Estas aquiContenido / Otra de "molaware": Jaqueado el lector de huellas dactilares de Microsoft
Otra de "molaware": Jaqueado el lector de huellas dactilares de Microsoft
"Conéctate con tu dedo. Di adiós a las contraseñas."
Así dice -aún- la página sobre Microsoft Fingerprint Reader, el lector de huellas dactilares de Microsoft que acaba de ser jaqueado por Mikko Kiviharju, un investigador que trabaja para el ejército finlandés.
Dado que la huella dactilar no es cifrada en ningún momento, Kiviharju ha demostrado en Black Hat Europe 2006 que puede ser interceptada por un sniffer y utilizarse para acceder al ordenador -o al sitio web- presuntamente protegido.
Según PCWorld, no se pudo localizar a ningún responsable de Microsoft para que comentara el asunto...
Sin embargo, cuando el dispositivo fue presentado hace un año ya se dijo:
'Microsoft Fingerprint Reader' no debe de usarse para proteger información confidencial o para acceder a redes corporativas, ya que esos casos será mejor seguir utilizando una contraseña apropiada.
Pero ¿acaso no es ya una información suficientemente confidencial -por personalísima- la propia huella digital del usuario?
- Researcher Hacks Microsoft Fingerprint Reader [PCWorld]
- Why Microsoft's Fingerprint Reader Is Not a Security Feature [La presentación original en Black Hat. PDF, 3.7 MB]
Versión para imprimir
Como siga la moda del "molaware" con el tema de la biometría, me veo cortándome un dedo o sacándome un ojo y entregándolo a un notario, para evitar que me limpien la cuenta.
Conéctate con contraseña, o di adiós a tu dedo. ;-).
Hablando en serio, uno de los requisitos básicos de un sistema de seguridad ha de ser la flexibilidad y adaptabilidad al entorno, cosas que no están al alcance de los sistemas biométricos.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
La biometría, por sí sola, no es una garantía de seguridad. Debe combinarse con otros mecanismos, como contraseñas o PINs para que sea efectiva (lo que se viene a denominarse two-factor o three-factor authentication, dependiendo del número de elementos independientes que intervengan en el proceso de autentificación).
Además, las características biométricas de un individuo son únicas, algunas son públicas, pero lo más importante es que son irrevocables. Si alguien es capaz de sacar un duplicado de tu huella digital, ésta deja de tener validez para servir, por sí sola, como mecanismo de autentificación.
Así que mucho cuidado con los sistemas de autentificación que sólo utilizan biometría. Son, intrínsecamente, inseguros.
Estos finlandeses maleducados... primero inventan Linux y luego hackean lector de huellas dactilares de Microsoft.
Seran los nuevos ciberterristas del siglo XXI?
Ya me imagino a los marines con el logo de MS en sus uniformes invadiendo Finlandia.
Así que es facil que se hubieran contaminado por los malos malosos...
Lo que se quiere conseguir con estos hechos es demostrar que se tiene que mejorar el sistema y con esto ganamos todos