Esto parece un poco como usar la contraseña para ambos propósitos.
Técnicamente, esto funciona, siempre que las personas usen contraseñas lo suficientemente sólidas, todas las contraseñas de las personas serán únicas (como lo hará una buena biométrica), y por lo tanto, puede imaginar un sistema donde la identificación también se pueda lograr utilizando solo una contraseña.
Sin embargo, esto abriría una gran falla ya que un atacante ya no tendrá que encontrar la autenticación que coincida con una determinada identidad: todo lo que tendrá que hacer es adivinar cualquier autenticación válida que coincida con cualquier identidad y el acceso será otorgado.
Esto hace que la tarea del atacante sea mucho más fácil, lo que a su vez hace que dicho sistema no sea adecuado como control de acceso principal.
Sin embargo, en entornos de alta seguridad, este sistema podría adoptarse fácilmente como una defensa de segunda línea no obstructiva:
- En la entrada de la instalación o área, realiza una identificación tradicional + verificación de autenticación,
- Dentro de la instalación o área, implementa controles no obstructivos, evitando que los empleados pierdan el tiempo identificándose cada vez que desean abrir una puerta o cruzar un pasillo, pero permiten detectar si alguien logró pasar por alto el sistema de seguridad de la entrada principal.
Ahora, siguiendo su comentario, desde un punto de vista más teórico, "si la" contraseña "es lo suficientemente fuerte y única (asumiendo que ningún atacante puede imitar, sé que esta suposición no es práctica)" , luego sí todo el sistema de identificación + autenticación puede confiar en el proceso de autenticación.
Incluso si sale del mundo biométrico, incluso puedo pensar en una aplicación concreta de esto: los certificados X.509.
Aunque los certificados por sí mismos respetan la dualidad de identificación (nombre distinguido) y la autenticación (clave privada del propietario del certificado), la seguridad del certificado se basa en el hecho de que cada las claves secretas que componen la cadena de certificación deben permanecer desconocidas. . Por lo tanto, es suficiente que un atacante encuentre cualquiera de las claves privadas que componen la cadena de confianza de un certificado para romper el sistema de autenticación basado en el certificado correspondiente (entonces podría falsificar nuevos certificados "válidos" a voluntad, o usar su redacción para < em> imitar una firma válida).
Esto funciona porque las cadenas de certificación suelen ser cortas, no cuentan miles de niveles. Si bien es suficiente para que un atacante encuentre cualquier clave, el rango de las claves válidas sigue siendo muy estrecho, mientras que el rango de posibles claves es muy grande, por lo que no es práctico tal ataque (¡afortunadamente!). En otras palabras, esto nos permite asumir que un atacante no puede imitar certificados legítimos.
En teoría, podría expandir esto a la autenticación biométrica en un momento dado en el tiempo. Esto no resuelve problemas biométricos específicos, pero siempre que un atacante no pueda encontrar o reproducir ningún token de identificación / autenticación, no importa qué sea, entonces sí, puede combinar la identificación y la autenticación en un solo paso .