Microsoft Fingerprint Reader - Lecteur d'empreintes digitales

plpoplop wrote:

Bonjour,

matériel concerné :
Microsoft Fingerprint Reader - Lecteur d'empreintes digitales
(nouvelle référence)
http://www.ldlc.com/fiche/PB00037204.html

Questions (car LDLC n'a pas la réponse, et le support microsoft par
leur site est ##ù%! Grrr) :

_ que se passerait-il si après une longue utilisation
(plusieurs mois) de ce fingerprint reader, si l'ordinateur devait etre
formaté. Aurai-je la possibilité de retaper mon mot de passe ou de
ré-accéder à ma boite email (par exemple) et ce SANS PASSER par la
section "mot de passe oublié" ?

_ imaginons que quelqu'un me renverse une tasse à café dessus et que
l'appareil est définitivement HS (et bien entendu, pas de passage en
garantie possible), pourrais-je réaccéder à ma messagerie (ou login
WinXP) sans passer par "mot de passe oublié" ?

_ quasi meme question que précédemment, quid du niveau de sécurité
dans le cas où on
débranche cet appareil ?

_ imaginons que j'utilise ce fingerprint sur mon PC à domicile, je
vais chez un ami et je veux consulter ma boite email alors que je
n'ai aucun fingerprint. Est-ce possible ?

_ meme question si je l'ai emporté dans ma poche.

_ meme question si chez cet ami il y en a un.

_ imaginons encore : l'appareil tombe en panne, j'en ai un autre sous
la main, je branche le 2eme, est-ce que ça fonctionne normalement
sans avoir à reconfigurer quoique se soit ?

Je cherche simplement à savoir le fonctionnement précis de cet
appareil et savoir ce qu'il se passe concretement par rapport au mot
de passe et sa sécurité.
(ceci en vu d'achat et aussi de pas planter un compte ;-) )

merci beaucoup pour vos réponses.

Stéphane T.

Bonjour
Le logiciel de gestion de cet appareil associe un mot de passe à une
empreinte.
Dès lors on a toujours le choix soit d'utiliser le fingerprint reader, soit
taper son mot de passe de manière tout à fait traditionnelle.
Un autre lecteur fonctionnera sans problème.
Si le lecteur tombe en panne, il suffira d'entrer le mot de passe
traditionnellement.

--

Michel H. (Sweety) [Microsoft MVP] - Windows Shell/User
Toutes les réponses à vos questions sur le Portail de Sweety :
http://sweety.mvps.org/

Bonjour
Le logiciel de gestion de cet appareil associe un mot de passe à une
empreinte.
Dès lors on a toujours le choix soit d'utiliser le fingerprint reader,
soit taper son mot de passe de manière tout à fait traditionnelle.
Un autre lecteur fonctionnera sans problème.
Si le lecteur tombe en panne, il suffira d'entrer le mot de passe
traditionnellement.

Merci beaucoup pour cette réponse simple claire et précrise qui répond
totalement à ce que je voulais savoir.

(profitez d'un tel remerciement, c'est pas tout les jours ;-)) )

Stéphane

(pour cette question j'ai enlevé le crosspost mpfs)

Où peut-on trouver la liste de compatibilité software ?

Car je me doute que ça ne fonctionne pas sous linux, ni Mac, ni *BSD, ni
peut-etre avec Thundirbird / Firefox / mozilla, ni AMSN, (et FilleZilla,
Putty, mIRC ?), mais peut-être je me trompe ...

merci pour vos réponse

Stéphane

Dans le message :44f2d5ea$0$13191$626a54ce@news.free.fr,
plpoplop <azerty@netmail.net> a pris la peine d'écrire ce qui suit :

Bonjour,

matériel concerné :
Microsoft Fingerprint Reader - Lecteur d'empreintes digitales
(nouvelle référence)
http://www.ldlc.com/fiche/PB00037204.html

Questions (car LDLC n'a pas la réponse, et le support microsoft par
leur site est ##ù%! Grrr) :

_ que se passerait-il si après une longue utilisation
(plusieurs mois) de ce fingerprint reader, si l'ordinateur devait etre
formaté. Aurai-je la possibilité de retaper mon mot de passe ou de
ré-accéder à ma boite email (par exemple) et ce SANS PASSER par la
section "mot de passe oublié" ?

Le FPR (Fingerprint Reader) ne se substitue JAMAIS au système
d'authentification (saisie de username/password)
Il vient seulement en COMPLÉMENT.

Par reconnaissance d'empreintes digitales, le FPR sert à SIMULER la frappe
d'un couple username/password dans :
- fenêtre d'ouverture de session
- fenêtre d'authentification d'un site Web depuis IE

Ces informations sont stockées dans la branche :
HKEY_LOCAL_MACHINESOFTWAREDigitalPersonaDB
et évidemment, elles sont :
- chiffrées
- dépendantes des SID de chaque compte,
donc dépendantes de l'installation de Windows.
(tous les SID sont UNIQUES au monde)

Donc toute réinstallation de Windows va effacer cette clef.
MAIS vouloir exporter (avant réinstallation de Windows) cette clef pour la
réimporter (après réinstallation) ne servira strictement à RIEN, car le SID
aura changé!

_ imaginons que quelqu'un me renverse une tasse à café dessus et que
l'appareil est définitivement HS (et bien entendu, pas de passage en
garantie possible), pourrais-je réaccéder à ma messagerie (ou login
WinXP) sans passer par "mot de passe oublié" ?

Il te faut ABSOLUMENT conserver quelque part tes username/password !

_ quasi meme question que précédemment, quid du niveau de sécurité
dans le cas où on débranche cet appareil ?

IDEM !

_ imaginons que j'utilise ce fingerprint sur mon PC à domicile, je
vais chez un ami et je veux consulter ma boite email alors que je
n'ai aucun fingerprint. Est-ce possible ?
OUI, si tu connais tes identifiants de messagerie (noms de serveurs, nom de

compte et password)

_ meme question si je l'ai emporté dans ma poche.
NON

Ce n'est pas le FPR qui stocke les passwords !

_ meme question si chez cet ami il y en a un.
NON

Sauf si ton ami a des empreintes digitales identiques aux tiennes (jamais
vu, même chez des jumeaux homozygotes !) et connais tes identifiants ;-).

_ imaginons encore : l'appareil tombe en panne, j'en ai un autre sous
la main, je branche le 2eme, est-ce que ça fonctionne normalement
sans avoir à reconfigurer quoique se soit ?

Excellente question que je te remercie d'avoir posée !
Car je n'avais jamais tenté la manip jusqu'à ce jour, bien que possèdant 2
FingerPrint Reader (un pour mon PC de bureau, et un pour mon portable).
Je viens donc à l'instant même de permuter les deux FPR (Sessions Windows
non interrompues) : pas de problème, çà continue à fonctionner
nasodigitalement.

Il n'existe aucune information PROPRE à chaque FPR qui soit utilisée pour la
gestion des passwords.
(ce n'est ni un badge magnétique ni une smart-card)
On peut seulement constater le changement de FPR dans la BDR.
P.ex. chez moi, après ce changement de lecteur, j'ai à présent 2 clefs
identiques (sauf les n°) dans la BDR :
HKLMSYSTEMCurrentControlSetEnumUSBVid_045e&Pid_00bd{39F983CA-FC73-0D4E-AB9F-AEB412CA5C74}
HKLMSYSTEMCurrentControlSetEnumUSBVid_045e&Pid_00bd{48C9CB14-0ED0-D045-93C0-5173A6E12F07}
(la dernière clef est celle qui est active)

Mais cela vaut mieux qu'il n'y ait pas de lien avec le lecteur, car comme tu
l'as également pressenti, si jamais un lecteur vient à tomber en rade, il
faut pouvoir le remplacer sans être bloqué pour autant.

Je cherche simplement à savoir le fonctionnement précis de cet
appareil et savoir ce qu'il se passe concretement par rapport au mot
de passe et sa sécurité.
(ceci en vu d'achat et aussi de pas planter un compte ;-) )

C'est un dispositif très sûr et très pratique.
Je l'utilise depuis décembre 2004, et j'en suis très satisfait.
Jamais le moindre pb ou bug.

Au niveau degré de confidentialité, il vaut mieux utiliser un autre système
biométrique si c'est pour protéger les codes d'accès de la Force de Frappe
nucléaire ou les n° du réseau Jupiter! Car il reste toujours un peu des
traces de la dernière empreinte sur le lecteur.
Donc des techniciens expérimentés (du style "Q" du MI-6 dans les films de
James Bond ;-) ) de n'importe quel contre-espionnage sauraient en faire un
duplicata!
Mais en tant qu'utilisateur "lambda" , on est rarement confronté à ce besoin
de "top secret" !
(à moins d'être une "taupe" en sommeil de la CIA, du Mossad, du FSB, de la
DGSE, ...)

Pour un usage personnel, c'est parfait !
Par contre, comme tu l'as pressenti, si tu oublies un password et si le FPR
tombe en rade simultanément, tu seras assez mal !

SAUF si tu utilises un logiciel tel que PSPV ("Protected Storage PassView")
C'est un utilitaire génial et GRATUIT, qui affiche TOUS les passwords et
champs enregistrés du compte en cours.
http://www.nirsoft.net/utils/pspv.zip

ATTENTION : vu que ce logiciel accède à une clef sensible de la BDR, la
plupart des anti-virus croient détecter un virus dans ce logiciel!
il faut donc désactiver l'AV le temps du téléchargement et exclure PSPV de
l'AV.
Je l'utilise depuis des années, je peux certifier qu'il n'y a pas le moindre
virus, troyen ou autre cochonnerieware dans cet utilitaire.

NB: ce logiciel n'est nullement une faille de sécurité !
En effet, il ne peut afficher QUE les passwords du compte en cours.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Dans le message :44f30370$0$13184$626a54ce@news.free.fr,
plpoplop <azerty@netmail.net> a pris la peine d'écrire ce qui suit :

(pour cette question j'ai enlevé le crosspost mpfs)

Où peut-on trouver la liste de compatibilité software ?

Car je me doute que ça ne fonctionne pas sous linux, ni Mac, ni *BSD,
ni peut-etre avec Thundirbird / Firefox / mozilla, ni AMSN, (et
FilleZilla, Putty, mIRC ?), mais peut-être je me trompe ...

NON, tu ne te trompes pas!

Comme je te l'ai écrit précédemment, le FPR ne fonctionne :
- que sous XP
ET

- que pour l'ouverture de session
ou
- l'authentification à un site Web protégé
et cela uniquement via IE

P.ex., une authentification via FireFox n'est pas traitée par FPR :
http://cjoint.com/?iCrJAz3ywR


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: %23%23jfmUryGHA.1268@TK2MSFTNGP02.phx.gbl...

Dans le message :44f2d5ea$0$13191$626a54ce@news.free.fr,
(...)

vraiment très intéressant et complet comme réponse, merci.

Il y aurait pu avoir un identifiant unique propre à chaque FPR (serial ou
autre)...
Il y aurait y avoir (de maniere liée avec ma phrase précédente) un
"dialogue" entre un serveur microsoft (avec couche ssl) et le FPR qui scanne
le doigt. Bon certes 2 secondes ça aurait été rapide pour tant de "dialogue"
:-)

Que se passe-t-il si dans une meme session (site ou application) on a
plusieurs compte ?
imaginons par exemple que je lance MSN, et dessus jy ai 2 comptes, un
professionnel et un privé. Je mets un coup l'index et un coup le majeur ?
:-)
ou est-ce qu'en mettant le majeur le soft du FPR va me proposer 2 choix
(privé et pro) ?

Dans le cas où on utilise 2 doigts pour une meme appli pour 2 compte
différents, est-ce qu'après le lancement de l'application (msn par exemple),
le soft du FPR indique "hey, tu as enregistré 2 compte, un avec ton index et
un avec ton majeur, choisi", ou reste-t-il "discret" ?

oui je sais des questions tordue mais qui ont un sens quelque part :-)


Stéphane

NON, tu ne te trompes pas!

Comme je te l'ai écrit précédemment, le FPR ne fonctionne :
- que sous XP
ET

- que pour l'ouverture de session
ou
- l'authentification à un site Web protégé
et cela uniquement via IE

ok ok
désolé d'insister au risque de paraitre lourd,
toutes les applications microsoft peuvent fonctionner avec ? je pense par
exemple à MSN Live.

Le logiciel e-carte bleue de la société générale ne fonctionnera pas avec
alors .. par contre le site d'ecarte-bleue (equivalent du soft eCB) lui
sera ok.

bien bien.

Bon dans l'ordre :
_ je change tout mes mots de passe par des super compliqué
(_=%@Ak6L§tR<PV93&...)
_ je les note sur un papier
_ j'installe le FPR et son soft, et fait la confinguration/installation
_ j'emmène le papier dans un coffre à la banque

Ca aurait été bien de remplacer le dernier point par un site internet
sécurisé (surtout pas sur son propre PC), dédié à cette fonction.
Genre un serveur sous OpenBSD avec du blowfish partout, connexion par SSH2,
montrer patte blanche en répondant à tout un tas de question, attendre
l'envoi automatique d'un texto donnant la passphrase suivante, etc..
Comme ça au lieu d'emmener le papier à la banque, on le brule.

bien entendu il n'y a pas d'information top secret, mais sur le principe ça
serai bien de pas planquer un tel papier sous le clavier :-)

Stéphane

PS: mince on est reparti sur le domaine de la sécurité et j'ai enlevé le
crosspost

Dans le message :44f30f9d$0$13186$626a54ce@news.free.fr,
plpoplop <azerty@netmail.net> a pris la peine d'écrire ce qui suit :

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: %23%23jfmUryGHA.1268@TK2MSFTNGP02.phx.gbl...

Dans le message :44f2d5ea$0$13191$626a54ce@news.free.fr,
(...)

vraiment très intéressant et complet comme réponse, merci.

Il y aurait pu avoir un identifiant unique propre à chaque FPR
(serial ou autre)...

Oui, mais comme je l'ai fait remarquer, si jamais le FPR tombe en rade et si
on a oublié les passwords, que fait-on ?
MS aurait pu effectivement tenir compte de ce serial number, puisqu'il
apparait bien dans la BDR.
Mais il n'est pas utilisé volontairement pour éviter cet "effet de biais".

Il y aurait y avoir (de maniere liée avec ma phrase précédente) un
"dialogue" entre un serveur microsoft (avec couche ssl) et le FPR qui
scanne le doigt. Bon certes 2 secondes ça aurait été rapide pour tant
de "dialogue" :-)
Et si tu es en plein désert de Gobi, loin de tout accès Internet, tu fais

comment ?
N'oublie pas que FPR sert avant tout à automatiser/protéger l'ouverture de
session LOCALE !
Donc qui peut être totalement HORS RÉSEAU.

Que se passe-t-il si dans une meme session (site ou application) on a
plusieurs compte ?
Il ne peut y avoir qu'un SEUL compte donné (username / password) de SESSION

pour un ensemble d'empreintes digitales données (= du même utilisateur).
Ensuite, une fois que la session est ouverte, seules les empreintes
digitales de l'utilisateur ayant ouvert la session seront autorisées.
A partir de ce moment là, pour chaque authentification de site, il ne peut y
avoir qu'un SEUL couple username/password géré par FPR.

Je m'explique à l'aide d'un exemple :

Homer SIMPSON a ouvert une session en s'authentifiant avec le FPR
(il a eu du mal au passage car ses doigts étaient plein de miettes de donuts
;-) )
Il a enregistré via le FPR le couple "HOMER/Dohhh!" pour se connecter à
l'espace privé du site de la taverne de Moe.
Il ne pourra pas utiliser, même s'il le connait, le couple "BARNEY/Burp" de
son copain Barney pour s'y connecter, car par rapport à la boite de dialogue
d'authentification de http://www.moestavern.com (il existe rellement!), FPR,
dans une session Windows "HOMER", ne connait qu'UN SEUL couple
username/password ("HOMER/Dohhh!").
Le couple "BARNEY/Burp" ne pourrait que REMPLACER (et non pas y être ajouté)
le couple "HOMER/Dohhh!" lors d'une session de Homer.

PAR CONTRE, si Barney a un compte sur le PC de HOMER, et si Barney a fait
reconnaitre ses empreintes par le FPR, et a ouvert une session sous son
compte, il pourra utiliser "BARNEY/Burp" pour accéder au site de Moe.

L'arborescence est donc la suivante :

Session Homer
Site de Moe
Couple UNIQUE "HOMER/Dohhh!"
Site de la centrale de Springfied
Couple UNIQUE "HOMER/Emergency shutdown"

Session Barney
Site de Moe
Couple UNIQUE "BARNEY/Burp"

Session Mr Burns
Site de la centrale de Springfied
Couple UNIQUE "Burns/$a lot of money$"

imaginons par exemple que je lance MSN, et dessus jy ai 2 comptes, un
professionnel et un privé. Je mets un coup l'index et un coup le
majeur ? :-)
Il n'y a aucune distinction FONCTIONNELLE entre les doigts d'un même

utilisateur.
Personnellement, j'ai fait enregistrer les empreintes de mes 10 doigts.
Quand j'ouvre une session, ou quand je m'authentifie sur un site, j'utilise
n'importe quel doigt, suivant l'humeur et/ou la posture dans laquelle je me
trouve (du style devoir ouvrir une session juste au moment où cette %#?*§!^&
de souris vient de tomber par terre)

Mais pour reprendre ton exemple de MSN, il faudra CHOISIR :
- ou bien le compte pro
- ou bien le compte perso

Par contre, ce que tu peux faire, c'est avoir DEUX comptes différents
WINDOWS
- Sous la session "mon-compte-WINDOWS-PRO"
tu ouvres MSN avec ton compte MSN Pro
- Sous la session "mon-compte-WINDOWS-Perso"
tu ouvres MSN avec ton compte MSN Perso

ou est-ce qu'en mettant le majeur le soft du FPR va me proposer 2 choix
(privé et pro) ?
NON

Dans le cas où on utilise 2 doigts pour une meme appli pour 2 compte
différents,
IMPOSSIBLE, sauf si on a ouvert au départ des sessions Windows différentes.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Dans le message :44f311e3$0$13200$626a54ce@news.free.fr,
plpoplop <azerty@netmail.net> a pris la peine d'écrire ce qui suit :

toutes les applications microsoft peuvent fonctionner avec ?
J'ai essayé avec EXCEL, en protégeant un classeur par password : FPR a su le

reconnaitre.
Mais je ne saurais généraliser.

je pense par exemple à MSN Live.
Non testé

Le logiciel e-carte bleue de la société générale ne fonctionnera pas
avec alors ..
Non, ni celui de la BNP !

par contre le site d'ecarte-bleue (equivalent du soft eCB) lui sera ok.
Je l'ignore.

Bon dans l'ordre :
_ je change tout mes mots de passe par des super compliqué
(_=%@Ak6L§tR<PV93&...)
Personnellement, j'ai toujours été hostile à des pwd impossibles à

retenir!!!
Trop de sécurité tue la sécurité !
Un pwd peut être complexe, mais à la condition de pouvoir être mémorisé
intégralement et de façon fiable
(par un procédé mnémotechnique p.ex.)
Par exemple les initiales de chaque mot d'une phrase historique :
"Christophe Colomb a découvert l'Amérique le 12 octobre 1492"
-> CCadl'Al12o1492

Impossible à deviner et même à casser, et facile à retenir !

NB: en réalité, ce n'est pas vrai, les Vikings de Norvège avaient exploré
bien avant lui l'Amérique du Nord. ;-)
D'ailleurs, Astérix et Obélix peuvent en témoigner, Farpaitement !

_ je les note sur un papier
NANNNNNNNNNNNNNNNNNN !

Un password écrit sur un papier n'est plus un password !
Il doit être stocké dans TES NEURONES !

_ j'installe le FPR et son soft, et fait la
confinguration/installation _ j'emmène le papier dans un coffre à la
banque
Si on veut !!! ;-)

Ca aurait été bien de remplacer le dernier point par un site internet
sécurisé (surtout pas sur son propre PC), dédié à cette fonction.
Genre un serveur sous OpenBSD avec du blowfish partout, connexion par
SSH2, montrer patte blanche en répondant à tout un tas de question,
attendre l'envoi automatique d'un texto donnant la passphrase
suivante, etc.. Comme ça au lieu d'emmener le papier à la banque, on le
brule.
Mon procédé mnémotechnique est plus simple !!! ;-)

bien entendu il n'y a pas d'information top secret, mais sur le
principe ça serai bien de pas planquer un tel papier sous le clavier
:-)
Çà, c'est ben vrai ! (pcc Mère Denis)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

(...)
premiere partie très claire et complete, merci.

imaginons par exemple que je lance MSN, et dessus jy ai 2 comptes, un
professionnel et un privé. Je mets un coup l'index et un coup le
majeur ? :-)
Il n'y a aucune distinction FONCTIONNELLE entre les doigts d'un même

utilisateur.
(...)

Par contre, ce que tu peux faire, c'est avoir DEUX comptes différents
WINDOWS
- Sous la session "mon-compte-WINDOWS-PRO"
tu ouvres MSN avec ton compte MSN Pro
- Sous la session "mon-compte-WINDOWS-Perso"
tu ouvres MSN avec ton compte MSN Perso

et là comme je suis quelqu'un qui a bien suivit (joke ;-) ), je vais faire
mon chieur !
Puisqu'il n'y a pas de distinction fonctionnelle entre les doigts d'un meme
utilisateur (dû au driver FPR car concretement ça aurait été possible, des
sources disponible quelque part ?), comment peut-on faire AVEC le FPR pour
ouvrir 2 sessions différentes pro/perso alors qu'à la base se sont les meme
main ?

(à la fin de ce thread les FPR MS n'auront plus de secret pour moi lol)

Stéphane