¿Cómo lidiar con el defecto biométrico mayor: la identificación no revocable?

3

El principal problema con los métodos biométricos de identificación es que son imposible de revocar Una vez que me roben la huella dactilar, bajo cualquier forma, no puedo ponerla en una lista de revocación mundial, ya que hacerlo bloquearía tanto el uso malicioso como mi propio uso legítimo.

Viendo lo fácil que es hacer una huella digital falsa o una imagen del iris con una impresora estándar, tengo una idea de cómo evitar exponer mis atributos personales al riesgo de ser robado.

¿Qué tan técnicamente factible sería para cualquiera hacerse un identificador de proxy basado en el siguiente procedimiento básico?

  1. Un generador aleatorio de buena calidad crea un número matemático de huellas dactilares único, a cambio de la presentación de múltiples pruebas de identidad y Registro de información secreta personal. Una huella digital al azar única se generará como la imagen de huella digital de una parte privada de una clave pública privada tradicional.

  2. Este diseño matemático único está impreso en un dedo falso de plástico sólido: un dedo proxy con un anillo sólido para fijarlo en mi llavero. Esto se usará como una imagen de huella digital de mi clave privada y se usará en una autenticación tradicional de par de claves privadas-públicas.

  3. Utilizo este dedo proxy para identificarme en lugar de mi dedo real.

  4. En caso de que me roben el dedo proxy (físicamente o a través de cualquiera de sus mecanismos de verificación almacenados), lo declaro revocado a través de su número único en una lista de revocación mundial.

  5. GOTO paso 1.

pregunta daniel Azuelos 20.09.2013 - 18:10
fuente

4 respuestas

15

El punto entero de recurrir a la biometría, es decir, tomar medidas físicas de una parte del cuerpo del usuario humano, es que dicha parte del cuerpo está adjunta al usuario , y no se puede cambiar a voluntad (desafortunadamente, se puede eliminar, pero no se puede volver a pegar).

Es cierto que la imposibilidad de revocar la biometría es un problema inherente, para el cual aún no se conoce una buena solución. Sin embargo, si usted evita el problema utilizando un dispositivo externo, como su dedo falso, ¿por qué hacer algo tan burdo como imitar un dedo humano? Sería mucho más simple, y mucho más más seguro , admitir que ahora está utilizando la seguridad basada en dispositivos ("algo que posee" en lugar de "algo que tiene") y convertir el dispositivo en una tarjeta inteligente. o algo similar. Esto ni siquiera es una idea nueva; por ejemplo, en Japón, utilizan sellos para las firmas. Tu dedo proxy es solo un sello japonés en el factor de forma de un accesorio de Halloween.

    
respondido por el Thomas Pornin 20.09.2013 - 18:53
fuente
2

Decir que la huella digital impresa le otorgará acceso es como decir que 'OR' 1 '=' 1 hará lo mismo con contraseñas antiguas y sencillas.

En realidad, hay una manera de proteger (y revocar) las características biométricas. Corto y simple, antes de almacenar los datos biológicos del usuario, el sistema puede distorsionarlo utilizando algún tipo de función no reversible. Si desea obtener más información al respecto, busque " Biometría cancelable "

    
respondido por el StupidOne 20.09.2013 - 19:13
fuente
2

Se supone que un factor biométrico es irrevocable; por lo tanto, debe combinarlo con un factor de autenticación revocable separado. Por ejemplo, la tecla de tarjeta inteligente + el factor biométrico.

Como StupidOne mencionó (upvote su respuesta) , puede combinar (sal) los factores juntos antes de enviarlos al servidor de autenticación, por lo que el servidor nunca almacena el factor biométrico inalterable. Si un atacante roba la "bio-credencial" agregada de un servidor o red, puede revocar la credencial general (a través de algún canal lateral) e introducir una nueva credencial cambiando la tarjeta inteligente o la memoria USB ("algo que tiene"). Puedes mantener tu dedo / globo ocular existente.

La captura importante con Biometría cancelable es que los valores biométricos y de sal originales nunca deben almacenarse solos . Por lo tanto, todos los dispositivos en una red que admiten la revocación deben crear el hash salado dentro del hardware en el sitio. P.ej. Un escáner de huellas dactilares con un lector de tarjetas inteligentes NFC.

    
respondido por el LateralFractal 21.09.2013 - 03:09
fuente
0

Como se ha demostrado muchas veces, todos los sensores de huellas dactilares en el mercado se pueden engañar fácilmente utilizando ingredientes baratos que se pueden comprar en cualquier supermercado. Por lo tanto, las publicaciones anteriores sobre el uso de la combinación de datos biométricos con un token de autenticación regular (como tarjetas inteligentes o contraseñas aleatorias muy largas), son las correctas. Puede engañar a la autenticación biométrica local, pero puede revocar las credenciales utilizadas para la comunicación remota.

enlace

enlace

enlace

    
respondido por el primetomas 23.09.2013 - 10:37
fuente

Lea otras preguntas en las etiquetas