Authen'ca'on CS461/ECE422 Spring 2012 Readings Chapter - - PowerPoint PPT Presentation

Authen'ca'on ¡

CS461/ECE422 ¡ Spring ¡2012 ¡

Readings ¡

• Chapter ¡3 ¡from ¡text ¡
• Rainbow ¡tables ¡

– hCp://kestas.kuliukas.com/RainbowTables/ ¡

• Chapter ¡10 ¡from ¡Handbook ¡of ¡Applied ¡

Cryptography ¡h5p:// www.cacr.math.uwaterloo.ca/hac/about/ chap10.pdf ¡ ¡

Overview ¡

• Basic ¡elements ¡of ¡Authen'ca'on ¡
• Password ¡Systems ¡
• Token ¡Based ¡Systems ¡
• Biometrics ¡

4 ¡

Ivanhoe, ¡Sir ¡Walter ¡ScoC ¡

• Paraphrased: ¡

(Wamba ¡gains ¡entry ¡to ¡the ¡castle ¡dressed ¡as ¡a ¡friar) ¡ Wamba: ¡ ¡Take ¡my ¡disguise ¡and ¡escape, ¡I ¡will ¡stay ¡and ¡die ¡in ¡ your ¡place. ¡ Cedric: ¡ ¡I ¡can’t ¡possibly ¡impersonate ¡a ¡friar, ¡I ¡only ¡speak ¡

• English. ¡

Wamba: ¡ ¡If ¡anyone ¡says ¡anything ¡to ¡you, ¡just ¡say ¡“Pax ¡ vobiscum.” ¡ Cedric: ¡ ¡What ¡does ¡that ¡mean? ¡ Wamba: ¡ ¡I ¡don’t ¡know, ¡but ¡it ¡works ¡like ¡a ¡charm! ¡

5 ¡

Basics ¡

• Authen'ca'on: ¡binding ¡of ¡iden'ty ¡to ¡subject ¡

– Iden'ty ¡is ¡that ¡of ¡external ¡en'ty ¡(my ¡iden'ty, ¡the ¡ Illini ¡Union ¡Bookstore, ¡etc.) ¡ – Subject ¡is ¡computer ¡en'ty ¡(process, ¡network ¡ connec'on, ¡etc.) ¡

– Two ¡steps ¡

– Iden'fica'on ¡step: ¡present ¡iden'fier ¡to ¡security ¡

• system. ¡ ¡Registra'on ¡

– Verifica'on ¡step: ¡Present ¡or ¡generate ¡ authen'ca'on ¡informa'on ¡that ¡corroborates ¡the ¡ binding ¡between ¡en'ty ¡and ¡iden'fier ¡

6 ¡

Establishing ¡Iden'ty ¡

• One ¡or ¡more ¡of ¡the ¡following ¡

– What ¡en'ty ¡knows ¡(e.g. ¡password, ¡private ¡key) ¡ – What ¡en'ty ¡has ¡(e.g. ¡badge, ¡smart ¡card) ¡ – What ¡en'ty ¡is ¡(e.g. ¡fingerprints, ¡re'nal ¡characteris'cs) ¡ – What ¡en'ty ¡does ¡(e.g., ¡voice ¡paCern, ¡handwri'ng, ¡typing ¡ rhythm) ¡ – Where ¡en'ty ¡is ¡(e.g. ¡In ¡front ¡of ¡a ¡par'cular ¡terminal) ¡

• Example: ¡ ¡scene ¡from ¡Ivanhoe ¡
• Example: ¡ ¡Credit ¡card ¡transac'on ¡
• Mul'-­‑factor ¡authen'ca'on ¡
• Use ¡mul'ple ¡elements ¡to ¡prove ¡iden'ty ¡

Complementa'on ¡Informa'on ¡

• User ¡provides ¡informa'on ¡to ¡verify ¡iden'ty ¡
• System ¡stores ¡a ¡processed ¡version ¡of ¡this ¡

informa'on ¡as ¡the ¡complementaEon ¡ informa'on ¡

• The ¡complementa'on ¡func'on ¡maps ¡from ¡the ¡

user ¡provided ¡data ¡to ¡the ¡system ¡stored ¡data ¡

Password-­‑based ¡Authen'ca'on ¡

• External ¡en'ty ¡is ¡bound ¡to ¡system ¡ID ¡(user ¡

account) ¡

• Authen'ca'on ¡Step ¡

– External ¡en'ty ¡presents ¡password ¡ – System ¡compares ¡with ¡previously ¡stored ¡password ¡ – If ¡password ¡matches, ¡system ¡starts ¡process ¡with ¡ bound ¡ID ¡

• Later ¡access ¡control ¡decisions ¡made ¡against ¡ID ¡
• Privilege ¡decisions ¡made ¡against ¡ID ¡

Password ¡Vulnerabili'es ¡

• Password ¡systems ¡widely ¡used, ¡but ¡very ¡

vulnerable ¡

– Offline ¡dic'onary ¡aCack ¡ – Specific ¡account ¡aCack ¡ – Worksta'on ¡hijacking ¡ – S'cky ¡notes ¡ – Password ¡reuse ¡ – Social ¡engineering ¡ – Electronic ¡monitoring ¡

10 ¡

Password ¡Storage ¡

• Store ¡as ¡cleartext ¡

– If ¡password ¡file ¡compromised, ¡all ¡passwords ¡revealed ¡

• Encipher ¡file ¡

– Need ¡to ¡have ¡decipherment, ¡encipherment ¡keys ¡in ¡ memory ¡ – Reduces ¡to ¡previous ¡problem ¡

• Store ¡one-­‑way ¡hash ¡of ¡password ¡

– If ¡file ¡read, ¡aCacker ¡must ¡s'll ¡guess ¡passwords ¡or ¡ invert ¡the ¡hash ¡

11 ¡

Unix ¡Password ¡Hash ¡Example ¡

• Original ¡UNIX ¡system ¡standard ¡hash ¡func'on ¡

– Hashes ¡password ¡into ¡13 ¡char ¡string ¡

– As ¡authen'ca'on ¡system: ¡

– Authen'ca'on ¡informa'on ¡is ¡strings ¡of ¡8 ¡characters ¡or ¡ less ¡ – System ¡stores ¡hash ¡with ¡user’s ¡iden'ty ¡in ¡password ¡file ¡

– Hash ¡is ¡complementa'on ¡informa'on ¡

– Verifica'on ¡func'on ¡is ¡hash ¡on ¡password ¡and ¡ comparison ¡with ¡stored ¡hash ¡

12 ¡

Sal'ng ¡

• Have ¡a ¡set ¡of ¡n ¡hash ¡func'ons ¡

– Randomly ¡select ¡one ¡func'on ¡when ¡registering ¡ new ¡authen'ca'on ¡info ¡ ¡ – Store ¡ID ¡of ¡func'on ¡with ¡registered ¡info ¡

• ACacker ¡must ¡try ¡all ¡n ¡func'ons ¡to ¡see ¡if ¡his ¡

guess ¡matches ¡any ¡password ¡

• When ¡does ¡this ¡help? ¡ ¡When ¡does ¡it ¡not? ¡

13 ¡

Examples ¡

• Vanilla ¡UNIX ¡method ¡

– Use ¡DES ¡to ¡encipher ¡0 ¡message ¡with ¡password ¡ as ¡key; ¡iterate ¡25 ¡'mes ¡ – Perturb ¡E ¡table ¡in ¡DES ¡in ¡one ¡of ¡4096 ¡ways ¡

• 12 ¡bit ¡salt ¡flips ¡entries ¡0–11 ¡with ¡entries ¡24–35 ¡
• E ¡Table ¡is ¡per ¡round ¡expansion ¡table ¡
• Alternate ¡methods ¡

– Use ¡salt ¡as ¡first ¡part ¡of ¡input ¡to ¡hash ¡func'on ¡

14 ¡

Dic'onary ¡ACacks ¡

• Trial-­‑and-­‑error ¡from ¡a ¡list ¡of ¡poten'al ¡

passwords ¡

– Off-­‑line ¡(type ¡1): ¡know ¡func'ons ¡and ¡registered ¡ informa'on, ¡ ¡and ¡repeatedly ¡try ¡different ¡ guesses ¡g ¡∈ ¡A ¡un'l ¡the ¡list ¡is ¡done ¡or ¡ passwords ¡guessed ¡

• Examples: ¡crack, ¡john-­‑the-­‑ripper ¡

– On-­‑line ¡(type ¡2): ¡have ¡access ¡to ¡verifica'on ¡ func'ons. ¡ ¡Try ¡guesses ¡un'l ¡one ¡succeeds. ¡

– ¡Examples: ¡trying ¡to ¡log ¡in ¡by ¡guessing ¡a ¡password ¡

15 ¡

Preven'ng ¡ACacks ¡

• How ¡to ¡prevent ¡this: ¡

– Hide ¡informa'on ¡so ¡that ¡either ¡authen'ca'on ¡input, ¡ authen'ca'on ¡func'ons, ¡or ¡stored ¡verifica'on ¡ informa'on ¡cannot ¡be ¡found. ¡Prevents ¡obvious ¡aCack ¡from ¡

above ¡

• Example: ¡UNIX/Linux ¡shadow ¡password ¡files ¡

– Hides ¡c’s ¡

– Block ¡access ¡to ¡all ¡verifica'on ¡methods ¡

• Prevents ¡aCacker ¡from ¡knowing ¡if ¡guess ¡succeeded ¡
• Example: ¡preven'ng ¡any ¡logins ¡to ¡an ¡account ¡from ¡a ¡network ¡

– Prevents ¡knowing ¡results ¡of ¡verifica'on ¡func'on ¡or ¡accessing ¡ verifica'on ¡func'on. ¡

Rainbow ¡Tables ¡

• Rather ¡than ¡keeping ¡dic'onary ¡list, ¡could ¡pre-­‑compute ¡the ¡

hashes ¡of ¡the ¡dic'onary ¡values ¡

– For ¡large ¡dic'onaries, ¡s'll ¡a ¡lot ¡of ¡space ¡ – Par'cularly ¡if ¡using ¡a ¡smart ¡lookup ¡table ¡

• Trade ¡off ¡space ¡for ¡'me ¡with ¡hash ¡chain ¡

– p1-­‑>H(p1)-­‑>R(H(p1))-­‑>H(R(H(p1))) ¡ – aaaaaa ¡–h-­‑> ¡281DAF40 ¡–r-­‑> ¡sgfnyd ¡–h-­‑> ¡920ECF10 ¡ – Reduc'on ¡func'on, ¡r, ¡picks ¡another ¡plaintext ¡from ¡the ¡hash. ¡ ¡It ¡ is ¡not ¡the ¡inverse ¡hash ¡ – Only ¡store ¡start ¡and ¡end ¡of ¡hash ¡ – Given ¡hash ¡to ¡break, ¡look ¡for ¡it ¡in ¡the ¡end ¡of ¡the ¡chains. ¡ – Apply ¡reduc'on ¡and ¡hash ¡if ¡not ¡found ¡ – Con'nue ¡un'l ¡found ¡

Rainbow ¡Tables ¡

• Collisions ¡are ¡the ¡problems ¡with ¡rainbow ¡

tables ¡

– Two ¡passwords ¡may ¡hash ¡to ¡the ¡same ¡value ¡ – One ¡of ¡those ¡values ¡will ¡be ¡lost ¡in ¡the ¡hash ¡chain ¡

• Could ¡use ¡many ¡small ¡tables ¡with ¡different ¡

reduc'on ¡func'ons ¡

• Could ¡use ¡a ¡different ¡reduc'on ¡func'on ¡for ¡

each ¡column ¡

– Thus ¡a ¡“Rainbow” ¡table ¡

Rainbow ¡tables ¡

• Very ¡effec've ¡against ¡Lan ¡Manager ¡Hashes ¡

– Calculated ¡by ¡XP ¡and ¡up ¡to ¡Windows ¡2008 ¡by ¡ default ¡for ¡“backwards ¡compa'bility” ¡ – Can ¡download ¡huge ¡tables ¡from ¡a ¡number ¡of ¡free ¡ sites ¡

• Decent ¡sized ¡hashes ¡make ¡the ¡rainbow ¡table ¡

pre-­‑computa'on ¡space ¡infeasible ¡

19 ¡

Using ¡Time ¡

Anderson’s ¡formula: ¡

• P ¡probability ¡of ¡guessing ¡a ¡password ¡in ¡

specified ¡period ¡of ¡'me ¡

• G ¡number ¡of ¡guesses ¡tested ¡in ¡1 ¡'me ¡unit ¡
• T ¡number ¡of ¡'me ¡units ¡
• N ¡number ¡of ¡possible ¡passwords ¡(|A|) ¡
• Then ¡ ¡

N TG P ≥

20 ¡

Example ¡

• Goal ¡

– Passwords ¡drawn ¡from ¡a ¡96-­‑char ¡alphabet ¡ – Can ¡test ¡104 ¡guesses ¡per ¡second ¡ – Probability ¡of ¡a ¡success ¡to ¡be ¡0.5 ¡over ¡a ¡365 ¡day ¡period ¡ – What ¡is ¡minimum ¡password ¡length? ¡

• Solu'on ¡

– N ¡≥ ¡TG/P ¡= ¡(365×24×60×60)×104/0.5 ¡= ¡6.31×1011 ¡ – Choose ¡s ¡such ¡that ¡ – So ¡s ¡≥ ¡6, ¡meaning ¡passwords ¡must ¡be ¡at ¡least ¡6 ¡chars ¡ long ¡ – What ¡exactly ¡does ¡that ¡equa'on ¡mean? ¡

N

s j j ≥

∑ =096

21 ¡

Approaches: ¡Password ¡Selec'on ¡

• Random ¡selec'on ¡

– Any ¡password ¡from ¡A ¡equally ¡likely ¡to ¡be ¡selected ¡ – See ¡previous ¡example ¡ – Make ¡sure ¡it’s ¡random! ¡

• Pronounceable ¡passwords ¡
• User ¡selec'on ¡of ¡passwords ¡

22 ¡

Pronounceable ¡Passwords ¡

• Generate ¡phonemes ¡randomly ¡

– Phoneme ¡is ¡unit ¡of ¡sound, ¡e.g. ¡cv, ¡vc, ¡cvc, ¡vcv ¡ – Examples: ¡helgoret, ¡juCelon ¡are; ¡przbqxdfl, ¡ zxrptglfn ¡are ¡not ¡

• ~ ¡440 ¡possible ¡phonemes ¡
• 4406 ¡possible ¡keys ¡with ¡6 ¡phonemes ¡(12-­‑18 ¡

characters ¡long), ¡about ¡the ¡same ¡as ¡968 ¡

• Used ¡by ¡GNU ¡Mailman ¡mailing ¡list ¡sosware ¡

(?) ¡

23 ¡

User ¡Selec'on ¡

• Problem: ¡people ¡pick ¡easy-­‑to-­‑guess ¡passwords ¡

– Based ¡on ¡account ¡names, ¡user ¡names, ¡computer ¡ names, ¡place ¡names ¡ – Dic'onary ¡words ¡(also ¡reversed, ¡odd ¡capitaliza'ons, ¡ control ¡characters, ¡“l33t-­‑speak”, ¡conjuga'ons ¡or ¡ declensions, ¡Torah/Bible/Koran/… ¡words) ¡ – Too ¡short, ¡digits ¡only, ¡leCers ¡only ¡ – License ¡plates, ¡acronyms, ¡social ¡security ¡numbers ¡ – Personal ¡characteris'cs ¡or ¡foibles ¡(pet ¡names, ¡ nicknames, ¡etc.) ¡ – Using ¡the ¡same ¡password ¡in ¡mul'ple ¡accounts ¡

User ¡Password ¡Educa'on ¡

• Use ¡the ¡first ¡leCer ¡of ¡each ¡word ¡in ¡a ¡phrase ¡

– “My ¡dog’s ¡first ¡name ¡is ¡Rex.” ¡becomes ¡“MdfniR” ¡

Reac've ¡Password ¡Checking ¡

• Have ¡a ¡password ¡cracking ¡program ¡running ¡in ¡

the ¡background ¡

– Shut ¡down ¡account ¡of ¡passwords ¡it ¡can ¡crack ¡ – CPU ¡intensive ¡ – Shuvng ¡down ¡ac've ¡accounts ¡is ¡likely ¡to ¡annoy ¡ someone ¡important ¡eventually. ¡

Proac've ¡password ¡checking ¡

• Don’t ¡let ¡them ¡pick ¡a ¡“bad” ¡password ¡in ¡the ¡

first ¡place ¡

• Need ¡to ¡have ¡a ¡fairly ¡fast ¡test ¡of ¡the ¡

“goodness” ¡of ¡a ¡password ¡

Markov ¡Model ¡

• Reduce ¡space ¡requirements ¡of ¡bad ¡password ¡

list ¡

• Create ¡model ¡that ¡represents ¡the ¡bad ¡

password ¡database ¡

• Created ¡from ¡trigrams ¡(three ¡leCer ¡segments) ¡

from ¡words ¡in ¡bad ¡password ¡list ¡

Bloom ¡Filter ¡

• Another ¡way ¡of ¡encoding ¡the ¡bad ¡password ¡dic'onary ¡in ¡a ¡small ¡cheap ¡to ¡

check ¡data ¡structure ¡

• Create ¡N ¡bit ¡array ¡
• Use ¡k ¡independent ¡hash ¡func'ons ¡which ¡hash ¡into ¡a ¡space ¡of ¡0 ¡to ¡N-­‑1 ¡
• For ¡each ¡bad ¡password, ¡ ¡

– Compute ¡every ¡version ¡of ¡the ¡hash, ¡and ¡set ¡the ¡corresponding ¡bit ¡in ¡the ¡hash ¡ table ¡for ¡every ¡hash ¡value ¡

• To ¡check ¡a ¡password ¡

– Computer ¡every ¡version ¡of ¡the ¡hash, ¡and ¡check ¡the ¡corresponding ¡bits ¡in ¡the ¡ array ¡ – If ¡all ¡bits ¡are ¡1, ¡then ¡the ¡password ¡is ¡bad ¡

• Will ¡allow ¡some ¡false ¡posi'ves ¡

– Passwords ¡marked ¡bad ¡that ¡weren’t ¡in ¡the ¡original ¡list ¡

• But ¡it ¡will ¡not ¡generate ¡any ¡false ¡nega'ves. ¡

29 ¡

Challenge-­‑Response ¡

• User and system share a secret function
• User proves knowledge of secret function by answering

challenge user system

request to authenticate

user system

random message r (the challenge)

user system

f(r) (the response)

30 ¡

One-­‑Time ¡Passwords ¡

• Password ¡that ¡can ¡be ¡used ¡exactly ¡once ¡

– Aser ¡use, ¡it ¡is ¡immediately ¡invalidated ¡

• Challenge-­‑response ¡mechanism ¡

– Challenge ¡is ¡one ¡of ¡a ¡number ¡of ¡authen'ca'ons; ¡ response ¡is ¡password ¡for ¡that ¡par'cular ¡number ¡

• Problems ¡

– Synchroniza'on ¡of ¡user, ¡system ¡ – Genera'on ¡of ¡good ¡random ¡passwords ¡ – Password ¡distribu'on ¡problem ¡

31 ¡

S/Key ¡

• One-­‑'me ¡password ¡scheme ¡based ¡on ¡idea ¡of ¡

Lamport ¡

• h ¡one-­‑way ¡hash ¡func'on ¡(MD5 ¡or ¡SHA-­‑1, ¡for ¡

example) ¡

• User ¡chooses ¡ini'al ¡seed ¡k ¡
• System ¡calculates: ¡

h(k) ¡= ¡k1, ¡h(k1) ¡= ¡k2, ¡…, ¡h(kn–1) ¡= ¡kn ¡

• Passwords ¡are ¡reverse ¡order: ¡

p1 ¡= ¡kn, ¡p2 ¡= ¡kn–1, ¡…, ¡pn–1 ¡= ¡k2, ¡pn ¡= ¡k1 ¡

32 ¡

S/Key ¡Protocol ¡

user system

{ name }

user system

{ i }

user system

{ pi }

System stores maximum number of authentications n, number

• f next authentication i, last correctly supplied password pi–1.

System computes h(pi) = h(kn–i+1) = kn–i+2 = pi–1. If match with what is stored, system replaces pi–1 with pi and increments i.

Token-­‑based ¡Authen'ca'on ¡

• Something ¡you ¡have ¡
• Memory ¡Cards ¡

– No ¡computa'on ¡on ¡the ¡card ¡ – Need ¡special ¡reader ¡to ¡pull ¡data ¡off ¡the ¡card ¡ – Need ¡pin ¡to ¡decrypt ¡data ¡off ¡of ¡card ¡ – E.g., ¡ATM ¡card ¡or ¡debit ¡card ¡

• By ¡adding ¡PIN ¡(something ¡you ¡know) ¡you ¡get ¡

mul'-­‑factor ¡authen'ca'on ¡

Token ¡Based ¡Authen'ca'on ¡

• Smart ¡Card ¡

– Computa'on ¡on ¡the ¡card ¡ – Plug ¡in ¡with ¡USB ¡or ¡wireless ¡communica'on ¡ (credit ¡card) ¡

• Authen'ca'on ¡op'ons ¡

– Sta'c ¡– ¡equivalent ¡to ¡memory ¡card ¡ – Dynamic ¡password ¡generator ¡– ¡generates ¡a ¡ unique ¡password ¡every ¡minute. ¡ – Challenge ¡response ¡

35 ¡

Biometrics ¡

• Automated ¡measurement ¡of ¡biological, ¡

behavioural ¡features ¡that ¡iden'fy ¡a ¡person ¡

– Fingerprints: ¡op'cal ¡or ¡electrical ¡techniques ¡

• Maps ¡fingerprint ¡into ¡a ¡graph, ¡then ¡compares ¡with ¡database ¡
• Measurements ¡imprecise, ¡so ¡approximate ¡matching ¡

algorithms ¡used ¡

– Voices: ¡speaker ¡verifica'on ¡or ¡recogni'on ¡

• Verifica'on: ¡uses ¡sta's'cal ¡techniques ¡to ¡test ¡hypothesis ¡that ¡

speaker ¡is ¡who ¡is ¡claimed ¡(speaker ¡dependent) ¡

• Recogni'on: ¡checks ¡content ¡of ¡answers ¡(speaker ¡

independent) ¡

36 ¡

Other ¡Characteris'cs ¡

• Can ¡use ¡several ¡other ¡characteris'cs ¡

– Eyes: ¡paCerns ¡in ¡irises ¡unique ¡

• Measure ¡paCerns, ¡determine ¡if ¡differences ¡are ¡random; ¡or ¡

correlate ¡images ¡using ¡sta's'cal ¡tests ¡

– Faces: ¡image, ¡or ¡specific ¡characteris'cs ¡like ¡distance ¡ from ¡nose ¡to ¡chin ¡

• Ligh'ng, ¡view ¡of ¡face, ¡other ¡noise ¡can ¡hinder ¡this ¡

– Keystroke ¡dynamics: ¡believed ¡to ¡be ¡unique ¡

• Keystroke ¡intervals, ¡pressure, ¡dura'on ¡of ¡stroke, ¡where ¡key ¡is ¡

struck ¡

• Sta's'cal ¡tests ¡used ¡

37 ¡

Biometric ¡

• Physical ¡characteris'cs ¡encoded ¡in ¡a ¡

template ¡

– The ¡C ¡or ¡complement ¡informa'on ¡

• User ¡registers ¡physical ¡informa'on ¡(S) ¡

– Generally ¡with ¡mul'ple ¡measurements ¡

• The ¡verifica'on ¡func'on ¡takes ¡a ¡

measurement ¡and ¡tries ¡to ¡line ¡up ¡with ¡ template ¡

38 ¡

Authen'ca'on ¡vs ¡Iden'fica'on ¡

• Used ¡for ¡surveillance ¡

– Subject ¡is ¡mo'vated ¡to ¡avoid ¡detec'on ¡

• Used ¡for ¡authen'ca'on ¡

– Subject ¡is ¡mo'vated ¡to ¡posi'vely ¡iden'fy ¡ – Perhaps ¡pick ¡up ¡other's ¡characteris'cs ¡

• False ¡posi'ves ¡vs ¡false ¡nega'ves ¡

39 ¡

Biometric ¡Cau'ons ¡

• These ¡can ¡be ¡fooled! ¡

– Assumes ¡biometric ¡device ¡accurate ¡in ¡the ¡environment ¡ it ¡is ¡being ¡used ¡in! ¡ – Transmission ¡of ¡data ¡to ¡validator ¡is ¡tamperproof, ¡ correct ¡(remember ¡pax ¡vobiscum) ¡

• Physical ¡characteris'cs ¡change ¡over ¡'me ¡
• Some ¡people ¡may ¡not ¡be ¡able ¡to ¡iden'fy ¡via ¡specific ¡

characteris'cs ¡ – Albinos ¡and ¡iris ¡scans ¡

Biometric ¡Cau'ons ¡

• Where ¡are ¡the ¡biometric ¡templates ¡stored? ¡
• What ¡if ¡your ¡biometric ¡template ¡data ¡is ¡

stolen? ¡

Key ¡Points ¡

• Passwords ¡are ¡the ¡reality ¡for ¡now ¡
• Mul'-­‑factor ¡authen'ca'on ¡is ¡must ¡stronger ¡
• Biometrics ¡can ¡help, ¡but ¡not ¡a ¡silver ¡bullet ¡yet ¡