.
2- Tener un script guarro en bash, perl, python o lo que sea y usar curl (o pycurl) para obtener las cookies, manejar las sesiones y esas cosas de los sitios en cuestión.
Casi es menos engorroso lo primero aunque jamás he hecho una extensión de firefox.
Igual a alguien se le ocurre alguna forma de hacerlo más fácil. Bienvenidas todas las ideas.
Aunque sea para jugar cómprate uno
7 mageles // Oct 6, 2008 at 10:11 am
“Pues a mi me mola el asuntillo, pero no tengo lector de huellas para probarlo en mi portatil snif”
Pobrecito, además de faltarle teclas, el mac no tiene cositas para jugar xDDD
8 vierito5 // Oct 6, 2008 at 9:20 pm
xDDDDDDDDDDDDDDDDDDDD
Ahí! donde duele! bueno, algun juego le queda:
http://vierito.es/wordpress/2008/06/08/hp-mobile-data-protection-system-3d/
Ponerle alarma y/o jugar al tirarlo al suelo a ver si funciona la detección de free-fall
9 jcarlosn // Oct 8, 2008 at 8:28 pm
Hola, el tema de las huellas ha dado mucho de sí…unos alemanes hace tiempo consiguieron la huella del primer ministro, no? tenía el link por aquí pero ahora no lo encuentro.
En fin, que es cierto que cada vez es mas evidente que no son una medida seria de seguridad, yo los pondría al mismo nivel que los tokens RSA (llaveros) y mecanismos así.
Un saludo!
10 vierito5 // Oct 8, 2008 at 8:34 pm
Cierto! Leí hace tiempo lo del primer ministro, fueron unos del Chaos Computer Club, como no ^___^.
Aquí unos links:
Noticia:
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/
Cómo quedarse con huellas:
http://www.ccc.de/biometrie/fingerabdruck_kopieren?language=en
11 [Fprint] Los dispositivos | It should work... // Oct 9, 2008 at 5:15 pm
[...] RSS ← [Fprint] Lectores de huellas en linux [...]
12 carrie // Oct 13, 2008 at 2:58 pm
Mi portatil si que tiene lector de huellas y hay un programa que te logea en las webs, pero estoy hablando de windows claro…
13 vierito5 // Oct 13, 2008 at 3:04 pm
Cierto, mi HP en windows también ofrece guardar las contraseñas cifradas gracias al TPM que lleva. Luego, si estás logueado con la huella o con el password extra esas contraseñas se te rellenan automáticamente.
El tema es que Jaime en el curro usa linux por eso decía que le iba tocar programarlo.
14 Berto // Jan 3, 2009 at 2:42 am
Pues lo cierto es que aparte de ser caros, estos cacharros son inútiles. ¿Hay algo más que recalcar? xD
15 vierito5 // Jan 3, 2009 at 3:19 am
Que molan xDDDD
Leave a Comment