Esto parece un poco como usar la contraseña para ambos propósitos.

Técnicamente, esto funciona, siempre que las personas usen contraseñas lo suficientemente sólidas, todas las contraseñas de las personas serán únicas (como lo hará una buena biométrica), y por lo tanto, puede imaginar un sistema donde la identificación también se pueda lograr utilizando solo una contraseña.

Sin embargo, esto abriría una gran falla ya que un atacante ya no tendrá que encontrar la autenticación que coincida con una determinada identidad: todo lo que tendrá que hacer es adivinar cualquier autenticación válida que coincida con cualquier identidad y el acceso será otorgado.

Esto hace que la tarea del atacante sea mucho más fácil, lo que a su vez hace que dicho sistema no sea adecuado como control de acceso principal.

Sin embargo, en entornos de alta seguridad, este sistema podría adoptarse fácilmente como una defensa de segunda línea no obstructiva:

• En la entrada de la instalación o área, realiza una identificación tradicional + verificación de autenticación,
• Dentro de la instalación o área, implementa controles no obstructivos, evitando que los empleados pierdan el tiempo identificándose cada vez que desean abrir una puerta o cruzar un pasillo, pero permiten detectar si alguien logró pasar por alto el sistema de seguridad de la entrada principal.

Ahora, siguiendo su comentario, desde un punto de vista más teórico, "si la" contraseña "es lo suficientemente fuerte y única (asumiendo que ningún atacante puede imitar, sé que esta suposición no es práctica)" , luego sí todo el sistema de identificación + autenticación puede confiar en el proceso de autenticación.

Incluso si sale del mundo biométrico, incluso puedo pensar en una aplicación concreta de esto: los certificados X.509.

Aunque los certificados por sí mismos respetan la dualidad de identificación (nombre distinguido) y la autenticación (clave privada del propietario del certificado), la seguridad del certificado se basa en el hecho de que cada las claves secretas que componen la cadena de certificación deben permanecer desconocidas. . Por lo tanto, es suficiente que un atacante encuentre cualquiera de las claves privadas que componen la cadena de confianza de un certificado para romper el sistema de autenticación basado en el certificado correspondiente (entonces podría falsificar nuevos certificados "válidos" a voluntad, o usar su redacción para < em> imitar una firma válida).

Esto funciona porque las cadenas de certificación suelen ser cortas, no cuentan miles de niveles. Si bien es suficiente para que un atacante encuentre cualquier clave, el rango de las claves válidas sigue siendo muy estrecho, mientras que el rango de posibles claves es muy grande, por lo que no es práctico tal ataque (¡afortunadamente!). En otras palabras, esto nos permite asumir que un atacante no puede imitar certificados legítimos.

En teoría, podría expandir esto a la autenticación biométrica en un momento dado en el tiempo. Esto no resuelve problemas biométricos específicos, pero siempre que un atacante no pueda encontrar o reproducir ningún token de identificación / autenticación, no importa qué sea, entonces sí, puede combinar la identificación y la autenticación en un solo paso .

No estoy seguro de si se puede usar como un sistema de autenticación independiente, pero se puede usar como parte del sistema de autenticación de múltiples factores.

Referencia:

Más información:

Identificación

La identificación no es más que afirmar que eres alguien. Te identificas cuando hablas con alguien por teléfono que no conoces y te preguntan con quién están hablando. Cuando dices: "Soy Jason", acabas de identificarte.

En el mundo de la seguridad de la información, esto es análogo a ingresar un nombre de usuario. No es análogo a ingresar una contraseña. Ingresar una contraseña es un método para verificar que usted es quien se identificó y ese es el siguiente en nuestra lista.

Autenticación

La autenticación es la forma en que uno prueba que son quienes dicen ser. Cuando afirmas ser Jane Smith iniciando sesión en un sistema informático como "jsmith", lo más probable es que te pida una contraseña. Has afirmado ser esa persona al ingresar el nombre en el campo de nombre de usuario (esa es la parte de identificación), pero ahora debes demostrar que realmente eres esa persona. La mayoría de los sistemas usan una contraseña para esto, que se basa en "algo que sabes", es decir, un secreto entre tú y el sistema.

Otra forma de autenticación es presentar algo que tiene, como una licencia de conducir, un token RSA o una tarjeta inteligente. También puede autenticarse a través de algo que eres. Esta es la base para la biometría. Cuando haces esto, primero te identificas y luego envías una huella digital, un escaneo de retina u otra forma de autenticación de base biológica.

Una vez que se haya autenticado correctamente, ahora ha hecho dos cosas: ha afirmado ser alguien y ha demostrado que es esa persona. Lo único que queda es que el sistema determine qué está permitido hacer.

Aquí hay algunas cosas que debe considerar:

1. La biometría puede ser robada con bastante facilidad. Todavía no hemos descubierto ninguna información biométrica que pueda ser verificada solo por una parte y por una parte. Dejas huellas dactilares dondequiera que vayas, es posible que en el futuro se desarrollen cámaras HD que podrían reunir la suficiente resolución para el escaneo de retina.

2. La biometría es inmutable. Una vez filtrada, no puede cambiar los patrones de retina, huella digital u ondas cerebrales. No fácilmente por lo menos.

3. La biometría es inconstante. Su huella digital puede tener cortes, puede tener cataratas, por lo que necesita un método de acceso de respaldo.

4. La seguridad de la biometría depende de la seguridad del lector. A menos que lleves tus propios lectores biométricos de confianza, básicamente estás confiando en una máquina que se coloca en un lugar bastante público, por cualquiera.

La biometría es conveniente. Y en configuraciones de baja seguridad, la biométrica puede ser suficiente, pero la seguridad seria nunca dependerá solo de la biométrica.