Junto con un colega, discutimos la forma de autenticación biométrica y cómo funciona esto.
A ambos nos interesa la seguridad, pero estamos lejos de ser expertos en el aspecto técnico. Por lo tanto, estamos llegando a usted.
El siguiente caso debería servir como ejemplo:
Un empleado desea acceder a un área restringida y necesita autenticarse mediante huella digital para hacerlo. Entonces, pone su dedo en el escáner que obviamente escanea sus minucias y compara esto con las minucias conocidas por ese usuario. Si el resultado se encuentra dentro de un corredor de error aceptable, el escáner señala el mecanismo de la puerta para desbloquear.
Hasta ahora, todo bien.
Pero, ¿cómo funciona esto desde un aspecto práctico y técnico?
- ¿Cómo almacena el escáner la información de autenticación? Suponemos que el sistema probablemente escanea la huella dactilar y calcula algún valor específico del proveedor a partir de ese escaneo. Esta información se incluye y se almacena en alguna base de datos / contenedor.
- ¿Cómo compara el escáner la información en el caso de la solicitud de ¿acceso? ¿El dispositivo de escaneo en sí produce un valor de hash y lo envía a un servidor de autenticación? ¿Existe alguna autenticación fuera de línea como pasar valores hash directamente en el dispositivo de autenticación?
Veo los siguientes riesgos:
- Tan pronto como pueda obtener el valor hash, es cuestión de tiempo. hasta que el problema subyacente para el algoritmo hash será abordado y puedo recalcular los datos reales de huellas dactilares y por lo tanto podría copiar a esa persona siempre y cuando el proveedor (productor del dispositivo) no cambia su forma de crear los datos de huellas dactilares.
- Puedo interceptar la transmisión de los valores entre el dispositivo y servidor.
¿Existen otros ataques conocidos en tales dispositivos, excepto los ataques de falsificación, como fingir una huella digital para engañar a la actividad de escaneo? Estamos más enfocados en el aspecto técnico.
Cualquier comentario sobre este tema sería muy apreciado.