Protegiendo las plantillas de huellas dactilares almacenadas en el servidor de autenticación web

Navega tus respuestas
1

Tengo un servidor de autenticación web de múltiples factores, que además de las contraseñas regulares usa huellas digitales para la autenticación de usuarios.

¿Alguien puede pensar en una falla de seguridad en el siguiente escenario?

Tengo un servidor de recursos que aloja recursos valiosos, el propietario del recurso debe proporcionar su huella digital a un servidor de autenticación para otorgar acceso a sus recursos.

Asegurar los datos de huellas dactilares es crítico. Antes de que el usuario pueda utilizar el sistema. Debe instalar un complemento de navegador web. Durante la instalación del complemento, el complemento se conecta al servidor de autenticación y obtiene un certificado digital del servidor (una clave pública del servidor).

Ahora, cuando el usuario va a la página web del servidor de recursos, escribe su nombre de usuario / contraseña y la página web le pide que escanee su huella digital. Luego, el complemento del navegador web se conecta al escáner de huellas digitales y activa el escáner para escanear la huella digital del usuario.

El complemento obtiene la huella digital del escáner y la cifra con una clave AES de 256 generada aleatoriamente y luego cifra esta AES con la clave pública del servidor de autenticación.

Luego, el complemento devuelve un objeto JSON que contiene la huella digital cifrada y la clave AES cifrada. A continuación, un script Java de la página de inicio de sesión del servidor de recursos utilizando AJAX envía el objeto JSON al servidor de recursos. El servidor de recursos reenvía el objeto JSON al servidor de autenticación.

El servidor de autenticación descifra la clave AES utilizando su clave privada y luego utiliza el AES recuperado para descifrar los datos de la huella digital. Finalmente, compara los datos de huella digital recibidos con la plantilla de huella digital almacenada y devuelve el resultado al servidor de recursos. Según el resultado, el servidor de recursos niega o otorga acceso al usuario.

Las plantillas de huellas dactilares en el servidor de autenticación se almacenan en una base de datos cifrada usando una clave de 256 AES.

    
pregunta Ubaidah 04.08.2014 - 10:52
fuente

2 respuestas

1
  

El complemento obtiene la huella digital del escáner y la cifra con una clave AES de 256 generada aleatoriamente y luego cifra esta AES con la clave pública del servidor de autenticación.

Sí ... la gran pregunta es ...

¿Dónde está almacenando la clave privada del servidor?

Si está en un HSM, entonces genial. Si no, entonces hay un buen enlace débil ....

    
respondido por el user3083 04.08.2014 - 18:42
fuente
0

  1. "El sistema de identificación biométrica en las puertas de la CIA La sede funciona porque hay un guardia con una gran arma haciendo seguro que nadie está intentando engañar al sistema ". Bruce Schneier, 2009 . Un lector de huellas dactilares sin que el guardia lo mire es. nada como seguro.

  2. En segundo lugar, el complemento de su navegador no está probado como software propietario de lo que más se puede decir es que el proveedor afirma que es seguro, & no has oído hablar de que se haya realizado ingeniería inversa & spoofed ... todavía. ¿No es así?

En un contexto comercial, vería quién asume el riesgo si el sistema es hackeado. ¿El contrato del vendedor ofrece compensación o seguro? Especialmente cuando la culpa parcial se une a ti, por ejemplo. el empleado dejó la computadora portátil en el tren, o un servidor bajo su administración es hackeado.

¿No son los tokens físicos más simples y mucho más probados en el camino para su segundo factor en lugar de la biométrica?

    
respondido por el Chris F Carroll 05.09.2014 - 12:25
fuente

Lea otras preguntas en las etiquetas

paquetes DNS durante el envenenamiento ARP Anonimización de tráfico a través de enrutamiento - software y algoritmos