Dispositivo biométrico en lugar de contraseña - seguridad de firma

5

Supongamos que existe un algoritmo bio-métrico para la autenticación de usuarios que compara las huellas digitales con la firma de un usuario guardada en una base de datos (la función de comparación no es importante aquí). A continuación, hay un dispositivo con un sensor de huellas dactilares y una memoria para guardar la firma del usuario. Ahora tenemos dos opciones:

  1. Coloque el algoritmo y la firma en el dispositivo: el dispositivo computa y envía información a la PC sobre la coincidencia de la huella digital capturada con la firma
  2. Coloque la firma solo en el dispositivo: el dispositivo envía la huella dactilar y la firma a la PC que ejecutará el algoritmo de autenticación

En cada caso, los datos están cifrados y hay algún protocolo de seguridad utilizado en la comunicación.

La pregunta es, ¿qué método es más seguro?

No estoy familiarizado con la seguridad de TI, pero veo un riesgo con ambos métodos. En el caso 2, alguien puede interceptar la firma y descifrar su cifrado. En el caso 1, veo un problema con un mensaje enviado a la PC. ¿Qué información se necesita para confirmar que este mensaje fue de nuestro dispositivo y que contiene una respuesta de coincidencia verdadera? ¿El cifrado de conexión proporciona esa información?

    
pregunta tobix10 26.07.2015 - 12:50
fuente

2 respuestas

2

En general, el método 1 es más seguro, ya que es posible garantizar que la imagen de la huella digital nunca abandone el escáner, por lo que no se puede copiar de forma trivial a través del software comprometido. Se puede emplear alguna tecnología anti-manipulación para que sea muy costoso tratar de extraer datos del dispositivo.

Su preocupación acerca de cómo el escáner le demuestra a la computadora que la huella digital real se escanea normalmente se realiza al hacer que el dispositivo mantenga algún secreto. Por ejemplo, cuando se inscribe una huella digital, el escáner también acepta la clave secreta con el host. Cada vez que un usuario necesita ser autenticado, el host le pedirá al dispositivo que realice una operación que solo es posible con el conocimiento del secreto.

Un escáner de este tipo suele estar vinculado a otro hardware de seguridad (como un TPM en PC o un coprocesamiento de seguridad en los teléfonos), de modo que la huella digital correcta active la clave de seguridad para el cifrado de datos. Todos estos se manejan fuera de la CPU principal, por lo que los datos no se pueden descifrar prácticamente sin la huella dactilar.

    
respondido por el billc.cn 07.03.2016 - 16:29
fuente
-3

La seguridad en esta realización particular es generalmente bastante baja. Pero una propuesta que podría hacer, es hacer algo de hash dentro del dispositivo de huellas dactilares si es posible. Entonces el software en la PC obtendrá el hash como contraseña. De esta manera, su información de huellas dactilares es pequeña más segura y usted tiene una contraseña rápida y segura sin esfuerzo.

Editar:

Lo siento por esta explicación incorrecta. Lo que asumí es que estás construyendo el dispositivo al que te refieres. Así que propuse que el dispositivo podría enviar un hash estándar aleatorio producido y guardado en caso de reconocimiento correcto de huellas dactilares. ¡No la huella digital en sí misma! Así que ninguna información de huellas dactilares deja el hardware. Solo el hash.

    
respondido por el Kostas 07.03.2016 - 12:54
fuente

Lea otras preguntas en las etiquetas