È una scansione biometrica più sicura di un'autenticazione a più fattori

Naviga le tue risposte
12

Ho trovato la seguente domanda in una guida per l'esame di sicurezza +

You are tasked with creating a high-security authentication system for physical access control to a military installation. Which of the following authentication systems would be most appropriate?

  1. Scansione biometrica dell'occhio
  2. Badge di sicurezza
  3. Smart card e PIN
  4. Accesso e password crittografati

La risposta alla fine del capitolo era:

For high-security installations, biometrics is an extremely secure method to authenticate users based on unique physical characteristics.

La mia domanda è

Com'è possibile che la risposta non fosse il numero 3?

I cattivi dovranno rubare la smart card e in qualche modo ottenere il PIN dal personale autorizzato che è DUE lavori

mentre in una scansione biometrica degli occhi devono fare UN lavoro

    
posta Ulkoma 16.08.2014 - 14:32
fonte

5 risposte

18

La biometria può essere efficace come autenticazione o identificazione, ma non entrambe allo stesso tempo.

Secondo Wikipedia , le scansioni della retina sono accurate a circa uno su un milione, il che significa che oggi sulla terra ci sono approssimativamente 7.000 individui che saranno identificati come voi in una scansione retinica. Supponendo che non sia necessaria un'ulteriore autenticazione, queste persone saranno identificate e autenticate come te in un singolo (errato) passo.

Ma se accoppiata con una fase di identificazione esterna, l'autenticazione biometrica diventa un secondo fattore. In genere l'identificazione viene eseguita da un badge identificativo ("qualcosa che hai") mentre l'autenticazione avviene attraverso la biometria ("qualcosa che sei"). Quindi risulta essere un'autentica autenticazione a due fattori.

Questo è intrinsecamente meglio di card-and-pin a causa dei tre fattori disponibili, "qualcosa che conosci" è il più facile da falsificare.

Quindi, supponendo che l'identificazione avvenga usando un token di qualche tipo (che è molto tipico nelle installazioni di autenticazione biometrica, ma non esplicitamente dichiarato qui), allora la domanda è mal formulata ma ha almeno l'idea giusta. Supponendo invece che la scansione dell'occhio sia indipendente sia come identificazione che come autenticazione, allora la risposta 3 sarebbe corretta.

In entrambi i casi, la domanda potrebbe richiedere alcuni chiarimenti. Si riferisce all'autenticazione da sola senza nemmeno una parola sull'identificazione; ma questo è un fattore assolutamente critico nella valutazione della sicurezza del sistema e sicuramente fa la differenza qui. È lasciato al lettore il compito di indovinare il contenuto della testa della scrittrice di domande, che è una forma scadente nella scrittura di test standardizzati.

    
risposta data 20.08.2014 - 04:07
fonte
6

Penso che ci sia una supposizione inespressa nella domanda: che l'installazione militare avrà una guardia all'ingresso. Ogni attacco a un sistema biometrico di cui sono a conoscenza presuppone uno scanner non protetto o compromesso. Se c'è una guardia in piedi al cancello, assicurandoti che stai usando il tuo occhio (non uno scavato, non una fotografia, non uno scanner fittizio collegato al posto di quello reale, e così via), una scansione oculare biometrica è una tecnica ragionevole.

In una situazione del genere, una smart card può essere rubata e un PIN può essere eliminato dalla vittima, ma non c'è modo che tu possa ingannare la guardia facendoti usare il bulbo oculare di qualcun altro.

    
risposta data 22.08.2014 - 07:33
fonte
5

Ti vedo come se avessi due domande qui:

  1. La risposta fornita dalla guida allo studio è tecnicamente corretta?
  2. È possibile che questa domanda di esempio non abbia una risposta chiara e è una domanda sbagliata?

Per quanto riguarda la tua prima domanda, penso che tu abbia un argomento valido sul fatto che smart card / PIN offra almeno una sicurezza equivalente a un autenticatore biometrico. Ma parte di questo dipende da come vengono implementati entrambi i sistemi.

La smart card memorizza semplicemente un valore statico che viene presentato, insieme al PIN, al sistema di autenticazione? Oppure contiene una chiave privata protetta che firma una sfida una tantum e lo farà solo quando riceve direttamente il PIN corretto (il che significa che il sistema di autenticazione non conosce mai il PIN)? La "scansione oculare" (retina, iride o altro?) Acquisisce un numero sufficiente di punti dati dall'immagine per rappresentare un numero significativamente elevato di possibili pattern? Il sistema biometrico dell'occhio è stato configurato con una precisione appropriata per rifiutare letture ravvicinate, ma non esatte (tasso di accettazione errato)?

Ma la guida per l'esame non fornisce alcuna di queste informazioni e quindi si aspetta che tu prenda una decisione abbastanza disinformata su quale sia la migliore. E questo ci porta alla seconda domanda.

Non sono sicuro che questa sia la tua prima certificazione tecnica o no, ma aspetto di essere frustrata. Nel tentativo di valutare la tua conoscenza di un'ampia varietà di argomenti, troverai domande come questa su veri e propri esami che non hanno una risposta chiara. Possono fare affidamento sulla tua conoscenza delle specifiche indicazioni dell'istruttore sull'argomento, che potrebbero essere pubblicate nella loro guida di studio ufficiale o nel materiale di supporto.

Ma potresti semplicemente essere lasciato a cercare di decodificare le percezioni non documentate dello scrittore di domande che le hanno portate a scegliere una risposta rispetto ad un'altra. In altre parole, anche se non sei d'accordo, c'è una risposta che da un punto di vista potrebbe essere quella ovvia?

Alcune organizzazioni di test impiegano molto tempo e sforzi per assicurarsi che le loro domande siano entrambe ben fondate nel consenso dell'industria e in termini psicometrici. Ma il nostro settore ha anche molte domande che richiedono risposte per iniziare "bene, dipende ..." Alcune organizzazioni di test cercano di semplificare questa complessità allo scopo di estendere il loro repository di domande e ci fanno un disservizio nel fingere che ci siano è una risposta chiara.

La mia esperienza nel prendere e superare l'esame Security + circa 7+ anni fa era che erano inclusi in quest'ultimo gruppo. Quindi, buona fortuna a te e cerca di non sentirti troppo frustrato nel processo!

    
risposta data 21.08.2014 - 22:51
fonte
0

Alcune fonti non saranno d'accordo con la seguente affermazione, ma va detto.

I dati biometrici NON sono l'autenticazione. I dati biometrici sono IDENTIFICAZIONE.

NON usare biometrico per l'autenticazione, ma puoi usarli per l'identificazione bene!

Esistono 3 concetti importanti per la sicurezza:

  • Identificazione: chi sei
  • Autenticazione: come provi chi sei
  • Autorizzazione: quale accesso ottieni in base a chi sei

Il grosso problema con il biometrico è che non sei in grado di cambiarli . Se non sei in grado di cambiarli, cosa succede quando vengono rubati?

Per l'identificazione, puoi riutilizzare lo stesso nome utente o biometrico ovunque. Non importa che riutilizzi la stessa cosa visto che è chi sei. Inoltre, non è un problema se non può cambiare poiché chi sei non cambierà mai.

Per l'autenticazione, d'altra parte, devi essere in grado di cambiare le cose in caso di furto. Sei in grado di cambiare ciò che sai, le password e sei in grado di cambiare quello che hai, telefono / dispositivo token / indirizzo email. Ma non sei in grado di cambiare quello che sei, bimotric.

Quindi, il biometrico è la scelta peggiore per l'autenticazione in quanto è davvero un'identificazione.

La parte migliore

Questo non significa che la biometria sia inutile. In effetti, possono fornire un'identificazione molto buona in quanto sarà più difficile per un utente malintenzionato rubare il biometrico di una persona piuttosto che scrivere semplicemente il suo nome utente pubblico.

Ma è solo un'identificazione. Hai ancora bisogno dell'autenticazione e sì l'autenticazione a più fattori è migliore dell'autenticazione singola.

Ci sono 3 cose che puoi usare per l'identificazione / autenticazione.

  • Qualcosa che conosci: password
  • Qualcosa che hai: telefono, dispositivo token, indirizzo email
  • Qualcosa che sei: dati biometrici, nome utente

Se desideri la massima sicurezza, devi combinarli in questo modo:

  • Identificazione: Qualcosa che sei + Qualcosa che hai
  • Autenticazione: qualcosa che conosci + qualcosa che hai

Qualcosa che hai è l'unica cosa che può essere usata sia come identificazione che come autenticazione poiché si presume che tu sia l'unico con esso.

Qualcosa che non può essere usato come autenticazione in quanto non può cambiare

Qualcosa che conosci non può essere utilizzato come identificazione, in quanto non puoi rivelarlo

La risposta

Se devi sceglierne solo uno, allora la # 3 (smart card + pin) dovrebbe essere la risposta.

Se ne puoi scegliere più di uno, allora il # 1 (iris scan) + # 3 (smart card + pin) fornisce la migliore sicurezza

Alcune fonti

link (ottimo articolo sull'argomento)

Proper biometrics are identity only and will be accompanied, like all good identifiers, by a secret of some kind -- a PIN, a private key on a smart card, or, yes, even a password.

link

link

link

    
risposta data 20.08.2014 - 15:54
fonte
-1

Sarebbe più facile sconfiggere una smartcard e un pin: tutto quello che dovresti fare è usare una telecamera a foro stenopeico per registrare il tuo segno inserendo il pin e poi rubare la loro smartcard. Per sconfiggere una scansione della retina è necessario fabbricare un tipo di dispositivo che possa passare per un vero occhio umano.

Ora pensa che sarebbe più strano per una guardia di sicurezza annoiata che guarda i feed video - qualcuno che inserisce una smartcard e inserisce un pin come tutti gli altri, o qualcuno che sorregge uno strano congegno allo scanner retinico? Sicuramente è molto più difficile sembrare poco appariscente quando stai cercando di sconfiggere un dispositivo biometrico (a meno che non si tratti di un tipo di impronta digitale el-cheapo).

    
risposta data 16.08.2014 - 15:56
fonte

Leggi altre domande sui tag

La pubblicazione di un diagramma di rete renderebbe la rete meno sicura? Perché Facebook non usa HSTS da molto tempo dopo che è diventato disponibile?