In association with heise online

Re: Biometrics is the way to go 18 January 2010 15:58

AlexPaw wrote on 15 January 2010 14:16

> I know them, Some of MXI Security drives has a central management
> console - this is an API/protocol that has a device for remote
> control (remote erase, remote password reset, etc) - this protocol is
> theoretically is vulnerable.

Full disclosure: I work for MXI Security.

Incorrect. There is no "remote control" protocol for devices. Device
communications with MXI's ACCESS Enterprise Manager software are
currently all local to a single PC.

Tasks like password resets are done with a challenge-response process
meant to take place out-of-band (e.g. over the phone).

You're right, though, in indicating the danger of weak communications
protocols, whether they're across a network or not. I don't want to
do a sales job here, but every device we've released this year
supports the NIST SP800-56A key agreement scheme -- the first and
only line of USB drives to do so. That's the kind of thing you want
if you're relying on a server for security features.

> Another set of MXI biometric drives has a "password access" feature,
> that is authenticated by a software part, again as there is a
> software - the whole device maybe vulnerable.

Incorrect. All MXI drives support password authentication (either
alone or in conjunction with biometrics or a CAC/PIV smart card) and
all password verification here is done in the device itself.

All biometrics on MXI devices are also matched in hardware -- the
"helper" software telling you to place your finger is just that, a
helper. The dual LEDs on the device provide the same info more
succinctly.

It is correct, however, that devices that have a software component
may well leverage their hardware security improperly (as occurred
with some competing products recently). This is not the case with any
MXI Security products -- all verify their password (and any other
authentication mechanisms) in the device hardware, not in software.

The H

The H open source

The H Security

The H Internet Toolkit