nicht angemeldet
Fingerpirnt Reader für anmeldung auf Webseite
suitGuten Tag
Ich möchte, dass sich Benutzer mittels Fingerabdruck auf einer Webseite anmelden können.
Nicht ganz klar ist mir, wie die Fingerprint Information auf die Webseite kommt.
Ich stelle mir vor, dass ich auf der Webseite in ein <input type="text"... Feld klicke und dann mit dem Finger über den Reader fahre.
Dieser überträgt dann eine Nummer ins <input type... Feld.
So kann die Webseite die Person identifizieren.
Ist das so möglich?
Muss man da spezielle Fingerprint-Software haben?
Welche?
Hat jemand damit Erfahrung?
Besten Dank bereits im Voraus für jegliche Hilfe!
Cu
Schorsch
-
Dein Problem ist kein Problem der Webseite, sondern eine Frage des Readers.
Die Seite merkt nicht wer da was eingibt. Das muss ein Treiber des Readers übernehmen, der dann wahrscheinlich Tastaturereignisse simuliert.-
Mahlzeit Encoder,
Dein Problem ist kein Problem der Webseite, sondern eine Frage des Readers.
Die Seite merkt nicht wer da was eingibt. Das muss ein Treiber des Readers übernehmen, der dann wahrscheinlich Tastaturereignisse simuliert.... die natürlich manipuliert werden können. Sinnhaftigkeit des Vorgehens: 0.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:| -
Die Seite merkt nicht wer da was eingibt. Das muss ein Treiber des Readers übernehmen, der dann wahrscheinlich Tastaturereignisse simuliert.
Und welcher Finger-Print Treiber kann das?
Cu
Schorsch-
Die Seite merkt nicht wer da was eingibt. Das muss ein Treiber des Readers übernehmen, der dann wahrscheinlich Tastaturereignisse simuliert.
Und welcher Finger-Print Treiber kann das?
Es gibt 1.000 Barcode-Scanner am Markt die das tun, da wirds wohl auch einen Fingerabdruckscanner geben.
-
Es gibt 1.000 Barcode-Scanner [...] da wirds wohl auch einen Fingerabdruckscanner geben.
Vielleicht weiss jemand, welcher sich besonders für mein Anliegen eignet...
Cu
Schorsch-
Vielleicht weiss jemand, welcher sich besonders für mein Anliegen eignet...
Kauf dir einfach irgend "einen" der auf Windows, Mac OS und Linux - oder was du halt brauchst - funktioniert und schau dir das Ding an.
No-Name-USB-Scanner gibts schon ab rund 25 Euro, da ist nicht viel verloren.
-
-
-
-
-
Mahlzeit Schorsch,
Nicht ganz klar ist mir, wie die Fingerprint Information auf die Webseite kommt.
Verlässlich? Gar nicht.
Ich stelle mir vor, dass ich auf der Webseite in ein <input type="text"... Feld klicke und dann mit dem Finger über den Reader fahre.
Dieser überträgt dann eine Nummer ins <input type... Feld.Aha. Dir ist aber schon klar, dass diese "Nummer" dann in beliebiger Form manipulierbar ist?
So kann die Webseite die Person identifizieren.
Kann sie nicht.
Ist das so möglich?
Nein. Jedenfalls nicht eindeutig.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|-
Aha. Dir ist aber schon klar, dass diese "Nummer" dann in beliebiger Form manipulierbar ist?
Das ist ein schwaches Argument, auch die "Nummer" die man in ein Benutzer- und Passwortfeld eingibt, lässt sich beliebig manipulieren ;)
-
Mahlzeit suit,
Aha. Dir ist aber schon klar, dass diese "Nummer" dann in beliebiger Form manipulierbar ist?
Das ist ein schwaches Argument, auch die "Nummer" die man in ein Benutzer- und Passwortfeld eingibt, lässt sich beliebig manipulieren ;)
Sicher ... aber das Szenario ist doch das Folgende:
Schorsch will, dass der Benutzer einfach nur seinen Finger auf den Reader legt, dieser soll dann den ermittelten Wert per Web-Formular an den Server übertragen. Die Frage ist, ob das funktioniert und - implizit - ob das *zuverlässig* und *eindeutig* möglich ist (schließlich geht es Schorsch ja um das "Identifizieren" von Personen ... und da ist es so ähnlich wie mit Validität von HTML-Dokumenten: "ein bisschen identifiziert" ist gleichbedeutend mit "nicht identifiziert").
Ob das Manipulieren auch bei anderen Formularen möglich ist, steht nicht zur Debatte (natürlich ist es das) - es geht schlicht und ergreifend darum, ob eine Identifizierung auf die beschriebene Weise zuverlässig möglich ist. Antwort: nein, ist sie nicht(*). Fertig.
(*) Da man nicht sicherstellen kann, dass der Wert, den der Fingerabdruckleser ermittelt hat, ohne Manipulationen bis zum Webserver gelangt.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|-
(*) Da man nicht sicherstellen kann, dass der Wert, den der Fingerabdruckleser ermittelt hat, ohne Manipulationen bis zum Webserver gelangt.
Sicher kann man das - wenn z.B. der Webserver und der Fingerabdruckleser mit einem Asynchronen verschlüsselungsverfahren Arbeiten.
Der Server übermittelt eine Prüfzeichenkette die der Fingerabdruckscanner (entsprechend behandelt) wieder einbauen muss - ist diese in übermittelten "Fingerabdruck" nicht vorhanden, ist die Übertragung gefälscht - also quasi eine digitale Signatur für die Kommunikation.
Mit ist aber nicht bekannt, das so ein System in den billigen Fingerabdruckscannern existiert.
Aber wie bereits erwähnt gibt es bei denen ohnehin ganz andere Probleme, die weit schwerwiegender sind.
-
Mahlzeit suit,
Sicher kann man das - wenn z.B. der Webserver und der Fingerabdruckleser mit einem Asynchronen verschlüsselungsverfahren Arbeiten.
Aber nicht auf dem beschriebenen Weg mittels Webformular und
<input type="text">, in das irgendein Treiber(?) irgendetwas hineinschreibt, das beliebig manipulierbar ist und das dann (per "Key send"? per clientseitigem Javascript? per manuellem Mausklick?) abgeschickt wird.Der Server übermittelt eine Prüfzeichenkette die der Fingerabdruckscanner (entsprechend behandelt) wieder einbauen muss - ist diese in übermittelten "Fingerabdruck" nicht vorhanden, ist die Übertragung gefälscht - also quasi eine digitale Signatur für die Kommunikation.
Mit bidirektionaler Kommunikation kein Problem - aber auf dem von Schorsch beschrieben Weg geht es nun mal definitiv nicht (so einfach).
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
-
-
-
-
-
'ǝɯɐu$ ıɥ
Warte bis der neue Perso. kommt.
ssnɹƃ
ʍopɐɥs--
I like children. If they're properly cooked.
- W.C. Fields-
Salve
Warte bis der neue Perso kommt.
Merci für den Tipp,
aber ich warte nicht gerne...;-)
-
Hi,
Merci für den Tipp,
aber ich warte nicht gerne..."O Herr, schenk mir Geduld ... und zwar 'n bisschen plötzlich!"
Cheatah, SCNR
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-
-
So kann die Webseite die Person identifizieren.
Nein, sie kann den Fingerabdruck identifizeren - die meisten Reader lassen sich sogar mit einem guten Foto/Ausdruck eines Fingerabdrucks überlisten oder verweigern schon mal den echten Fingerabdruck, wenn man eine Verletzung hat oder vergleichbares.
Die meisten einfachen Fingerabdruckscanner funktionieren halt rein visuell, sollten aber auch weitere Merkmale überprüfen - etwa mittels kapazitivem Sensor oder mittels temperaturabhängigem Sensor.
Ist das so möglich?
Pinzipiell ja, aber sinnvoll ist diese Art der biometrischen Erkennung keineswegs, da sie bei weitem am Massenmarkt noch nicht ausgereift ist und eben wie oben beschrieben nicht komplex genug funktioniert.
Muss man da spezielle Fingerprint-Software haben?
Ja.
Welche?
http://redoneill.free.fr/fingerfox/
Ist ein Firefox-Add-On dessen Quelltext du dir ansehen kannst - das Ding funktioniert aber nur mit dem Microsoft-Reader (der ist z.B. auch in diversen Microsoft-Keyboards verbaut).
Hat jemand damit Erfahrung?
Schlechte, denn jeder Reader hat quasi sein eigenes System - da wird seit 10 Jahren gestritten, welches Verfahren man nun anwendet, um die Fingerabdrücke zu vergleichen bzw. in "Textform" umzuwandeln.
Dazu kommen natürlich die oben genannten Probleme.
-
http://redoneill.free.fr/fingerfox/
Wow, sehr spannend!
Gibt auch noch eine Lösung ohne Microsoft?
Plattformunabhängig irgendwie?
Oder zumindest für den Mac?Cu
Schorsch
-
-
Moin!
Dein Verfahren is nichts anderes als jede andere Identifikation auch. Du wuerdest auf diese Art lediglich den User davon entbinden ein Passwort einzugeben. Das uebernaehme der Reader. Klar: Passworte wie kevin1995 wuerden dan wegfallen und ein Hacken bestimmter Accounts wuerde sich als schwieriger gestalten. Ansonsten ist es aber nichts anderes als wuerde ich meine Passwoerter in meiner Maus speichern und die dann per Tastendruck eingeben lassen.
Mal ne Frage aus Neugier: Wofuer soll denn das sein, dass du davon ausgehst, ein Fingerprintreader waere vorhanden?
--
Ich bin dafuer verantwortlich was ich sage, nicht dafuer, was Du verstehst.-
Salut
auf diese Art lediglich den User davon entbinden ein Passwort einzugeben.
Genau, darum geht es mir.
Mal ne Frage aus Neugier: Wofuer soll denn das sein, dass du davon ausgehst, ein Fingerprintreader waere vorhanden?
Fingerprint-Reader an ein Compi anschliessen und wenn
der Benutzer kommt, um in der Webapp einen Eintrag zu machen
braucht er seinen Finger als Login...Cu
Schorsch-
Mahlzeit Schorsch,
auf diese Art lediglich den User davon entbinden ein Passwort einzugeben.
Genau, darum geht es mir.Das heißt, Du willst nicht, dass "die Webseite die Person identifizieren" kann? Dann hättest Du das auch schreiben sollen.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|-
Salut EKKi
Das heißt, Du willst nicht, dass "die Webseite die Person identifizieren" kann?
Tschuldigung,
identifizieren im Sinne von:Wenn Hans den Finger drauf hält, bekommt die Webseite
die Nummer von Hans.Natürlich kann Evi auch den Finger von Hans abschneiden
und drauf halten, oder Hans trickst das ganze gleich selber aus...Identifizieren im Sicherheits-Kontext: darum geht es nicht.
Cu
Schorsch
-
-
-
-
Holla!
Vielen Dank bereits für all eure Inputs!
Wichtig:
**Die Sicherheit spielt keine Rolle.**Ich möchte nur wissen, ob es technisch machbar ist,
wenn ja wie, welche Software, welche Komponenten.Cu
Schorsch-
Ich möchte nur wissen, ob es technisch machbar ist,
wenn ja wie, welche Software, welche Komponenten.Was mich interessiert: ist das eine kontrollierte Umgebung in der du die Hardware bestimmst oder soll das für "alle" in the wild zugänglich sein?
-
Was mich interessiert: ist das eine kontrollierte Umgebung in der du die Hardware bestimmst oder soll das für "alle" in the wild zugänglich sein?
Zur Zeit ist die Umgebung kontrolliert.
Es soll auf einem Mac laufen.Später ist eine eher unkontrollierte Umgebung
mit diversen Netbooks möglich.Aber wie gesagt, vorerst bin ich zufrieden,
wenn es in der kontrollierten Umgebung funktioniert.Cu
Schorsch
-
-