Es un escaneo ocular biométrico más seguro que una autenticación multifactor

12

He encontrado la siguiente pregunta en una guía de examen de Security +

  

Tiene la tarea de crear un sistema de autenticación de alta seguridad para el control de acceso físico a una instalación militar. ¿Cuál de los siguientes sistemas de autenticación sería el más apropiado?

  1. exploración ocular biométrica
  2. credencial de seguridad
  3. Tarjeta inteligente y PIN
  4. Nombre de usuario y contraseña cifrados

La respuesta al final del capítulo fue:

  

Para instalaciones de alta seguridad, la biometría es un método extremadamente seguro para autenticar a los usuarios en base a características físicas únicas.

Mi pregunta es

¿Cómo es posible que la respuesta no fuera la número 3?

Los malos tendrán que robar la tarjeta inteligente y de alguna manera obtener el PIN del personal autorizado, que es DOS trabajos

mientras que en un escáner ocular biométrico tienen que hacer UN trabajo

    
pregunta Ulkoma 16.08.2014 - 14:32
fuente

5 respuestas

18

La biometría puede ser efectiva como autenticación o como identificación, pero no ambas al mismo tiempo.

Según Wikipedia , las exploraciones de la retina tienen una precisión aproximada de una en un millón, lo que significa que hoy en día hay aproximadamente 7,000 personas que se identificarán como usted en un examen de retina. Suponiendo que no se necesita más autenticación, estas personas serán identificadas y autenticadas como usted en un solo paso (mis-).

Pero si se combina con un paso de identificación externo, la autenticación biométrica se convierte en un segundo factor. Por lo general, la identificación se logra mediante una tarjeta de identificación ("algo que tienes"), mientras que la autenticación se realiza mediante biometría ("algo que eres"). Por lo tanto, resulta ser una verdadera autenticación de dos factores.

Esto es inherentemente mejor que la tarjeta y el pin debido a los tres factores disponibles, "algo que sabes" es el más fácil de falsificar.

Por lo tanto, suponiendo que la identificación se realice utilizando un token de algún tipo (lo cual es muy típico en las instalaciones de autenticación biométrica, pero no se establece explícitamente aquí), la pregunta está mal redactada pero tiene al menos la idea correcta. Suponiendo que, en cambio, el escaneo ocular está solo como identificación y autenticación, entonces la respuesta 3 sería correcta.

De cualquier manera, la pregunta podría usar alguna aclaración. Se refiere a la autenticación sola, sin siquiera una palabra acerca de la identificación; Pero ese es un factor absolutamente crítico para evaluar la seguridad del sistema y definitivamente hace una diferencia aquí. Se deja al lector adivinar el contenido de la cabeza del autor de la pregunta, que es una forma deficiente al escribir exámenes estandarizados.

    
respondido por el tylerl 20.08.2014 - 04:07
fuente
6

Creo que hay una suposición no declarada en la pregunta: que la instalación militar tendrá un guardia en la entrada. Cada ataque a un sistema biométrico que conozco asume un escáner desprotegido o comprometido. Si hay un guardia parado en la verja asegurándose de que está utilizando su globo ocular (no uno que no esté sacado, no una fotografía, no un escáner ficticio conectado en lugar del verdadero) así sucesivamente), una exploración biométrica del ojo es una técnica razonable.

En tal situación, una tarjeta inteligente puede ser robada y un PIN puede ser borrado de la víctima, pero no hay manera de que puedas engañar al guardia para que te permita usar el globo ocular de otra persona.

    
respondido por el Mark 22.08.2014 - 07:33
fuente
5

Te veo con dos preguntas aquí:

  1. ¿Es la respuesta proporcionada por la guía de estudio técnicamente correcta?
  2. ¿Es posible que esta pregunta de muestra no tenga una respuesta clara y es una mala pregunta?

Con respecto a su primera pregunta, creo que tiene un argumento válido de que la tarjeta inteligente / PIN ofrece al menos una seguridad equivalente a un autenticador biométrico. Pero parte de esto depende de cómo se implementan ambos sistemas.

¿La tarjeta inteligente simplemente almacena un valor estático que se presenta, junto con el PIN, al sistema de autenticación? ¿O contiene una clave privada protegida que firma un desafío de una sola vez y solo lo hará cuando reciba directamente el PIN correcto (lo que significa que el sistema de autenticación nunca conoce el PIN)? ¿El "escaneo ocular" (retina, iris u otro) captura suficientes puntos de datos de la imagen para representar un número significativamente grande de posibles patrones? ¿Se ha configurado el sistema biométrico ocular con una precisión adecuada para rechazar las lecturas cercanas (pero no exactas) (tasa de aceptación falsa)?

Pero la guía de examen no proporciona nada de esa información y, por lo tanto, espera que usted tome una decisión bastante desinformada sobre cuál es la mejor. Y eso nos lleva a la segunda pregunta.

No estoy seguro de si esta es su primera certificación técnica o no, pero espero estar frustrado. En un intento de evaluar su conocimiento de una amplia variedad de temas, se encontrará con preguntas como esta en exámenes reales que no tienen una respuesta clara. Pueden confiar en su conocimiento de la guía específica del creador del examen sobre el tema, que podría publicarse en su guía de estudio oficial o material de apoyo.

Pero es posible que solo te queden tratando de aplicar ingeniería inversa las percepciones indocumentadas del autor de la pregunta que los llevaron a elegir una respuesta en lugar de otra. En otras palabras, incluso si no estás de acuerdo, ¿hay una respuesta que desde un punto de vista podría ser la más obvia?

Algunas organizaciones de prueba dedican mucho tiempo y esfuerzo a asegurarse de que sus preguntas estén bien fundamentadas en el consenso de la industria y psicométricamente adecuadas. Pero nuestra industria también tiene muchas preguntas que requieren respuestas para comenzar con "bueno, depende ..." Algunas organizaciones de prueba intentan simplificar esta complejidad para expandir su depósito de preguntas y nos hacen un mal servicio al fingir que hay Es una respuesta clara.

Mi experiencia en tomar y aprobar el examen Security + hace más de 7 años fue que fueron incluidos en este último grupo. Así que, ¡buena suerte para ti y trata de no frustrarte demasiado en el proceso!

    
respondido por el PwdRsch 21.08.2014 - 22:51
fuente
0

Algunas fuentes no estarán de acuerdo con la siguiente declaración, pero debe decirse.

La biometría NO es autenticación. La biometría es IDENTIFICACIÓN.

NO use biométricos para la autenticación, ¡pero puede usarlos para la identificación muy bien!

Hay 3 conceptos importantes para la seguridad:

  • Identificación: Quién eres
  • Autenticación: cómo demuestras quién eres
  • Autorización: qué acceso se obtiene según quién eres

El gran problema con la biometría es que no puedes cambiarlos . Si no puede cambiarlos, ¿qué sucede cuando se los roban?

Para la identificación, puede reutilizar el mismo nombre de usuario o biométrico en todas partes. No importa que reutilices lo mismo ya que eres quien eres. Tampoco es un problema si no puede cambiar, ya que quién eres nunca cambiará.

Por otro lado, para la autenticación, necesitas poder cambiar las cosas en caso de que sean robadas. Puede cambiar lo que sabe, las contraseñas y puede cambiar lo que tiene, teléfono / dispositivo de token / dirección de correo electrónico. Pero, no eres capaz de cambiar lo que eres, bimotric.

Por lo tanto, la biométrica es la peor elección para la autenticación, ya que es realmente una identificación.

La parte buena

Esto no significa que los datos biométricos sean inútiles. De hecho, pueden proporcionar una muy buena identificación, ya que será más difícil para un atacante robar la biométrica de una persona que simplemente escribir su nombre de usuario público.

Pero, es sólo una identificación. Aún necesita autenticación y sí, la autenticación multifactor es mejor que la autenticación única.

Hay 3 cosas que puedes usar para la identificación / autenticación.

  • Algo que sabes: contraseña
  • Algo que tiene: teléfono, dispositivo de token, dirección de correo electrónico
  • Algo que eres: biometría, nombre de usuario

Si desea la mejor seguridad, debe combinarlos de esta manera:

  • Identificación: Algo que eres + Algo que tienes
  • Autenticación: algo que sabes + algo que tienes

Algo que tienes es lo único que se puede usar como identificación y autenticación, ya que se supone que eres el único con él.

Algo de lo que eres no puede ser usado como autenticación ya que no puede cambiar

Algo que sabes no puede usarse como identificación ya que no puedes revelarlo

La respuesta

Si realmente tienes que elegir solo uno, entonces # 3 (tarjeta inteligente + pin) debería ser la respuesta.

Si puedes elegir más de uno, entonces # 1 (escaneo del iris) + # 3 (tarjeta inteligente + pin) proporciona la mejor seguridad

Algunas fuentes

enlace (gran artículo sobre el tema)

  

Los datos biométricos apropiados son solo de identidad y estarán acompañados, como todos   buenos identificadores, por un secreto de algún tipo - un PIN, una clave privada en   una tarjeta inteligente, o, sí, incluso una contraseña.

enlace

enlace

enlace

    
respondido por el Gudradain 20.08.2014 - 15:54
fuente
-1

Sería más fácil derrotar una tarjeta inteligente y un pin, todo lo que tendría que hacer es usar una cámara de orificios para grabar su marca al ingresar al pin y luego robar su tarjeta inteligente. Derrotar una exploración de la retina requiere la fabricación de algún tipo de dispositivo que pueda pasar por un ojo humano real.

Ahora piense lo que sería más extraño para un guardia de seguridad aburrido viendo las tomas de video: ¿alguien inserta una tarjeta inteligente y entra en un pin como todos los demás, o alguien que sostiene un extraño artilugio en el escáner de la retina? Sin duda, es mucho más difícil que no se vea cuando intentas derrotar a un dispositivo biométrico (a menos que sea del tipo de huellas dactilares el-cheapo).

    
respondido por el mricon 16.08.2014 - 15:56
fuente

Lea otras preguntas en las etiquetas