Tuxicoman : Une empreinte de doigt ne devrait pas être utilisée comme mot de passe
mardi 13 octobre 2015 à 10:04Un mot de passe, ça doit pouvoir se changer. Si votre accès est compromis, la première chose que vous devez faire, c’est changer le mot de passe.
Si votre mot de passe est votre empreinte biométrique et que quelqu’un a votre empreinte, vous faites comment, vous changez de doigt ou d’œil ?
Et ce n’est pas comme si c’était difficile de récupérer une trace que vous posez partout. Si l’accès par empreinte de doigt se démocratise, il suffira que vous ayez posé le doigt sur un lecteur d’empreinte géré par un tiers malhonnête (un lecteur d’empreinte sait se cacher dans un bouton de téléphone…) pour que votre empreinte soit dans la nature et puisse être utilisée pour accéder à tous vos appareils, données, moyens de paiement, portes, etc… Ce n’est pas difficile de tromper un lecteur d’empreinte avec une copie d’empreinte.
D’ailleurs, vous utilisez peut être déjà un lecteur d’empreinte (téléphone, ordinateur, etc..), êtes vous sûr que votre empreinte n’est jamais sortie de votre appareil? Seule l’implémentation logicielle du service derrière le lecteur d’empreinte vous le garantit.
Est ce que le service récupère toute votre empreinte, un hash, un hash salé? Est ce qu’il l’envoie sur un serveur à distance pour vous reconnaître sur un autre terminal? Et si un virus se mettait à récupérer les empreintes de doigts ?
Quand bien même, les empreintes servent depuis longtemps de moyen d’identification et de larges bases de données ont déjà été constituées (passeports, carte d’identité, etc…) et les détenteurs de ces bases stockeraient donc vos mots de passe? Intéressant…. Que dites-vous de savoir qu’aux USA, l’ Office of Personnel Management s’est fait dérobé les empreintes de doigts de plus 5 millions d’américains ?
Bilan, une empreinte de doigt devrait être considérée comme une photographie de votre visage. Elle vous identifie assez bien mais il faut connaître ses limites. Si l’authentification à votre compte bancaire se faisait par votre visage devant une caméra, il suffirait de découper une photo de vous pour tromper la caméra. C’est pareil avec les empreintes. Et vous ne pouvez changer de visage ni de doigt.
Related Posts:
- Changer son adresse MAC de manière permanente sous Android
- Attaque brute-force en Python sur chiffrement en GPG symétrique
- Cloud personnels, attention à la fonctionnalité d’accès à distance
- Tracking par les émissions Wifi et Bluetooth
- Jeter un disque dur
(9)Ferme-la !
(1)
Original post of Tuxicoman.Votez pour ce billet sur Planet Libre.
