Tasa de aceptación falsa en la autenticación biométrica para información sensible

Navega tus respuestas
2

Cada tipo de autenticación biométrica tendrá una tasa de aceptación falsa, que es la probabilidad de que el sistema acepte incorrectamente un intento de acceso por parte de un usuario no autorizado. Por supuesto, cuando se combinan factores biométricos con otros factores de autenticación (por ejemplo, contraseñas o un dispositivo de seguridad), las posibilidades de que alguien obtenga acceso se reducen significativamente.

Sin embargo, cuando se trata de información altamente confidencial (por ejemplo, para el acceso a la banca, los sistemas que requieren el cumplimiento de PCI, el cumplimiento de HIPAA, etc.), donde incluso un solo incumplimiento podría implicar un gran riesgo, ¿cuál sería una tasa de aceptación falsa aceptable para la autenticación biométrica? ¿Cuándo se combina con otro factor de autenticación?

Por ejemplo, si el FAR es del 1% y combino esa forma de autenticación con la contraseña, ¿sería aceptable en este caso? ¿Qué pasa con el 0,1%? 0.001? Me doy cuenta de que esto es relativamente subjetivo, pero no tengo idea de lo que sería un buen rango, por lo que cualquier dato, estudio o caso de uso real sería apreciado, si es posible.

    
pregunta Mike 07.10.2017 - 07:46
fuente

2 respuestas

4

Apple Touch ID tiene un FAR de 1 / 50,000 mientras que Face ID tiene un FAR de 1 / 1,000,000

enlace

Android también insiste en tener un MUCHO no superior al 0,002% (1 en 50,000). (Fuente: Documento de definición de compatibilidad de Android 7.0)

Una empresa llamada Eyeverify tiene un blog muy relevante sobre este tema. También parecen sugerir que un FAR de 1 en 50,000 es suficientemente bueno y tienen clientes en el sector bancario.

enlace

    
respondido por el Tyrian Pi 07.10.2017 - 12:22
fuente
0

Al hacer este cálculo necesitas trabajar en probabilidad.

Así que usas tu ejemplo bancario. El FAR puede ser del 1% para la autenticación de huellas dactilares utilizada en la bóveda del banco, sin embargo, también puede haber un escaneo de retina en el 0,2% FAR. Pero imagine que este escaneo de retina es autenticado por otro administrador del banco, por lo que ambos deben estar presentes para abrir la bóveda, usando una huella digital y un escaneo de retina.

Entonces, podrías calcular la FAR combinada para ambos, pero eso no sería una representación precisa del riesgo, ya que la probabilidad de encontrar personas que puedan desencadenar un falso positivo se vuelve exponencialmente más alta.

En todos los sistemas de alto valor, una evaluación basada en el riesgo debe basarse en la probabilidad de eventos. Me doy cuenta de que esto puede no responder directamente a sus preguntas, pero puede ayudar con el contexto. Es decir, en lugar de

"lo que es un FAR aceptable"

Puede ser más beneficioso preguntar:

"Cuál es un riesgo aceptable, basado en la probabilidad de eludir la autenticación biométrica con falsos positivos".

    
respondido por el Trickycm 07.10.2017 - 12:11
fuente

Lea otras preguntas en las etiquetas

¿Cómo afecta la evaluación de riesgos a la política de seguridad de la información? ¿Debe renovarse una certificación PCI-DSS?