Algunas fuentes no estarán de acuerdo con la siguiente declaración, pero debe decirse.
La biometría NO es autenticación. La biometría es IDENTIFICACIÓN.
NO use biométricos para la autenticación, ¡pero puede usarlos para la identificación muy bien!
Hay 3 conceptos importantes para la seguridad:
- Identificación: Quién eres
- Autenticación: cómo demuestras quién eres
- Autorización: qué acceso se obtiene según quién eres
El gran problema con la biometría es que no puedes cambiarlos . Si no puede cambiarlos, ¿qué sucede cuando se los roban?
Para la identificación, puede reutilizar el mismo nombre de usuario o biométrico en todas partes. No importa que reutilices lo mismo ya que eres quien eres. Tampoco es un problema si no puede cambiar, ya que quién eres nunca cambiará.
Por otro lado, para la autenticación, necesitas poder cambiar las cosas en caso de que sean robadas. Puede cambiar lo que sabe, las contraseñas y puede cambiar lo que tiene, teléfono / dispositivo de token / dirección de correo electrónico. Pero, no eres capaz de cambiar lo que eres, bimotric.
Por lo tanto, la biométrica es la peor elección para la autenticación, ya que es realmente una identificación.
La parte buena
Esto no significa que los datos biométricos sean inútiles. De hecho, pueden proporcionar una muy buena identificación, ya que será más difícil para un atacante robar la biométrica de una persona que simplemente escribir su nombre de usuario público.
Pero, es sólo una identificación. Aún necesita autenticación y sí, la autenticación multifactor es mejor que la autenticación única.
Hay 3 cosas que puedes usar para la identificación / autenticación.
- Algo que sabes: contraseña
- Algo que tiene: teléfono, dispositivo de token, dirección de correo electrónico
- Algo que eres: biometría, nombre de usuario
Si desea la mejor seguridad, debe combinarlos de esta manera:
- Identificación: Algo que eres + Algo que tienes
- Autenticación: algo que sabes + algo que tienes
Algo que tienes es lo único que se puede usar como identificación y autenticación, ya que se supone que eres el único con él.
Algo de lo que eres no puede ser usado como autenticación ya que no puede cambiar
Algo que sabes no puede usarse como identificación ya que no puedes revelarlo
La respuesta
Si realmente tienes que elegir solo uno, entonces # 3 (tarjeta inteligente + pin) debería ser la respuesta.
Si puedes elegir más de uno, entonces # 1 (escaneo del iris) + # 3 (tarjeta inteligente + pin) proporciona la mejor seguridad
Algunas fuentes
enlace (gran artículo sobre el tema)
Los datos biométricos apropiados son solo de identidad y estarán acompañados, como todos
buenos identificadores, por un secreto de algún tipo - un PIN, una clave privada en
una tarjeta inteligente, o, sí, incluso una contraseña.
enlace
enlace
enlace