有没有办法使用指纹对网站进行身份验证?
我在想下面的场景。
但是,这似乎很不安全。获取别人指纹的 jpg 并将其转换为相同的 ISO 19794-2 模板并不难。然后通过将用户 ID 和模板发送到网站来以编程方式登录网站。
是否有允许人们使用指纹登录网站的安全算法/设计?
这是指纹扫描仪和您网站的验证逻辑之间的可信路径问题。如果有人可以伪装成有效的客户并向您的应用程序提交登录请求,那么您的方案就会被破坏。
我认为你能做的最好的是使用两因素身份验证,我会请求用户密码,并将其作为输入提供给一些 PKDF,并用它加密登录请求,这样如果有人得到用户指纹,他就不会能够在不知道用户密码的情况下伪造登录请求。此外,生物识别主要是作为额外的身份验证因素完成的,而不是唯一的一个。
如果你不想这样做,你可以混淆应用程序代码,用一次性密钥发出它,这将在很短的时间内有效,以最大限度地减少逆向工程的风险,并用这个密钥签署请求,但它是不是很安全,它需要大量的工作而没有任何显着的安全性增加。
从客户端读取指纹并进行身份验证是很有可能的。但这必须得到扫描仪制造商的支持。链接:http ://camsunit.com/application/javascript-based-fingerprint-scanner-for-website-authentication-and-attendance.html共享用于与指纹扫描仪通信的 javascript API。其中一项操作是 CaptureAndVerify,它使用新捕获的模板验证加密的现有模板,并将响应直接传递给服务器,以确保安全地进行身份验证。