¿Cómo es seguro un sistema de autenticación biométrica?

5

Imagínese que tengo una aplicación que utiliza una autenticación basada en datos biométricos (como una huella digital). Toma su hash y lo envía al servidor. El servidor tiene una copia del hash y compara los dos.

Ahora hackeo el servidor y robo el hash. Ahora puedo pasar por alto la prueba de huellas dactilares. Además, digamos que el hash no fue tan bueno (o lo fue y ahora las computadoras son más rápidas, así que puedo hacer un ataque de fuerza bruta). Ahora conozco la huella digital para poder iniciar sesión en cualquier sistema que lo requiera.

Si esta hubiera sido una contraseña, se nos habría aconsejado cambiarla; pero en este caso, ¿qué se supone que debe hacer la víctima ya que no puede cambiar su dedo?

    
pregunta John 08.10.2014 - 22:29
fuente

6 respuestas

3

Su pregunta no enumera los principales problemas de seguridad con la biométrica, y la razón por la que no se utilizan para asegurar nada valioso excepto como un mecanismo adicional después de sus 2 factores normales.

1) Las firmas biométricas no son únicas

Puede asumir cómodamente que hay muchas personas con huellas digitales que coincidirán con las suyas en cualquier grado medido por los sistemas biométricos de huellas digitales. Es por esto que la policía no puede confiar en las huellas dactilares como evidencia. Lo mismo ocurre con los escáneres de retina, etc., por lo que todos los sistemas biométricos están diseñados para asumir falsos positivos y negativos.

2) No puedes cambiarlos fácilmente

Imagina que un atacante encuentra a alguien con la misma huella dactilar que tú, y descubres esto. ¿Cómo cambias tu huella dactilar para que no puedan acceder pero tú puedas? Aparte de la cirugía, etc., en realidad no es posible.

3) Como John señala en el comentario a continuación, los datos biométricos no son secretos

Así que la primera línea de tu pregunta es realmente incorrecta. Los sistemas de autenticación biométrica no son seguros. En cambio, cuando se usan con un nombre de usuario y contraseña, por ejemplo, pueden aumentar la confianza que tiene el sistema de que usted es la persona que dice ser.

    
respondido por el Rory Alsop 08.10.2014 - 22:52
fuente
2

Realmente depende del nivel de precisión utilizado por el sistema de autenticación biométrica. Demasiado preciso, y provocará falsos rechazos; demasiado relajado, y permite a otras personas iniciar sesión como usted.

El método básico para autenticar una huella digital utiliza el reconocimiento de patrones, por ejemplo:

seguidodeladefinicióndelcentrodelpatrónprincipalyelseguimientodelasposicionesrelativasdelasprincipalescaracterísticasdeminuciosidad,comolasbifurcaciones,losextremosdelascrestasylasislasdecrestas:

Un ejemplo simple utilizando una cuadrícula de baja precisión de 10x10 con centro como 5,5 generaría una codificación similar a una contraseña como:

LB23E75 (patrón de bucle; bifurcación en 2,3; cresta que termina en 7,5)

Un sistema complejo usaría una cuadrícula de alta precisión y extraería características de minucias menores así como las principales, lo que resultaría en una codificación más parecida a una contraseña, como:

LD2988B2336E7251X3011 (patrón de bucle; delta en 29,88; bifurcación de cresta en 23,36; cresta que termina en 72,51; cruce en 30,11)

Estos puntos de datos se procesan, almacenan y almacenan en la base de datos.

Como cada sistema de autenticación de huellas digitales es único, la misma huella digital puede producir diferentes codificaciones. Una codificación de alta precisión es muy parecida a una contraseña muy larga. Cuanto más larga es una contraseña, más difícil es la fuerza bruta. ¿Ha intentado forzar una contraseña de 12 caracteres con MD5?

Ser capaz de romper el hash de un sistema de autenticación de baja precisión y aplicar ingeniería inversa a una huella digital de baja calidad no le permite acceder a un sistema de autenticación de mayor precisión. En cualquier caso, aún tiene que pasar la autenticación (es decir, generar una huella digital "real") incluso si puede extraer el hash y agrietarlo.

Una forma mucho más fácil es levantar una huella dactilar directamente de una persona para poder recopilar todos los puntos de datos. Pero entonces, el éxito del cual también depende de la tecnología utilizada en el sensor de huellas dactilares junto con otras formas de autenticación en su lugar.

Lo que no he mencionado hasta ahora es que algunos sistemas (especialmente el gobierno) sí almacenan una imagen escaneada de la huella digital y se autentican mediante la superposición y la comparación gráfica con la huella digital capturada. Dicho sistema, cuando está comprometido, puede inutilizar todo el esquema de autenticación de huellas dactilares.

    
respondido por el Question Overflow 09.10.2014 - 06:06
fuente
0
  

Ahora hackeo el servidor y robo el hash. Ahora puedo pasar por alto el   prueba de huellas dactilares.

No, su razonamiento no es correcto: no podemos omitir el mecanismo de autenticación simplemente teniendo el hash (de la huella digital) porque introducir el hash en la máquina producirá otro hash diferente del que reside en el servidor.

En otras palabras:

  

Una función hash es cualquier función que se puede usar para mapear datos digitales   de tamaño arbitrario a datos digitales de tamaño fijo, con leve   Las diferencias en los datos de entrada producen diferencias muy grandes en la salida.   datos.

    
respondido por el user45139 08.10.2014 - 22:46
fuente
0

La seguridad de un sistema de autenticación biométrica depende de la seguridad física del dispositivo de entrada. Si el atacante tiene control físico del dispositivo de entrada, puede omitirlo ingresando directamente un hash robado; Si el dispositivo no está monitoreado, el atacante puede usar un dedo / ojo / cualquier cosa falsos para ingresar datos biométricos robados.

    
respondido por el Mark 08.10.2014 - 22:51
fuente
0

Tu huella digital se deja en cada espacio que ha tocado tu mano, por lo que no es algo secreto, como puedes pensar como una contraseña.
Para el acceso remoto , no puede confiar solo en la biométrica para la autenticación, al contrario que en acceso en el sitio , donde tenemos la capacidad de reconocer a la persona cuando la usa Un servicio o un dispositivo.

    
respondido por el elsadek 09.10.2014 - 00:13
fuente
-2

Su pregunta se puede resumir en pocas palabras: tengo la huella digital de alguien, ¿puedo personificarlo y autenticarlo en un sistema biométrico?

En mi opinión, NO puede, nunca he tratado con tales sistemas, pero no puede ser tan fácil de evitarlos o el mundo de seguridad estaría en un caos total, ya que puede encontrar huellas dactilares de personas de alto perfil en todas partes. Es muy fácil levantar las huellas dactilares de los objetos utilizando kits que incluso se venden a los niños en estos días

    
respondido por el Ulkoma 09.10.2014 - 00:49
fuente

Lea otras preguntas en las etiquetas