Kako moze ANALOGNA stvar i input da bude konstantna?
FP je nesto sto se gleda sa "odredjenom tacnoscu", ali ta tacnost nije ni bliu 99% i na najboljoj opremi, a kamoli 100%. A samo 100% bi znacilo da je FP identican.
Kada uredjaj (bilo koji) skenira FP prvi put, on napravi neki image (svaki pravi neki tip za sebe, zato neki uredjaji rade bolje od drugih, sa istim FP senzorom).
Kada sledeci put stavis prst, on ne moze da uporedi da je to 100% identicno kao i prvi snimak. Koza se menja, to je ogran, a i ceo pristup je skroz analogni
Da bi "potvrdio" FP, ima algoritam koji otprilike uporedi da li se novi sken slaze sa nekom slikom koju je napravio pri prvom skenu (ili nakon prvih nekoliko skeniranja).
To poredjenje nije 100%, cak je ispod 60% na nekim uredjajima.. Ali je dovoljno za potrebe obicnog telefona npr., gde i da se nadje neko sa slicnim FPom sansa je 1 u 7 milijardi da ce bas ta osoba ti uzeti telefon.
Znaci da bi FP cuvao neki zasticeni podatak, to je moguce jedino
ako se koristi prvobitni, staticni, i u telefonu cuvani sken otiska prsta. Taj podatak nije zasticen novim skeniranjem! To je samo potvrda da "ti ulazis" i da "dobijes pristup".
Ali token (ili sta god da se koristi) mora necim sto vec stoji na telefonu (PIN, sifra, prvobitni sken FPa) da se zastiti.
Kako funkcionise kada se zastiti PINom? In a nutshell:
- Generise se random DEK (Data Encryption Key), kojim se enkriptuje token.
- DEK se ne cuva nigde! Bukvalno
- Enkriptuje se DEK KEK-om (KEK je PIN u ovom slucaju, ali nije toliko prosto, nece biti sifra od 4 CIFRE
)
- Taj encrypted DEK_KEK se hashuje sa salt-om
- DEK_KEK se cuva na telefonu.
Kada se ukuca PIN:
- Urade se predzanja dva koraka, i uporedi se sa sacuvanim hash-om
Primetite da se DEK nikada ne cuva nigde, kao ni KEK! Hash nije nesto iz cega se moze vratiti podatak (bez uzasnog brute force-a)
U slucaju da je FP zastita, FP bi morao da se cuva kao KEK (a sada se cuva samo kao "otprilike KEK").
OK na telefonima kao "sistem daje samo aplikaciji koja je upisala podatak da ga cita", ali malware i bugovi u sistemu nisu dovoljno retki da se FP koristi.
Pa koliko je to cesto? I itekako ne treba pred drugima. To je prva greska (kao i uvek - korisnik je slaba tacka svakog sigurnosnog sistema).
PIN se koristi kod nas, gde mBanking ne moze mnogo toga da uradi (mada me plasi koliko moze KomBankov, jer jos uvek ne znam koji je limit za transfer bez provere!)
U JK moze PIN i FP za ULAZ u mBanking samo, dakle osnovni pregled. Ne moze ni interni transfer/menjacnica bez 2FA (obicno je to TAN, u vidu nekog generatora koji se dobija, kao Okta/Google/MS Verify app, ALI ako je app ne sme biti na istom telefonu). Dok sa user/pass mogu da uradim manje transfer i menjacnicu da koristim u eBankingu.
U Nemackoj ne znam kako se radi sada uglavnom, ali jos pre 20 godina je TAN bio obavezan za sve izmene cak i na eBankingu.
DB24 ima TAN app recimo. Moze login FPom, ali ne i transakcije.
![[SAJ]ber Kurajber](/data/avatars/m/4/4607.jpg?1719193757){kind=avatar}
