it-swarm-es.com

Biométrico versus otros mecanismos de autenticación de dos factores

Con los años, la biometría es el mecanismo de autenticación de películas, pero en el mundo real obtengo opiniones contradictorias al respecto. Todo lo que he aprendido muestra que la biometría es defectuosa debido a dos razones principales: son credenciales no revocables y pueden falsificarse fácilmente.

Entonces, ¿cuál es el estado de la nación cuando se trata del uso de la biometría en comparación con otros mecanismos como tarjetas inteligentes o OTP?

20
Steve

Hay algunas otras razones:

  • Tasa de error: las aceptaciones falsas y los rechazos falsos siguen siendo inaceptablemente altos para muchos tipos de datos biométricos.
  • Aceptación del usuario, que todavía no es de gran confianza por parte de los usuarios, las diversas preocupaciones de privacidad siguen siendo bastante altas, y la idea de que una parte de su cuerpo ahora es un mecanismo de seguridad es algo extraña para algunas personas.

Las mejores prácticas de seguridad en estos días (como la línea de base de la certificación CISSP para prácticas de seguridad) no apuntan a que la biometría sea el fin y la seguridad de todo. La mejor práctica es construir un sistema con una colección de mecanismos de autenticación que sean apropiados para el sistema, la información que contiene, las amenazas y vulnerabilidades esperadas, y las formas en que se debe usar el sistema.

No sé si alguien podría decir sin lugar a dudas cuál es el "estado de la nación", es una afirmación bastante amplia. Pero puedo decir que las mejores prácticas comunes actualmente no fuerzan la biometría como una solución única para todos. Diría que, en el mejor de los casos, son algo que todavía está en desarrollo y que se trata con cierta cantidad de dudas.

12
bethlakshmi

La biometría también se puede falsificar, como huellas digitales . Por el contrario, falsificar una clave rsa de 1024 bits en una tarjeta inteligente es mucho más difícil que una huella digital humana. Sin embargo, cada parte de la autenticación que agregue eleva el listón para el atacante (y molesta a sus usuarios). Esta es la base de la autenticación multifactor.

La forma más común de autenticación de dos factores que veo en el mundo corporativo es un Key Fob y una contraseña. Esto es realmente bueno para defenderse de ataques comunes, como obtener un hash de contraseña de una base de datos con inyección SQL y descifrarlo. Si esto fuera una bóveda de un banco, entonces sí agregaría biometría también. Depende de lo que intente proteger.

8
rook

Superficie de exposición al ataque

Una tarjeta inteligente u OTP puede ser atacada a través de debilidades algorítmicas internas (por ejemplo, a PRNG que solo debe usarse para la depuración y se usa inadvertidamente en el entorno de producción). Estas debilidades conocidas y desconocidas constituyen la superficie de ataque de estas técnicas de autenticación, diría que su superficie de exposición al ataque es solo algorítmica.

Por otro lado, las técnicas biométricas tienen una superficie de exposición mucho mayor. Para tomar un ejemplo bastante simple, el uso de huellas digitales dentro de un esquema de autenticación biométrica ofrece 3 caminos de ataque:

  1. El enfoque fisico

    Ofrezca una copa de champán limpia a la víctima objetivo durante un evento físico social y logre recuperar la copa para obtener una imagen de alta definición de las huellas digitales objetivo.

  2. El ataque de almacenamiento

    Todas estas huellas digitales deben almacenarse localmente o centralmente. Robar el Phone5 de la víctima objetivo y a través de interfaces físicas obtienen el contenido interno y atacan la huella digital almacenada y encriptada. Si se almacenan centralmente, ya que no estamos en el espacio mágico donde vive la probabilidad 0, este almacenamiento central se romperá tarde o temprano.

  3. El ataque algorítmico

    Como cualquier otra técnica de autenticación, la lectura de huellas digitales, el almacenamiento y la comparación utilizarán algoritmos. Por lo tanto, esta autenticación también está expuesta a ataques algorítmicos.

Yo diría que su superficie de exposición al ataque es de 3 lados: físico, almacenamiento y algorítmico.

Una técnica de autenticación de huellas digitales es un objetivo 3 veces más interesante que un algoritmo OTP.

3
dan

Adaptabilidad al ataque y a las debilidades internas.

Una diferencia clave más entre la autenticación biométrica y cualquier otra técnica de autenticación.

Frente al progreso de la técnica de ataque, cualquier algoritmo puede mejorarse ampliando el tamaño del campo para atacar a través de la fuerza bruta. Por ejemplo, los algoritmos en los que la fuerza es proporcional a un tamaño de clave se pueden fortalecer al anunciar públicamente que a partir de ahora están prohibidos los tamaños de clave inferiores a N bits.

Frente al descubrimiento de debilidades internas dentro de algoritmos dados, esta información puede publicarse y la opción de usar estos algoritmos más débiles puede estar oficialmente prohibida.

No existe tal libertad con las técnicas biométricas.

No puede ampliar la variabilidad de su patrón de iris, incluso con un cerebro muy grande y alguna voluntad excepcional.

Tampoco puede cambiarlo si descubre que dentro de su familia hay un defecto en su código genético que causa una gran cantidad de similitudes dentro de sus patrones de iris.

Las técnicas biométricas no pueden adaptarse a:

  1. progreso del ataque
  2. sesgo en su distribución de probabilidad

Con tales defectos, en un mundo real, estas técnicas no deberían sobrevivir.

En las películas de terror (informe minoritario) tienen un éxito merecido.

2
dan