¿Cómo es segura la autenticación de huellas digitales?

6

Últimamente, los datos biométricos se utilizan para la verificación de identidad en todas partes. Visas electrónicas, pasaportes e incluso transacciones bancarias (el sistema UUIDAI Aadhar en India ahora se está utilizando para la verificación de identidad, micropagos, e.t.c.). Todavía no puedo entender cómo puede ser seguro. Aquí hay algunas maneras en que uno podría potencialmente hackear el sistema:

  1. Un dispositivo pirateado de 'escaneo biométrico' puede ser utilizado por, digamos, un comerciante que acepta micropagos. Por lo general, el propio escáner encripta los datos de las huellas dactilares, pero el hackeado no necesita. Por lo tanto, dado que el comerciante tiene sus datos biométricos, puede autorizar los pagos tantas veces como quiera sin el consentimiento del usuario.

  2. El argumento habitual de cómo los datos biométricos son inmutables a diferencia del restablecimiento de contraseñas de texto.

  3. En realidad, no es necesario un escáner pirateado. Uno podría obtener datos biométricos a través de las huellas dactilares dejadas literalmente en cualquier lugar en que se encuentre una persona. Luego se pueden falsificar pasaportes falsos creando un chip inteligente con esos datos. No estoy seguro de cómo smartchips cifran los datos. ¿Se utiliza una técnica de cifrado común con claves diferentes para cada chip utilizado? ¿Entonces el servidor almacena la clave pública de esta clave y la verifica? También he leído que los smartchips realizan algún tipo de computación? ¿Qué se está calculando?

¿Cómo se protegen los sistemas de autenticación de tales ataques?

    
pregunta Zend Mastiff 31.12.2016 - 07:46
fuente

1 respuesta

2

La biometría no es muy segura para la autenticación, pero puede ser lo suficientemente segura para la verificación de identidad para muchas aplicaciones cuando hay un testigo confiable cuando se toma la biométrica. Biométrico también es útil para detectar duplicados. Para el pago biométrico, el testigo de confianza es esencialmente el comerciante. Para la verificación de identidad, el testigo de confianza suele ser un empleado del gobierno. Tenga en cuenta que en la verificación de cuatro identidades, el problema principal es detectar duplicados y el registro biométrico evita que se emitan varias tarjetas de identidad a la misma persona.

El uso de la huella dactilar para el pago es un riesgo de negocio calculado frente a un compromiso de conveniencia. No conozco los detalles del banco de huellas dactilares a los que se refiere, pero supongo que los comerciantes que aceptan la autenticación biométrica tienen la responsabilidad de garantizar que sus clientes no hagan cosas extrañas (como usar dedos falsos) en La máquina de pago. Si el cliente o el banco reclaman que una transacción no está autorizada, el comerciante se consideraría responsable de las transacciones no autorizadas que se emitan utilizando su máquina y / o cuenta de comerciante. Muchos comerciantes legítimos consideran que el riesgo de reversión abusiva es bastante bajo cuando se considera el límite de transacción y los negocios adicionales que reciben debido a la oferta. Los comerciantes que facilitan el fraude, ya sea intencionalmente o por negligencia, deberán reembolsar cualquier pago y serán investigados por el equipo de fraude del banco si detectan un patrón anormal de reversiones y pueden ser incluidos en la lista negra.

Riesgo y seguridad, esto no es muy diferente a una firma dibujada a mano, donde se supone que el comerciante debe comparar la firma visualmente con la firma en el reverso de la tarjeta. El comerciante fraudulento puede usar una máquina modificada para registrar el número de la tarjeta y la firma durante la transacción.

Los Smartchips utilizados en tarjetas bancarias y tarjetas de identidad son esencialmente computadoras muy pequeñas y de bajo consumo con una computación segura y un área de almacenamiento que no se puede leer de la tarjeta sin destruir el chip. El almacenamiento seguro contiene una clave privada y un programa de tarjeta que se ejecuta en el chip utiliza criptografía de clave pública para generar un Firma criptográfica de las transacciones. La firma criptográfica es un número muy grande con respecto a un dato que no puede calcularse sin el conocimiento de la clave privada y sería inválido si se cambia alguna parte de los datos. En una transacción de solo chip (por ejemplo, PayWave, PayPass), la tarjeta firma transacciones de bajo valor sin que el usuario tenga que autenticarse con la tarjeta. En una transacción de chip y pin, el usuario debe ingresar un número de pin que coincida con el pin almacenado en la tarjeta antes de que la tarjeta firme la transacción.

Debido a que la seguridad ha mejorado mucho debido al uso de la firma criptográfica, las transacciones que involucran un chip criptográfico generalmente no ponen la responsabilidad de las transacciones no autorizadas en el comerciante. En su lugar, se convierte en responsabilidad del emisor y del cliente mantener segura su tarjeta.

El chip y la huella digital se pueden implementar como una alternativa más conveniente al chip-and-pin, a la vez que son mucho más seguros que la transacción de firma y deslizamiento sin chip.

En conclusión, sí, la huella digital no es muy segura. Pero cuando el mercado objetivo considera que la alternativa más segura, como chip y pin, es demasiado inconveniente para el mercado objetivo, que se convierte fácilmente en efectivo, sigue siendo una mejora de seguridad en comparación con quedarse con la firma de deslizar y dibujar. Tenga en cuenta que a los bancos y comercios no les importa la seguridad de su tarjeta, si pueden compensar la necesidad de asumir la responsabilidad del fraude con un mayor volumen de transacciones y un procesamiento de pagos más rápido.

    
respondido por el Lie Ryan 01.01.2017 - 08:31
fuente

Lea otras preguntas en las etiquetas