指纹扫描仪如何保护其存储的指纹数据？

Question

在我的指纹扫描仪上，指纹存储在设备本身中。我敢肯定，这和他们中的大多数人一样。

扫描仪如何保护/加密指纹数据，以使其他人无法直接从扫描仪中提取此信息并使用它进行身份验证？我知道这需要很高的技能，但是我敢肯定，想到这种可能性的不止我一个人。

Answer 1

指纹设备通常不会加密或存储您的指纹数据。通常情况如下：

• 针对某些控制点分析您的指尖扫描
• 这些位置生成一个令牌
• 此令牌的使用与密码哈希类似，并被传递给身份验证应用程序
• 与应用程序的通信可能会使用特定时间的密钥进行加密，以避免replay attacks

这类似于密码哈希的存储方式，根据@Wiso 的回答，在影子密码文件或 Windows 下的 SAM 文件中。

因此，如果您正在查看控件，关键元素是设备用于生成令牌的算法、设备与应用程序之间的通信以及应用程序使用的存储空间。

Answer 2

我认为您的设备并未加密您的指纹数据。假设确实如此，您的设备将在哪里存储解密它的密钥？通常从系统密码系统使用salt从密码创建hash，查看shadow password。