A lo largo de los años, la biometría es el mecanismo de autenticación de películas, pero en el mundo real estoy obteniendo opiniones contradictorias al respecto. Todo lo que he aprendido muestra que la biometría es defectuosa debido a dos razones principales: son credenciales no revocables y se pueden falsificar fácilmente.
Entonces, ¿cuál es el estado de la nación cuando se trata del uso biométrico en comparación con otros mecanismos como tarjetas inteligentes o OTP?
Hay algunas otras razones:
Las mejores prácticas de seguridad en estos días (como la línea de base de la certificación CISSP para las prácticas de seguridad) no apuntan a que la biometría sea el fin de todo, la seguridad. La mejor práctica es construir un sistema con una colección de mecanismos de autenticación que sean apropiados para el sistema, la información que contiene, las amenazas y vulnerabilidades esperadas y las formas en que se debe usar el sistema.
No sé que nadie pueda decir más allá de la duda cuál es el "estado de la nación", es una afirmación bastante amplia. Pero puedo decir que las mejores prácticas comunes actualmente no obligan a la biometría como una solución única para todos. Yo diría que, en el mejor de los casos, son algo que todavía está en desarrollo y se trata con una cierta cantidad de dudas.
La biometría también se puede falsificar, como las huellas digitales . Por el contrario, forjar una clave rsa de 1024 bits en una tarjeta inteligente es mucho más difícil que una huella digital. Sin embargo, cada uno de los procesos de autenticación que agregue eleva la barra para el atacante (y molesta a los usuarios). Esta es la base de la autenticación de múltiples factores.
La forma más común de autenticación de dos factores que veo en el mundo corporativo es un Key Fob y una contraseña. Esto es realmente bueno para defenderse contra ataques comunes, como obtener un hash de contraseña de una base de datos con inyección de SQL y descifrarlo. Si esto fuera un banco, entonces sí, yo también agregaría biometría. Depende de lo que estés tratando de proteger.
Una diferencia clave más entre la autenticación biométrica y cualquier otra técnica de autenticación.
Frente al progreso de la técnica de ataque, cualquier algoritmo se puede mejorar al ampliar el tamaño del campo para atacar a través de la fuerza bruta. Por ejemplo, los algoritmos donde la fuerza es proporcional a un tamaño de clave pueden fortalecerse al anunciar públicamente que a partir de ahora los tamaños de clave inferiores a N bits están prohibidos.
Al enfrentar el descubrimiento de debilidades internas dentro de los algoritmos dados, esta información puede publicarse y la opción de usar estos algoritmos más débiles puede estar oficialmente prohibida.
No existe tal libertad con las técnicas biométricas.
No puedes aumentar la variabilidad de tu patrón de iris, incluso con un cerebro muy grande y una voluntad excepcional.
Tampoco puede cambiarlo si descubre que dentro de su familia hay un valor predeterminado dentro de su código genético que causa una gran cantidad de similitudes dentro de sus patrones de iris.
Las técnicas biométricas no pueden adaptarse a:
Con tales defectos, en un mundo real, estas técnicas no deberían sobrevivir.
En las películas de terror (informe minoritario) tienen un éxito merecido.
Una tarjeta inteligente o OTP puede ser atacada por debilidades algorítmicas internas (Por ejemplo, un PRNG que solo debe usarse para la depuración y se usa inadvertidamente en entornos de producción). Estas debilidades conocidas y desconocidas constituyen la superficie de ataque de estas técnicas de autenticación. Yo diría que su superficie de exposición al ataque es simplemente algorítmica .
Por otro lado, las técnicas biométricas tienen una superficie de exposición mucho más grande. Para tomar un ejemplo bastante simple, el uso de huellas dactilares dentro de un biométrico esquema de autenticación ofrece 3 rutas de ataque:
El enfoque físico
Ofrezca una copa de champán a la víctima durante un evento social. Evento físico, y logran recuperar el vaso para conseguir un alto. imagen de definición de las huellas dactilares de destino.
El ataque de almacenamiento
Todas estas huellas digitales deben almacenarse de forma local o central.
Roba el Phone5 de la víctima objetivo y
A través de interfaces físicas consigue el contenido interno y ataca al
Huella digital almacenada y encriptada. Si se almacenan centralmente,
ya que no estamos en el espacio mágico tiempo donde viven 0 probabilidades,
este almacenamiento central se romperá tarde o temprano.
El ataque algorítmico
Como cualquier otra técnica de autenticación, lectura de huellas dactilares, almacenamiento y La comparación utilizará algoritmos. Por lo tanto esta autenticación también está expuesta. a ataques algorítmicos .
Yo diría que su superficie de exposición al ataque es de 3 caras: físico , almacenamiento y algorítmico .
Una técnica de autenticación de huellas dactilares es un objetivo 3 veces más interesante que un algoritmo OTP.
Lea otras preguntas en las etiquetas authentication multi-factor biometrics