¿La biometría sería más segura si se tratara de una secuencia y no de una sola exploración biométrica?

Question

¿La biometría sería más segura si se tratara de una secuencia y no de una sola exploración biométrica?

#1 de Julian Knight (2 votos)
#2 de thel3l (1 votos)
#3 de Serge Ballesta (1 votos)

3

Estaba mirando esta pregunta ¿Cómo es segura la autenticación de huellas digitales?

Donde se habla de escaneos biométricos, y la respuesta de @Lie Ryan menciona que esto no es un método de autenticación seguro, sino más bien para la identidad y para aquellos que lo están presenciando, al usar su biométrica para identificarse.

Mi pregunta es, ¿qué pasaría si los datos biométricos fueran una serie de exploraciones y no solo una, como una contraseña? En lugar de ingresar 1 letra para una contraseña, usamos una secuencia. ¿Sería seguro si lo hiciéramos para la autenticación a través de la biométrica?

Por ejemplo, ¿qué pasaría si nuestra contraseña biométrica fuera pinky (L), ring (R), Middle (R), pointer (R), pointer (L), pinky (Toe Left), etc.

¿Esto realmente proporcionaría ser seguro? ¿Cuánto más difícil sería descifrar este tipo de escaneo biométrico?

NOTA: Se mencionó en la pregunta anterior, o en otra pregunta que leí, que hablaba sobre el comerciante u otra parte que escaneaba y mantenía sus impresiones en su sistema ... Entiendo que no es bueno, pero ¿No se puede decir lo mismo si ingresó un pin o una contraseña? ¿No sería posible robar esos datos también? El problema es que necesitarían su dispositivo para acceder a los pagos ... ¿verdad? ¿O serían capaces de explotar algo?

De nuevo, mi pregunta es, ¿qué tan segura sería una secuencia de exploraciones biométricas en lugar de una única exploración? ¿Qué tan bueno sería un esquema de autenticación en general, en comparación con las contraseñas?

Gracias a todos, feliz año nuevo.

EDITAR: Las respuestas hasta el momento mencionan que los datos no se pueden cambiar. Mi punto es que con una secuencia de datos biométricos se le está dando un tiempo mucho más difícil. Si consideramos cada biométrico como alfanumérico, ¿por qué no podría funcionar una secuencia? Si se determina que 123F es su contraseña, F123 es completamente diferente, aunque las métricas sean las mismas (no digo que F123 sea seguro, pero saben a qué me refiero).

También, como se mencionó anteriormente, si sus métricas son robadas, al igual que un pin o contraseña, simplemente cambia la secuencia. si el puntero del anillo meñique me quiebra, deberíamos poder hacer el anillo meñique, el anillo del puntero meñique, y debería estar bien.

Como se señala a continuación por @Julian, los análisis en estos días pueden ser complicados, lo que podría afectar todo el proceso, pero es posible que parciales u otros datos puedan ayudar. Además, como al ingresar una contraseña incorrecta varias veces, estas cosas suceden, por lo que con la biométrica es lo mismo.

authentication biometrics

pregunta XaolingBao 01.01.2017 - 15:37

fuente

3 respuestas

Lea otras preguntas en las etiquetas authentication biometrics

¿Cuáles son las diferencias entre la reanudación de sesión basada en el Ticket de sesión y el ID de sesión? ¿Es una buena práctica si todos los programas tienen su propia identificación de usuario? [cerrado]

score 2 · Answer 1

El problema real con la biométrica es que no puede cambiarlos . Bueno, no sin cirugía de todos modos!

Es por eso que nunca debe reemplazar los métodos de autenticación segura con biometría. Como usted dice, todo lo que hace un biométrico es indicar que usted está presente y que realmente solo funciona si hay alguien observando, incluso en ese caso puede haber formas de evitarlo (a-la Mission Impossible style)

Cuando se usa en computadoras portátiles y similares, la biométrica es una comodidad, no tanto una característica de seguridad. Son mejores que usar contraseñas / pines mal elegidos, pero en general no son tan buenos como un buen código de acceso u otra autenticación multifactor. (eso es un poco generalizado, la realidad es bastante más compleja, pero espero que entiendas mi significado).

Entonces, si bien su idea tiene algún mérito, aún le queda el problema de que las métricas reales no se pueden cambiar. Sí, puede cambiar el orden de las métricas pero no las métricas subyacentes en sí mismas.

También tiene el problema de las falsas lecturas con las que lidiar. Cuantas más lecturas tome, más entradas falsas positivas / negativas obtendrá.

Por supuesto, debería tener en cuenta que no todos los datos biométricos son iguales. Es más difícil obtener datos del iris que las huellas digitales, por ejemplo. Pero no es imposible y una vez comprometido ... se acabó el juego.

¿Esto realmente proporcionaría ser seguro?

Escribe eso como si quisieras decir "Seguro"; en realidad estamos hablando de diferentes riesgos . Su idea es un riesgo menor que un solo escaneo de huellas dactilares, pero con un mayor riesgo de lecturas falsas.

¿Cuánto más difícil sería descifrar este tipo de escaneo biométrico?

Algo. Más datos y necesita el orden, no solo las métricas.

manteniendo sus impresiones en su sistema ... Entiendo que no es bueno, pero ¿no se diría lo mismo si ingresara un pin o una contraseña? ¿No sería posible robar esos datos también? El problema es que necesitarían su dispositivo para acceder a los pagos ... ¿verdad? ¿O serían capaces de explotar algo?

De nuevo, el problema aquí es que, una vez comprometido, no puedes cambiarlos. Cuando alguien almacena tus datos biométricos, si están comprometidos, es posible que nunca lo sepas, pero incluso si lo hicieras, no hay nada que puedas hacer al respecto.

¿Qué tan bueno sería un esquema de autenticación en general, en comparación con las contraseñas?

No es bueno. Porque es difícil para los usuarios hacer. Incluso un solo escaneo de huellas dactilares puede ser difícil de lograr y, a menudo, necesita más que un solo intento. No se trata solo de la seguridad, se trata de cómo las personas tienen que interactuar con el sistema.

score 1 · Answer 2

Lo desglosaré así:

¿Es más seguro que la biométrica simple?

Sí. Ya que está integrando dos métodos de autenticación en uno, técnicamente es una mejor opción BUT:

¿Es explotable?

Sí, sí, sí. Podría tener una cámara que grabe todo el proceso, tener un lector desagradable que solo escribe sus huellas dactilares en un lugar (sería mucho más que un dedo, más posibilidades de hacer cosas desagradables), las opciones son infinitas.

tl; dr : es más seguro pero de ninguna manera es irrompible.

score 1 · Answer 3

Ahora se considera como una mejor práctica almacenar solo un hash de contraseñas, porque si la base de datos de contraseñas está comprometida, el atacante solo tiene dificultades para invertir los hashes y el usuario puede cambiar fácilmente su contraseña antes de que se haya roto.

La biometría es, por su propia naturaleza, no un valor exacto. Entonces, compara el dedo guardado y el nuevo y dices que coincide si el error está por debajo de un umbral. Pero esto obliga a almacenar la huella digital (en cualquier otra medida biométrica) en una forma invertible. Por lo tanto, si una base de datos biométrica está comprometida, todas las medidas que contiene están comprometidas, y difícilmente pueden ser revocadas ...

Por esas razones, la biométrica es excelente para identificar de manera segura a una persona cuando un oficial de seguridad controla de visu la operación de medición biométrica, pero no debe usarse nunca para un control remoto. sistema de autentificación.