Estoy tratando de determinar cómo se puede usar la autenticación de múltiples factores (por ejemplo, huellas dactilares, exploraciones del iris, reconocimiento de voz, etc.) para autenticar a los usuarios en servidores web dentro de una organización mientras se preservan las identidades de los usuarios.
Por ejemplo, compartir una huella digital del usuario con el servidor web para la validación no funciona porque permite que el servidor web use la huella digital para actuar como ese usuario en otros servidores.
El uso de un hash de la huella dactilar protege la huella dactilar del usuario, pero ahora el hash se puede reutilizar para actuar como el usuario, incluso sin tener la huella dactilar en sí. La huella dactilar está protegida (asumiendo la sal adecuada, etc.), pero la identidad del usuario no lo está.
Para abordar la reutilización, el usuario puede enviar un hash de la combinación de la huella dactilar y un nonce proporcionado por un validador independiente, y el servidor solicita al validador que confirme este hash. Sin embargo, esto requiere un validador confiable que pueda suplantar a cualquier usuario de la organización.
Otra idea se basa en PKI. La huella dactilar se utiliza como semilla para un generador determinista de par de claves pública / privada y la clave pública se incorpora a un certificado firmado. El par de claves se vuelve a generar durante un escaneo de huellas dactilares y se usa para autenticar. Este método parece el más prometedor, pero no conozco ninguna implementación.
¿Existe una forma estándar de realizar la autenticación de múltiples factores en una organización que no cede la identidad del usuario a otra entidad?