Autenticación bajo las restricciones: solo información pública [cerrada]

-1

¿Cuáles son algunos sistemas de verificación de identidad que se ajustan a este tipo de restricciones?

  1. No es necesario que el sujeto conozca una información específica (por ejemplo, siempre con una contraseña o fecha de nacimiento)
  2. No se garantiza que el autenticador tenga una información específica sobre la persona (por ejemplo, no tienen las huellas dactilares de todos)
  3. El autenticador tiene toda la información pública y semi-pública (por ejemplo, las posibles imágenes de perfil, todo el contenido web accesible, datos de código abierto y tal vez algunos datos que puede comprar, no hay información de vigilancia del gobierno)
pregunta Maggie 10.11.2017 - 00:26
fuente

2 respuestas

1

Un documento de identidad / pasaporte emitido por el gobierno

  

No es necesario que el sujeto sepa una información específica (por ejemplo, siempre con una contraseña o fecha de nacimiento)

No se necesita información del usuario.

  

No se garantiza que el autenticador tenga una información específica sobre la persona (por ejemplo, no tiene las huellas dactilares de todos)

El autenticador valida que la ID sea válida (emitida por el gobierno). Esto puede ser por inspección física si nos encontramos en un escenario IRL, o verificando que esté firmado por la CA del gobierno correspondiente.

En cualquier caso, el autenticador no necesita los datos de todos.

  

El autenticador tiene toda la información pública y semipública

El autenticador no necesita información de vigilancia del gobierno, confía en esa identificación válida.

  

La identidad está realmente verificada

Si se espera que la identificación sea realizada por un humano, puede ser suficiente comparar tu foto con la de la identificación.

Si la identificación es contra una máquina, hay un par de opciones:

a) el ID contiene datos adicionales que pueden ser extraídos por el autenticador (por ejemplo, puede leer las huellas digitales almacenadas en el e- pasaporte ). Sin embargo, esto no es conveniente desde el punto de vista de la privacidad, ya que requiere que los datos biométricos se puedan leer desde la ID.

b) la ID tiene un chip que puede validar los datos de huellas dactilares obtenidos externamente (como lo hacen algunas tarjetas de identificación nacionales). El autenticador proporcionaría un lector de huellas digitales, cuya entrada se pasaría al chip de la tarjeta de identificación. Si el chip acepta la identidad como válida y muestra evidencia de ser una ID real, por ejemplo. verifique que pueda firmar un nonce proporcionado por el autenticador con un certificado firmado y no revocado por el CA de identidad del gobierno.

    
respondido por el Ángel 10.11.2017 - 01:54
fuente
1

Dependiendo de su significado, esto puede no ser un sistema viable. Hay tres tipos diferentes de factores que se pueden usar para la autenticación: qué tienes, quién eres y qué sabes.

Lo que sabes Por lo que sabe, su restricción es que solo puede utilizar información disponible públicamente. Esto descarta esto como un medio seguro de autenticación, ya que cualquier cosa que el público sepa, un atacante también sabe, por lo que no hay información privada aceptable en esta categoría.

Quien eres Menciona específicamente que no tiene huellas dactilares, pero no está muy claro qué quiere decir con ese punto. Si tiene información pública que se valida como genuina, puede ser útil autenticar a alguien, pero verificar la autenticidad de la información enviada es un problema ya que, de nuevo, la información está disponible para un atacante. Si controla el sistema tomando las medidas de autenticación, puede hacer que esto funcione, pero si está trabajando a través de Internet, es probable que no tenga suerte, dada la restricción del conocimiento público.

Lo que tienes Si las personas tienen alguna forma de identificación criptográfica validada públicamente, esto podría usarse para la autenticación. De forma similar, si no lo hacen, podría usar una autenticación única a través de medidas biométricas y luego emitir una identificación criptográfica que podría usarse para la autenticación. Si se autentica en persona, también se pueden usar identificaciones no criptográficas. Dicho esto, todavía existe el problema potencial de robo. Lo que tienes, por sí mismo, es una forma de autenticación relativamente débil, ya que es el único de los tres factores que se ve comprometido de forma trivial mediante el robo.

Como puede ver, esto realmente no deja mucho en el camino de las buenas opciones. Puede ir a pruebas de conocimiento público, pero a menudo un atacante puede tener menos problemas con esto que una persona real. Si le pide a una persona promedio información de su informe de crédito, por ejemplo, es probable que no lo sepan y si lo buscan, también lo puede hacer un atacante. Un atacante también puede tener un perfil lo suficientemente completo como para competir con una persona real para hacerse pasar por el conocimiento de su vida.

    
respondido por el AJ Henderson 10.11.2017 - 16:18
fuente

Lea otras preguntas en las etiquetas