» »

E-bančništvo z bralnikom prepleta ven na prstu

E-bančništvo z bralnikom prepleta ven na prstu

Guardian - Britanski Barclays za svoje komitente pripravlja nov način preverjanja istovetnosti pri uporabi e-bančništva. Medtem ko doslej večina bank uporablja certifikate, kalkulatorje enkratnih kod za vstop, pošiljanje kode na mobilne telefone ali sezname PIN-kod, želi Barclays postopek poenostaviti z biometrijo. Odčitavali bodo vzorec prepleta ven pod blazinicami na uporabnikovem prstu.

V sodelovanju s Hitachijem so razvili napravo VeinID, ki je v velikosti žogice za tenis in jo uporabnik postavi na mizo. Enota vstavljen prst presvetli s svetlobo bližnjega IR, sivinska kamera CCD pa zazna prepuščeno svetlobo. Ker hemoglobin v krvi, ki teče skozi vene, absorbira to svetlobo, se vene na sliki vidijo kot temne lise.

Tehnične podrobnosti o sistem, ki naj bi bil komercialno dostopen prihodnje leto, še niso znane. Barclays zagotavlja, da banka ne bo imela dostopa do tako zbranih biometričnih podatkov. Iz slike se bo namreč s kriptografsko operacijo tvorilo geslo, s katerim se bo potem primerjal vsakokratni odčitek. Biometrični podatki torej ne bodo zapuščali naprave, temveč bodo shranjeni na SIM-kartici, ki jo bo uporabnik imel v napravi. Pravijo, da je natančnost sistema ena lažno pozitivna prijava na milijon in ena neupravičeno zavrnjena prijava od deset tisoč. Ni še jasno, kako se bo naprava povezala z računalnikom in na kakšen način se bodo borili zoper zlorabe.

Prednosti odčitavanja prepleta ven v primerjavi s klasičnimi bralniki prstnih odtisov so hitrost, zanesljivost in robustnost. Postopek branja traja dve sekundi, ne motijo pa ga umazanija in drugi tujki na prstih. Prav tako mora biti prst pritrjen na živo roko, saj sicer v njem ni krvi in ni slike. Postopek je ponekod že v uporabi (nekaj podobnega je na poljskih bankomatih), to pa bo prvi primer uporabe izven bančne poslovalnice. Prihodnje leto bodo bralnike razdelili 30.000 poslovnim uporabnikom, ob pozitivnem odzivu pa še 830.000 malim poslovnim uporabnikom in 15 milijonom fizičnih oseb.

25 komentarjev

Rotty ::

Čakajte, da pooblaščenci za dostop do informacij javnega značaja to zvedo.

Kakšno leto nazaj sem z namestnico pooblaščenke imel malo daljši pogovor in mi je zagotovila, da imajo v EU skupen pristop in da kaj takšnega kot odčitavanje prstnih odtisov, šarenice,... ne bodo dovolili v EU četudi bo se o uporabila kriptografija.

Bi jo rad danes slišal...hvala Bogu za EU!

SkipEU ::

Ker do spletne banke dostopamo samo doma? Ali zdaj mislijo, da bomo to napravo nosili s sabo?

flbroker ::

Ja ce do spletne banke dostopas izven doma potem je logicno da rabis vecjo varnost, ali ti je pac vseeno kaj delas na javnem omrezju?

Bojan xxxx ::

Zjutraj pripravljam zajtrk in se urežem v prst.
Naslednjih nekaj dni vsako uro panično preverjam če me mašina že prepozna :) Juhu!

Kladivo, žago in cel ostali hobi program iz čiste previdnosti dam na Bolho pod "Podarim".

Olórin ::

Bojan xxxx je izjavil:

Zjutraj pripravljam zajtrk in se urežem v prst.
Naslednjih nekaj dni vsako uro panično preverjam če me mašina že prepozna :) Juhu!

Kladivo, žago in cel ostali hobi program iz čiste previdnosti dam na Bolho pod "Podarim".


Če se poškoduješ greš na banko in urediš resetiranje gesla. Tako kot si lahko uredil do zdaj.

Kostko ::

Iz slike se bo namreč s kriptografsko operacijo tvorilo geslo, s katerim se bo potem primerjal vsakokratni odčitek.


Torej imaš v bistvu pametno kartico, ki ima tvoj privatni ključ, zaklenjeno z malo bolj sofisticiranim PIN-om, ki ga ne moreš zamenjat v primeru, da je kompromitiran. Res super :-)
Human stupidity is not convergent, it has no limit!

njyngs ::

Bojan xxxx je izjavil:

Zjutraj pripravljam zajtrk in se urežem v prst.
Naslednjih nekaj dni vsako uro panično preverjam če me mašina že prepozna :) Juhu!

Kladivo, žago in cel ostali hobi program iz čiste previdnosti dam na Bolho pod "Podarim".

Skenira vene in ne prstnega odtisa tako da ni problema če si se malo urezal (razen če s skalpelom pripravljaš zajtrk in si toliko neroden, da da potisneš skozi celoten prst).

MIHAc27 ::

Pa tudi že pri prenosniku moraš 'pofočkat' vseh pet prstov.... če si vse poškoduješ si pa res štor...

win64 ::

Samo nekaj ne razumem. Za računalnik na drugi strani je to enako kot da bi poslal zelo dolgo geslo".
Edini problem je, ko ga enkrat nekdo pridobi, ga nimaš možnosti zamenjati.
Rešitev?

DarkSite ::

Za starejše je bolj primerno, če jim 1x scenira prst, ko pa da vtipkavajo dvojna trojna gesla. Gre se zato, kaj je bolj user friendly.

Olórin ::

win64 je izjavil:

Samo nekaj ne razumem. Za računalnik na drugi strani je to enako kot da bi poslal zelo dolgo geslo".
Edini problem je, ko ga enkrat nekdo pridobi, ga nimaš možnosti zamenjati.
Rešitev?


rešitev ni potrebna. Še vedno potrebuješ certifikat, namesto pa da vpišeš izjemno dolgo geslo pa samo poskeniraš prst. Vsako leto poskeniraš 1 prst, da se geslo vsako leto spremeni in si v najboljšem primeru dober za 10 let, potem pa zgodbo ponoviš.

Vse ostalo je identično ročnemu vnašanju gesla. nič več, nič manj. Problematika je povsem identična.

Je pa veliko varnejše, saj bodo dedki in babice imeli dobro geslo, namesto ime_vnučka_leto_rojstva. Torej recimo janez14 :D Po možnosti imajo to geslo že 10 let in ga morajo še vedno imeti zapisanega na listku poleg tipkovnice. Pa še to se zmotijo med prepisovanjem.

edit: popravil Janez14 v janez14. Dedki in babice ne znajo komplciirat gesla z velikimi in malimi črkami. :D

Zgodovina sprememb…

  • spremenilo: Olórin ()

alexa-lol ::

Pa grejo prsti

 Demolition man - before

Demolition man - before


 Demolition man - after

Demolition man - after



Log-in to Facebook with an iris scan: Eye-scanner for your PC set to go on the market in months
In the films Minority Report and Demolition Man, and indeed many other sci-fi flicks, iris recognition is used to gain access to top secret files - often with gruesome results.

link_up ::

traparija... komaj smo se resili dodatnih naprav, pa jih spet tiscijo ... bolj primerno bi bilo zaznavati unikaten vzorec bitja srca. :) sicer pa wearable computers bodo tole elegantno resili.
In and Out

SleepyFE ::

alexa-lol je izjavil:

Pa grejo prsti

 Demolition man - before

Demolition man - before


 Demolition man - after

Demolition man - after



Log-in to Facebook with an iris scan: Eye-scanner for your PC set to go on the market in months
In the films Minority Report and Demolition Man, and indeed many other sci-fi flicks, iris recognition is used to gain access to top secret files - often with gruesome results.


Ne grejo prsti, ker če ne teče kri skozi žile ne bo potrebnih lis na sliki. To je omenjeno v novici kot velika prednost pred prstnimi odtisi.

RejZoR ::

SkipEU je izjavil:

Ker do spletne banke dostopamo samo doma? Ali zdaj mislijo, da bomo to napravo nosili s sabo?


Če si pameten, ja. Govorim o tem, da bančništvo uporabljaj samo doma. Skor težko verjamem, da imaš vsak dan opravka s prekladanjem financ, da ne morejo počakat do trenutka, ko prideš domov in urediš zadevo. Če to vlačiš sabo kar kličeš po zlorabi. in potem je jok in stok, ko je uporabniški račun kar naenkrat prazen...
Angry Sheep Blog @ www.rejzor.com

Looooooka ::

Olórin je izjavil:

win64 je izjavil:

Samo nekaj ne razumem. Za računalnik na drugi strani je to enako kot da bi poslal zelo dolgo geslo".
Edini problem je, ko ga enkrat nekdo pridobi, ga nimaš možnosti zamenjati.
Rešitev?


rešitev ni potrebna. Še vedno potrebuješ certifikat, namesto pa da vpišeš izjemno dolgo geslo pa samo poskeniraš prst. Vsako leto poskeniraš 1 prst, da se geslo vsako leto spremeni in si v najboljšem primeru dober za 10 let, potem pa zgodbo ponoviš.

Vse ostalo je identično ročnemu vnašanju gesla. nič več, nič manj. Problematika je povsem identična.

Je pa veliko varnejše, saj bodo dedki in babice imeli dobro geslo, namesto ime_vnučka_leto_rojstva. Torej recimo janez14 :D Po možnosti imajo to geslo že 10 let in ga morajo še vedno imeti zapisanega na listku poleg tipkovnice. Pa še to se zmotijo med prepisovanjem.

edit: popravil Janez14 v janez14. Dedki in babice ne znajo komplciirat gesla z velikimi in malimi črkami. :D


Tole je pač primer butaste implementacije, ki nima z bralnikom ama nič.
Bralnik se lahko uporabi za varno shranjevanje/branje podatkov na tvoji strani. Od tam naprej je vse vprašanje implementacije.
Primer:
Tvoja banka in ti poznata šifrifni ključ s katerim bosta kriptirala sejo. Karkoli pošlješ vedno šfiriraš s tem ključem in nekim inicializacijskim vektorjem, ki ga ob vsakem zahtevku zgeneriraš na novo. Isto počne banka v odgovoru.
Taka seja je popolnoma varna tudi pred MITM napadom.(dokler ne vejo tistega šifrirnega gesla). Še certifikata ne rabiš.
Idealno bi bilo če bi se ta šifrirna gesla in podatki srhanjevali na napravi/računalniku in bili seveda varno zapisani tako, da se da do njih dostopat samo s tvojimi biometričnimi podatki. Ker če ne je isto, kot da dedku na desktop shraniš gesla v datoteko "GESLA.TXT" in čakaš, da mu nekdo hekne mašino...
Še bolj fino bi blo pa to če bi bila zadeva avtomatizirana na nivoju pluginov za brskalnike pa da ti banka omogoči, da tisto šifrirno geslo menjaš preko nekega drugega kanala(Da ne bi nekdo v MITM napadu lepo shranil šifrirnega gesla, ko si ga greš prvič nastavit).

Furbo ::

Vsakič ko se napove nova tehnologija, se nekateri člani tukaj prav morajo delati neumne..

primerjave s filmi.. jamranje o novem HW.. porezani prsti.. krneki

Jaz bi z veseljem nadomestil bedasto generiranje kod s tem čudom, da lahko pridem v spletno banko.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

SleepyFE ::

Looooooka je izjavil:

Olórin je izjavil:

win64 je izjavil:

Samo nekaj ne razumem. Za računalnik na drugi strani je to enako kot da bi poslal zelo dolgo geslo".
Edini problem je, ko ga enkrat nekdo pridobi, ga nimaš možnosti zamenjati.
Rešitev?


rešitev ni potrebna. Še vedno potrebuješ certifikat, namesto pa da vpišeš izjemno dolgo geslo pa samo poskeniraš prst. Vsako leto poskeniraš 1 prst, da se geslo vsako leto spremeni in si v najboljšem primeru dober za 10 let, potem pa zgodbo ponoviš.

Vse ostalo je identično ročnemu vnašanju gesla. nič več, nič manj. Problematika je povsem identična.

Je pa veliko varnejše, saj bodo dedki in babice imeli dobro geslo, namesto ime_vnučka_leto_rojstva. Torej recimo janez14 :D Po možnosti imajo to geslo že 10 let in ga morajo še vedno imeti zapisanega na listku poleg tipkovnice. Pa še to se zmotijo med prepisovanjem.

edit: popravil Janez14 v janez14. Dedki in babice ne znajo komplciirat gesla z velikimi in malimi črkami. :D


Tole je pač primer butaste implementacije, ki nima z bralnikom ama nič.
Bralnik se lahko uporabi za varno shranjevanje/branje podatkov na tvoji strani. Od tam naprej je vse vprašanje implementacije.
Primer:
Tvoja banka in ti poznata šifrifni ključ s katerim bosta kriptirala sejo. Karkoli pošlješ vedno šfiriraš s tem ključem in nekim inicializacijskim vektorjem, ki ga ob vsakem zahtevku zgeneriraš na novo. Isto počne banka v odgovoru.
Taka seja je popolnoma varna tudi pred MITM napadom.(dokler ne vejo tistega šifrirnega gesla). Še certifikata ne rabiš.
Idealno bi bilo če bi se ta šifrirna gesla in podatki srhanjevali na napravi/računalniku in bili seveda varno zapisani tako, da se da do njih dostopat samo s tvojimi biometričnimi podatki. Ker če ne je isto, kot da dedku na desktop shraniš gesla v datoteko "GESLA.TXT" in čakaš, da mu nekdo hekne mašino...
Še bolj fino bi blo pa to če bi bila zadeva avtomatizirana na nivoju pluginov za brskalnike pa da ti banka omogoči, da tisto šifrirno geslo menjaš preko nekega drugega kanala(Da ne bi nekdo v MITM napadu lepo shranil šifrirnega gesla, ko si ga greš prvič nastavit).


No tuki se ti pa podre. Da bi bile stvari na kompu in še varno zapisane. Pa ti razlož dedku kako se kriptira disk, in da ne sme računalnika posojat, ker mu lahko vsak ceu račun sprazne.
To kar je tu predlagano je skoraj idealno. Certifikat poskrbi za zadeve na strani računalnika, čitalec pa zagotovi unikatno dolgo geslo ki ga izredno hitro vneseš in ti ga ne morejo ukrast.

RejZoR je izjavil:

SkipEU je izjavil:

Ker do spletne banke dostopamo samo doma? Ali zdaj mislijo, da bomo to napravo nosili s sabo?


Če si pameten, ja. Govorim o tem, da bančništvo uporabljaj samo doma. Skor težko verjamem, da imaš vsak dan opravka s prekladanjem financ, da ne morejo počakat do trenutka, ko prideš domov in urediš zadevo. Če to vlačiš sabo kar kličeš po zlorabi. in potem je jok in stok, ko je uporabniški račun kar naenkrat prazen...


Res je. To načeloma delaš doma. Če si pa že prenosnik dal v torbo je pa sigurno dovolj prostora za šeeno računalniško miško (približna velikost čitalca).

Zgodovina sprememb…

  • spremenilo: SleepyFE ()

Jupito ::

Philosoraptor: če so debili, ki ničesar ne znajo, dandanes merilo vsega, sem jaz neumen ali pameten, če uporabljam tole?!
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Looooooka ::

No tuki se ti pa podre. Da bi bile stvari na kompu in še varno zapisane. Pa ti razlož dedku kako se kriptira disk, in da ne sme računalnika posojat, ker mu lahko vsak ceu račun sprazne.
To kar je tu predlagano je skoraj idealno. Certifikat poskrbi za zadeve na strani računalnika, čitalec pa zagotovi unikatno dolgo geslo ki ga izredno hitro vneseš in ti ga ne morejo ukrast.

Ukradel boš podatke, ki so kriptirani z uporabo tvojih biometričnih podatkov.
Good luck.
Ko ti bo to ratal boš lahko tud vse kar si zgeneriral z uporabo kergakol certifikata ukradel. Ker je približno na enakem težavnostnem nivoju.
Certifikat ne poskrbi za nič več kot šifriranje. S pravim algoritmom, kriptirnim geslom in inicializacijskim vektorjem, ki ga lahko vsakič spremeniš maš isti(boljši) nivo varnosti. Ravno tako kot se kompleksnost šifriranja certfikatov dviga vsakih par let(prehod iz 1024 na 2048 in slej ko prej na nič manj kot 4096) se lahko komplekstnost šifriranja dvigne s spremembo šifrirnega algoritma. In to brez, da bi komurkoli plačal za "veljaven" certifikat. In fact...tvoja banka ti lahko da na voljo n-šifrirnih algoritmov pa si sam zbereš kerga boš uporabljal. Danes SHA256, jutri SHA512, SHA8000 če bo kdaj...
In again. Preberi še enkrat. Šifrirno geslo NI geslo, ki ga vpisuješ kamorkol. Vpiše se ga enkrat na strani banke in na strani programa, ki skrbi za generiranje šifriranih podatkov v kombinaciji z IV kodo(ki je VSAKIČ unikatna). Ravno zato sem napisal, da bi blo treba met 2 kanal po katerem lahko to geslo spremeniš kadar hočeš. Menjava kompromitiranega certifikata je dejansko "težja", kot menjava šifrirnega gesla(again po drugem kanalu). Pa še plačat ti ni treba za novega. Pa zamenjal bi ga lahko 50x na dan če bi ti pasalo. Certifikat lahko tvojemu dedku prav tako spizdim(če mam dostop do tvoje mašine) pa bo mrzel cel teden(približno tok bo recimo kakšen klik od nlb-ja rabil, da ti pošlje novega). Menjava šifrirnega gesla preko drugega kanala bi bila lahko izvedena v 1 sekundi.
Certifikati bodo slej ko prej mogli it v pozabo in služiti zgolj kot dokaz, da se pozna lastnika spletne strani. Pa še zato bo treba prvo ukinit možnost anonimnega nakupa le-teh. V svetu varnosti so pa čisto nepotrebna zadeva in so tam zgolj zato, da ti lahko na 2 leti nekdo zaračuna za novega. Konec koncev...za verifikacijo bitcoinov je dovolj matematika a ne? Nihče ne rabi certifikatov pa gre tam za malce bolj pomembne zadeve kot so "varna povezava do bloga".

Looooooka ::

če hočemo met certifikate samo zarad public/private key logike pa že leta in leta obstaja PGP.

McMallar ::

Biometricni podatki so lahko samo username, nikoli pa geslo. Mislim, da bi to moralo biti logicno...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

cegu ::

Looooooka je izjavil:


Certifikati bodo slej ko prej mogli it v pozabo in služiti zgolj kot dokaz, da se pozna lastnika spletne strani.


Certifikati ali CAji? V primeru identifikacije osebe še vedno rabiš nekoga, ki jamči, da je ta-in-ta EMŠO povezan s tem-in-tem ključem.

Zgodovina sprememb…

  • spremenil: cegu ()

SkipEU ::

RejZoR je izjavil:

SkipEU je izjavil:

Ker do spletne banke dostopamo samo doma? Ali zdaj mislijo, da bomo to napravo nosili s sabo?


Če si pameten, ja. Govorim o tem, da bančništvo uporabljaj samo doma. Skor težko verjamem, da imaš vsak dan opravka s prekladanjem financ, da ne morejo počakat do trenutka, ko prideš domov in urediš zadevo. Če to vlačiš sabo kar kličeš po zlorabi. in potem je jok in stok, ko je uporabniški račun kar naenkrat prazen...


A to je tisto, da je kriv tisti, ki dela, ne tisti, ki krade? Drugače pa jaz tvoj nasvet uvrščam med tehnološko paranojo. Tako kot je bila in še v tej državi vedno je uporaba kreditnih kartic za spletne nakupe.

link_up ::

Mcmallar, zelo logicno!
In and Out


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

E-bančništvo z bralnikom prepleta ven na prstu

Oddelek: Novice / Znanost in tehnologija
2511785 (8203) link_up
»

Kreditna kartica s čitalnikom prstnih odtisov

Oddelek: Novice / Omrežja / internet
3411880 (9324) Jackass
»

Nemški varuh zasebnosti proti čitalcu prstnih odtisov v iPhonu (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10452548 (47044) AndrejO
»

V potnih listih kmalu tudi prstni odtisi

Oddelek: Problemi človeštva
314371 (3357) Icematxyz
»

Konec gesel

Oddelek: Novice / Varnost
494419 (3152) Jux

Več podobnih tem