¿Se puede implementar “algo que eres” sin que efectivamente se convierta en “algo que sabes”?

4

De acuerdo con lo que he leído y escuchado, se supone que la autenticación de múltiples factores utiliza múltiples tipos de factores de autenticación, en lugar de diferentes instancias de la misma tipo (p. ej., contraseñas múltiples). Uno de los tipos de factores que se mencionan con mayor frecuencia es "algo que eres", generalmente biométricos como tu huella digital, escaneo de retina, huella de voz, etc.

Sin embargo, cualquier implementación práctica de "algo que eres" requiere que la autenticación se realice mediante la comparación de la huella digital del usuario, la retina, etc. con algún tipo de copia maestra conocida , establecida de antemano.

¿Esto, en efecto, no convierte el "algo que eres" en "algo que sabes", es decir, un secreto compartido, con todas las vulnerabilidades tradicionalmente asociadas con él? El escaneo de huellas dactilares (o lo que sea) puede ser interceptado, copiado, adquirido de un servidor comprometido, etc. Es cierto que no es tan vulnerable a los ataques de ingeniería social porque el usuario no "conoce" su propia huella dactilar, al menos no de una manera que pueda ser utilizada por un tercero.

Me doy cuenta de que si el proceso de verificación es por computadora, entonces "algo que eres" se convertirá en "algo que se puede conocer" (información) en algún momento. Mi pregunta: ¿hay una manera de hacer esto que mitigue la vulnerabilidad? Estoy pensando en algo similar a la forma en que una clave privada almacenada en una tarjeta inteligente es efectivamente "algo que tienes", aunque la clave en sí misma sigue siendo información técnica.

No estoy intentando implementar un sistema así, solo lo pregunto por curiosidad.

    
pregunta Joseph Montanaro 03.10.2016 - 20:53
fuente

3 respuestas

5

El hecho de que esté almacenado en algún lugar no lo convierte en "algo que sabes". Nunca realmente "sabe" su huella digital o el diseño del iris, ya que es demasiado complejo de saber o recordar. Pero eso es realmente solo semántica, no intentaría pensar demasiado en la terminología.

Sin embargo, como señala correctamente, eso no significa que alguien else no lo sepa. El servidor mantiene una copia encriptada (con suerte).

Además, puede ser posible que un atacante obtenga una "copia" suficientemente detallada de su biométrica para poder reproducirla.

¡Esto es particularmente problemático para una huella digital ya que tiendes a dejar copias de ellas en todas partes !

Es por eso que las huellas dactilares, en particular, nunca deben considerarse como reemplazos para una identificación / contraseña, sino como complementarias también. Los inicios de sesión de huellas dactilares son una conveniencia, no una característica de alta seguridad. Son de seguridad relativamente baja, mejor que los usuarios no se molestan en usar ninguna contraseña, pero en ningún caso son tan buenos como un código de acceso seguro. Recuerde que, en particular, la biometría no se puede cambiar, una vez comprometidos siempre están comprometidos.

    
respondido por el Julian Knight 03.10.2016 - 21:05
fuente
2

Esa es la razón por la que nunca debe usar la biométrica solo como autenticación, excepto en entornos seguros. Su huella digital es privada en el sentido de que solo le pertenece, pero como información no: deja una copia cada vez que toma una cerveza en un bar ...

Lo que es peor, es que no tiene forma de revocar su huella digital. Si su contraseña o incluso una clave privada muy compleja sería robada, puede cambiarla fácilmente. Pero una vez que un malvado ha tomado el vaso que acabas de dejar, puede construir una imagen de tu huella digital. Ni siquiera hablar del caso en el que ha robado el teléfono y el documento de identidad con la huella digital ... Y podrá usarlo en cualquier teléfono inteligente o portátil que haya protegido con una huella digital a lo largo de su vida.

Lo dicho en el entorno secure significa que cuando un guardia te ve pasar el dedo por el lector, solo una huella dactilar es un sistema de autenticación muy agradable ...

Para volver a su pregunta inicial, lo que sabe, tiene o está en su lado. En el lado del controlador, siempre es algo que se registra en algún lugar y se compara con lo que usó como credenciales. La comparación puede ser directa si se almacena una copia de la información (para datos biométricos u otras credenciales imprecisas ) o indirecta si solo se mantiene un hash (para contraseñas o claves numéricas).

    
respondido por el Serge Ballesta 04.10.2016 - 11:47
fuente
0

Sí, si un 'algo que eres' se puede capturar en una forma que se pueda usar con un servicio, eso lo reduce efectivamente a 'algo que sabes'. Sin embargo, ese no es necesariamente el caso: considere un escáner de huellas dactilares / sistema de puertas. Si se apodera de la base de datos que contiene las huellas digitales, es probable que sean un hash de digitalizaciones de la huella digital real. Incluso si tiene eso, eso no significa que cuando se enfrenta el escáner físico de huellas dactilares, puede reproducir una huella dactilar (siempre que utilicen la seguridad física adecuada en el escáner y garantice que los "cerebros" del escáner, donde el hashing tiene lugar en el OTRO lado de la puerta; si están en el mismo lado de la puerta, es posible que pueda obtener el hash allí, a menos que haya otras precauciones)

    
respondido por el crovers 03.10.2016 - 21:03
fuente

Lea otras preguntas en las etiquetas