@LogiDeuchnord Normalement on utilise ARM TrustZone pour ce genre d'opérations délicates, même si ce n'est pas infaillible (voir blackhat.com/docs/us-15/materi).

Je trouve un peu « osé » de dire qu'un code PIN est plus sécurisé qu'une empreinte biométrique, il faudrait p-ê rappeler que c'est selon tes critères et sur téléphone.

Si on veut garantir « l'accès à une personne physique uniquement » alors les critères sont autres (datacenter, etc.).

Je n'ai pas vu le « schéma » Android, c'est un code PIN?

@MicroJoe bien vu pour le code PIN, je vais repréciser ça, merci :)
Le tableau ne cite que quelques méthodes d'authentification, je ne cherchais pas à être exhaustif ^^

@LogiDeuchnord « c'est une version numérique de votre empreinte digitale qui est utilisée (et c'est un des rares cas où vous pouvez utiliser les termes numérique et digital dans une même phrase) » J’ai rigolu 🤣

@LogiDeuchnord donc pas le seul a ne pas utiliser ce gadget. Pour les questions d'accessibilité étant mal-voyant, ça ne change pas fondamentallement les critères, dans mon cas l'OTP est un peut moins pratique a utiliser... l'authentification par shema a aussi ce soucis. J'aimerait bien que Nitrokey supporte android (ou l'inverse) histoire d'avoir une authentification, simple et sécurisé !

@LogiDeuchnord

Merci, c'est intéressant.
Part contre, je ne sais pas si c'est volontaire, mais la partie sur le stockage des données biométriques me semble trop simpliste.

Ça laisse penser que les empreintes digitales (ou autres) sont stockées directement (chiffrées ou non) alors que se sont des templates, souvent normalisés, qui sont utilisés pour la validation.

Sans parler des environnements d'exécution sécurisés.
Comme avec un hash, impossible de remonter à l'image source.

@Torrone oui, j'ai essayé de vulgariser le plus possible afin de rendre l'article aussi accessible que possible, ce qui m'a obligé à faire des concessions. Mais tu as tout à fait raison, le système utilise seulement quelques points clés de l'empreinte pour l'authentification, et croise bien les doigts pour ne pas tomber sur quelqu'un qui n'a pas un pattern un peu trop similaire :)

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!