¿Qué tan seguro es usar su huella digital como contraseña contra los ladrones oportunistas?

asumiendo que no tienen acceso a sus huellas digitales

Creo que esta suposición es incorrecta. Las huellas digitales se pueden extraer de muchas cosas que toca o incluso de las fotos .

Pero supongamos que "ellos" no pueden hacer eso:

Una contraseña es digital. Es exacto Si su contraseña es "IiL1l", es trivial comprobar que no es "1iLlI". Las huellas dactilares no son digitales. Cada dispositivo que valida su huella digital solo puede comparar el escaneo que realiza con algún modelo de cómo se ve su huella digital.

Esto no parece gran cosa, pero tiene enormes consecuencias. Para cifrar cosas, las contraseñas se convierten en claves (utilizando algo llamado función de derivación de clave). Si cambia solo una letra de su contraseña, se derivará una clave completamente diferente. La clave nunca se almacena en el dispositivo. Cada vez que descifras algo, la clave se deriva de tu contraseña nuevamente. La clave está no almacenada en cualquier lugar. Debido a que su contraseña siempre es exactamente la misma y la derivación de la clave es determinista, la clave siempre es la misma y el descifrado funciona.

Para las huellas dactilares, eso no funciona. Los sensores de huellas dactilares funcionan de manera diferente, pero al final siempre obtiene algo que se parece a una imagen en blanco y negro / escala de grises. Intente un experimento más simple: ponga una sola hoja de papel en su escritorio. Tomar una camara Toma dos fotos que sean exactamente iguales. No podrás hacer eso, ¡y para una huella digital es mucho más difícil!

Debido a eso, no es posible derivar una clave de su huella digital. Su huella dactilar y la clave se almacenan en el dispositivo. El dispositivo comprueba si su huella dactilar se parece a la almacenada y luego libera la tecla ya almacenada en el dispositivo .

Debido a esto, una huella digital siempre será menos segura que una contraseña segura.

Veamos primero la efectividad de la biometría

Las tecnologías biométricas se evalúan según tres criterios básicos:

La tasa de rechazos falsos

Percentage of authorized users who are denied access;

Tasa de aceptación falsa

Percentage of unauthorized users who are granted access;

Tasa de error de cruce

The level at which the number of false rejections equals the false acceptance.

Entre todos los datos biométricos posibles, solo tres características humanas se consideran verdaderamente únicas:

Fingerprints, retina of the eye, iris of the eye

La tasa de error de cruce es el punto en el que se intersecan las tasas de rechazo falso y falsa, es posiblemente la medida general de precisión más común e importante para un sistema biométrico. El ajuste a un extremo crea un sistema que requiere coincidencias perfectas y da como resultado una alta tasa de falsos rechazos, pero excesivamente falsos aceptaciones. El truco es encontrar un buen equilibrio entre los dos (cerca del punto en que las dos tasas de error son iguales).

La mayoría de las tecnologías que analizan las características humanas convierten estas imágenes en alguna forma de minucias . Cada intento de acceso posterior genera una medición que se compara con un valor codificado para verificar la identidad del usuario. Un problema con este método es que el cuerpo humano cambia debido a una enfermedad, lesiones, etc.

Las huellas digitales no cambian, pero pueden ser difíciles de leer si una persona tiene un gran desgaste en los dedos.

Huellas digitales:

  

Universitaly: Medium , Uniqueness: High , Permanence: High , Collectability:    Medio , Rendimiento: Alto , Aceptabilidad: Medio , Circunvención: Alto +/strong>

Pregunta:

  

¿existen problemas de seguridad conocidos o potenciales?

Sí. Un sistema que utiliza la biometría como una solución de seguridad debe tener un buen TCB (base de computación confiable) para hacer cumplir la política de seguridad. Esto se refiere a las reglas de configuración de un sistema. TCB está formado por el hardware y el software que se ha implementado para proporcionar seguridad a un sistema de información en particular. (Kernel del sistema operativo y un conjunto específico de utilidades de seguridad, como el subsistema de inicio de sesión del usuario). Hardware y software débiles == sistema de inicio de sesión débil que se puede omitir.

  

¿Las huellas dactilares son fácilmente recuperables de los casos de los teléfonos?

No es fácil, pero posible

  

¿Puede un pirata informático promedio con acceso completo a su teléfono intentar adivinar las "contraseñas" que representan su huella digital?

Depende de la TCB (hardware y software). En un software débil, seguro que es posible.

  

¿Qué tan único y complejo es una huella digital en comparación con una contraseña?

Las huellas digitales se consideran verdaderamente únicas.

Fuente: Micheal E. Whitman (ph.D, CISM, CISSP), Principios de seguridad de la información, 2015

El problema de un teléfono protegido por una huella dactilar es que es probable que el cristal del teléfono tenga su huella dactilar, a menos que siempre use guantes. Entonces, si un atacante puede aislar una huella dactilar del teléfono, puede construir una imagen de ella y pasarla al escáner. Requiere tecnología específica (piense en TV Experts ...), pero en mi humilde opinión es mucho más simple que adivinar una contraseña correcta . Reconozco que para robar lo que se encuentra en mi teléfono personal, la relación ganancia / costo es todavía muy inferior a 1 y un atacante probablemente ni siquiera lo intentará. Pero si mi teléfono tuviera datos realmente confidenciales, no confiaría en solo una huella digital.

Una huella digital es solo un sistema de autenticación correcto si alguien controla que realmente sea la huella digital de tu propio dedo.