Autenticación vs. verificación en general y con biometría

Question

Autenticación vs. verificación en general y con biometría

#1 de DodgyG33za (1 votos)
#2 de Steve DL (1 votos)

3

Estoy leyendo Lo básico de la seguridad de la información, 2do. Ed., Andress, Jason.

Dice en la página 25, "La verificación de la identidad es un paso más allá de la identificación, pero todavía es un paso corto para la autenticación, que veremos en la siguiente sección". Luego continúa mencionando que incluso si los documentos que prueban a quién se presenta, eso es solo "verificación" y no "autenticación". Está bien, pero él nunca discute la "verificación" de nuevo en detalle.

En la página 26, dice que "la autenticación es, en un sentido de seguridad de la información, el conjunto de métodos que utilizamos para establecer una declaración de identidad que se ha hecho es correcto". Está bien genial.

En la página 31, dice: "Cuando completamos una transacción de autenticación con un identificador biométrico, esencialmente le pedimos al usuario que proporcione evidencia de que él o ella es quien dice ser; esto, por definición, es la verificación. , y no la autenticación ". Ahora estoy perdido.

He investigado más sobre la diferencia entre "verificación" y "autenticación", pero simplemente no sé dónde está la diferencia crucial, y supongo que es sutil.

Sé que hay dos tipos de autenticación biométrica, la verificación de que los datos coinciden con los datos de la persona que el presentador dice que es, y la identificación, donde se intenta un intento de coincidencia con todas las entradas en la base de datos biométrica.

¿Cómo puede ser la presentación de información biométrica por inscripto otra cosa que no sea la autenticación?

authentication identification

pregunta Raw_Input 19.09.2014 - 04:41

fuente

2 respuestas

1

Mi respuesta es puramente especulativa, basada en mi propia interpretación y necesitaría algún tipo de validación. No conozco ninguna fuente autorizada que responda a la pregunta y puedo muy bien estar cometiendo errores. Alguna ayuda de la comunidad SE es muy apreciada. Hasta ahora, las siguientes fuentes parecen coincidir con mi interpretación:

Un comunicado de prensa de 2009 de una compañía llamada "Electronic Sistemas de verificación " que pueden o no ser correctos
Múltiples interpretaciones hechas por miembros de la comunidad de Security StackExchange en una pregunta relacionada como lo señala TildalWave
El artículo de Wikipedia sobre la verificación en dos pasos (que tiene una lista de referencias útiles) resume la diferencia como siendo uno de "[habiendo obtenido] ninguna prueba [...] de que el portador de la unidad es idéntico al propietario de la unidad"

Creo que lo que se quiere decir es que puede verificar la supuesta identidad de un usuario (es decir, el factor de autenticación proporcionado es correcto y corresponde a alguien) sin creer que esta identidad es auténtica (los factores pueden ser falsificados o robados).

El proceso de autorización

Primero, proporciona información que informa a un sistema de su identidad . En este punto, si esta identidad corresponde a un usuario del servicio, entonces usted está identificado . La identidad debe ser verificada generalmente mediante factores de autenticación que se supone que pertenecen exclusivamente a la persona de la identidad mencionada anteriormente. A continuación, debe proporcionar estos factores.

Un sistema puede verificar que estos factores son correctos (usted proporciona los factores que se almacenaron junto con la identidad que reclama) pero cree que son no auténticos - porque son falsificables o fáciles de robar y reutilizar o debido a otras señales.

Una vez que haya autenticado , está seguro de que un extremo remoto posee una característica auténtica (en el caso de que discuta, una identidad auténtica, pero podría estar verificando que una característica relevante para la autorización, por ejemplo, un token). no está forjado sino "semánticamente válido"). El siguiente paso sería lógicamente autorización , que decide si las características auténticas otorgan un privilegio.

Un poco más de especulación

En operación, ¿tiene sentido suponer que los factores verificados no son auténticos? En un sistema de circuito cerrado que no tiene en cuenta ninguna señal externa, no: ¿por qué aceptaría factores si cree que pueden ser falsificados o robados fácilmente?

Sin embargo, algunos sistemas de autenticación, como el de Google Mail, utilizarán información como su dirección IP y el agente de usuario del navegador y desde donde generalmente se conecta como factores de autenticación implícitos que complementan su contraseña y / o PIN ( los explícitos ). Si los factores implícitos no coinciden, Google puede creer que sus factores explícitos correctos pueden no ser auténticos y pueden negarse a autenticarlo.

La discusión hecha por el autor parece apuntar hacia la idea de que los factores biométricos son un factor menos auténtico que los factores basados en el conocimiento. Esta es una opinión que no voy a discutir. :-)

respondido por el Steve DL 22.09.2014 - 14:30

fuente

Lea otras preguntas en las etiquetas authentication identification

¿Enrutador WIFI en casa seguro? Cifrado autenticado de la capa de enlace frente a la autenticación

score 1 · Accepted Answer

La verificación es el acto de probar su identidad. La autenticación es el acto de demostrar que usted es la misma persona que antes, sin saber necesariamente quién es esa persona.

re: biometría, creo que la confusión se reduce a la naturaleza de la biométrica. Un nombre de usuario / contraseña (algo que sabes) no dice nada sobre quién eres. Lo mismo ocurre con un token de hardware (algo que usted tiene).

El autor del libro que está leyendo es de la opinión de que, dado que la biometría es algo que usted es, no se puede distinguir de un evento de verificación.

Este no es siempre el caso por al menos dos razones: 1. La presentación de su biométrica se comparará con la biométrica preinscrita. Esto no dice nada sobre quién eres, solo que eres la misma persona que estaba presente en la inscripción. 2. Los datos almacenados para un biométrico pueden ser menores que los requeridos para un evento de verificación. Si el sistema no te identifica, no puede ir y obtener muestras adicionales, lo que podrías hacer si estuvieras realizando una verificación.

Considere el uso de datos biométricos para proteger la privacidad de los datos. Un sistema puede usar un biométrico para proteger los datos que ingresó, de modo que solo se le muestren cuando regrese. Si este sistema no vincula la biométrica a una identidad a través de un proceso de verificación, la biométrica es tanto un factor de autenticación como una contraseña emitida para el mismo proceso.