De acuerdo con lo que he leído y escuchado, se supone que la autenticación de múltiples factores utiliza múltiples tipos de factores de autenticación, en lugar de diferentes instancias de la misma tipo (p. ej., contraseñas múltiples). Uno de los tipos de factores que se mencionan con mayor frecuencia es "algo que eres", generalmente biométricos como tu huella digital, escaneo de retina, huella de voz, etc.
Sin embargo, cualquier implementación práctica de "algo que eres" requiere que la autenticación se realice mediante la comparación de la huella digital del usuario, la retina, etc. con algún tipo de copia maestra conocida , establecida de antemano.
¿Esto, en efecto, no convierte el "algo que eres" en "algo que sabes", es decir, un secreto compartido, con todas las vulnerabilidades tradicionalmente asociadas con él? El escaneo de huellas dactilares (o lo que sea) puede ser interceptado, copiado, adquirido de un servidor comprometido, etc. Es cierto que no es tan vulnerable a los ataques de ingeniería social porque el usuario no "conoce" su propia huella dactilar, al menos no de una manera que pueda ser utilizada por un tercero.
Me doy cuenta de que si el proceso de verificación es por computadora, entonces "algo que eres" se convertirá en "algo que se puede conocer" (información) en algún momento. Mi pregunta: ¿hay una manera de hacer esto que mitigue la vulnerabilidad? Estoy pensando en algo similar a la forma en que una clave privada almacenada en una tarjeta inteligente es efectivamente "algo que tienes", aunque la clave en sí misma sigue siendo información técnica.
No estoy intentando implementar un sistema así, solo lo pregunto por curiosidad.