Come è protetta l'autenticazione dell'impronta digitale?

Naviga le tue risposte
6

Ultimamente, la biometria viene utilizzata ovunque per la verifica dell'identità. e-Visti, passaporti e anche transazioni bancarie (il sistema UUIDAI Aadhar in India viene ora utilizzato per la verifica dell'identità, micro-pagamenti, e.t.c.). Non riesco ancora a capire come possa mai essere sicuro. Ecco alcuni modi in cui potenzialmente si potrebbe hackerare il sistema:

  1. Un dispositivo di "scansione biometrica" compromesso può essere utilizzato, ad esempio, da un commerciante che accetta micro-pagamenti. Di solito, lo scanner stesso crittografa i dati delle impronte digitali, ma quello hackerato non è necessario. Quindi, dal momento che il commerciante ha i suoi dati biometrici, può autorizzare i pagamenti tutte le volte che vuole senza il consenso dell'utente.

  2. La solita argomentazione su come i dati biometrici siano immutabili, diversamente dalla reimpostazione delle password di testo.

  3. In realtà, non è necessario uno scanner compromesso. Si potrebbero ottenere dati biometrici attraverso le impronte digitali lasciati letteralmente ovunque sia una persona. Quindi i falsi passaporti possono essere falsificati creando un chip intelligente con quei dati. Non sono sicuro di come smartchips crittografi i dati. È utilizzata una tecnica di crittografia comune con chiavi diverse per ogni chip utilizzato? Quindi il server memorizza la chiave pubblica di questa chiave e la verifica? Ho anche letto che gli smartchips eseguono una sorta di calcolo? Cosa viene calcolato?

In che modo i sistemi di autenticazione sono protetti da tali attacchi?

    
posta Zend Mastiff 31.12.2016 - 07:46
fonte

1 risposta

2

Biometric non è molto sicuro per l'autenticazione, ma può essere abbastanza sicuro per la verifica dell'identità per molte applicazioni quando c'è un testimone attendibile quando viene eseguita la biometria. Biometrico è anche utile per rilevare i duplicati. Per il pagamento biometrico, il testimone fidato è essenzialmente il commerciante. Per la verifica dell'identità, il testimone fidato è solitamente un impiegato governativo. Si noti che quattro verifica dell'identità, il problema principale è la rilevazione di duplicati e la registrazione biometrica impedisce efficacemente alla stessa persona di emettere più carte d'identità.

L'uso dell'impronta digitale per il pagamento è un rischio aziendale calcolato rispetto al compromesso della convenienza. Non conosco i dettagli delle impronte digitali a cui ti riferisci, ma suppongo che i commercianti che accettano l'autenticazione biometrica abbiano la responsabilità di garantire che i loro clienti non facciano cose strane (come usare le dita false) su la macchina di pagamento Se il cliente o la banca sostiene che una transazione non è autorizzata, il commerciante sarà considerato responsabile per la transazione non autorizzata che viene emessa utilizzando la propria macchina e / o l'account commerciante. Molti commercianti legittimi ritengono che il rischio di un'inversione abusiva sia piuttosto basso se si considera il limite di transazione e le attività aggiuntive che ricevono a causa dell'offerta dell'opzione. I commercianti che facilitano le frodi, intenzionalmente o per negligenza, dovranno rimborsare qualsiasi pagamento e saranno esaminati dal team di frodi della banca se rileveranno un modello anomalo di inversioni e potrebbero diventare inseriti nella lista nera.

Per quanto riguarda il rischio e la sicurezza, questo non è molto diverso da una firma disegnata a mano, dove il commerciante dovrebbe confrontare visivamente la firma con la firma sul retro della carta. Il commerciante fraudolento può utilizzare una macchina modificata per registrare il numero e la firma della carta durante la transazione.

Gli smartchips usati nelle carte bancarie e nelle carte d'identità sono essenzialmente computer molto piccoli, a bassa potenza con un calcolo sicuro e un'area di memoria che non può essere letta dalla carta senza distruggere il chip. La memoria sicura contiene una chiave privata e un programma di carte in esecuzione nel chip utilizza crittografia a chiave pubblica per generare un firma crittografica delle transazioni. La firma crittografica è un numero molto grande per quanto riguarda un dato che non può essere calcolato senza la conoscenza della chiave privata e che diventerebbe non valido se qualsiasi parte dei dati viene modificata. In una transazione solo chip (ad esempio PayWave, PayPass), la carta firma transazioni di basso valore senza che l'utente debba autenticare con la carta, in una transazione chip-and-pin, l'utente deve inserire un numero pin corrispondente al pin memorizzato in la carta prima che la carta segni la transazione.

A causa della sicurezza notevolmente migliorata dovuta all'uso della firma crittografica, le transazioni che coinvolgono chip crittografici di solito non mettono la responsabilità della transazione non autorizzata sul commerciante. Invece, diventa responsabilità dell'emittente e del cliente mantenere la propria carta sicura.

Chip-and-fingerprint può essere implementato come un'alternativa più conveniente al chip-e-pin, pur essendo molto più sicuro della transazione senza chip e senza firma.

In conclusione, sì, l'impronta digitale non è molto sicura. Ma quando l'alternativa più sicura come il "chip-and-pin" è considerata troppo scomoda dal mercato di riferimento che passa prontamente al contante, è comunque un miglioramento della sicurezza rispetto al rimanere con la firma "strisciata e disegnata". Tieni presente che le banche e i commercianti non si preoccupano della sicurezza della tua carta, se possono compensare il dover sostenere l'onere della responsabilità da frode con un aumento del volume delle transazioni e un'elaborazione dei pagamenti più rapida.

    
risposta data 01.01.2017 - 08:31
fonte

Leggi altre domande sui tag

Assegnazione sicura delle autorizzazioni amministrative locali Curiosa sull'implementazione di Microsoft "Buffer Security Check"