Un "qualcosa che sei" può essere implementato senza trasformarsi efficacemente in "qualcosa che conosci"?

Question

Un "qualcosa che sei" può essere implementato senza trasformarsi efficacemente in "qualcosa che conosci"?

#1 da (5 voti)
#2 da (2 voti)
#3 da (0 voti)

4

Secondo quanto ho letto e sentito, l'autenticazione a più fattori dovrebbe utilizzare diversi tipi di fattori di autenticazione, piuttosto che solo istanze diverse dello stesso tipo (ad es. password multiple). Uno dei tipi di fattori più frequentemente menzionati è "qualcosa che sei", di solito una biometria come la tua impronta digitale, la scansione retinica, l'impronta vocale, ecc.

Tuttavia, qualsiasi implementazione pratica di "qualcosa che sei" richiede che l'autenticazione avvenga confrontando l'impronta digitale dell'utente, la retina ecc. con una sorta di copia master conosciuta , precedentemente stabilita.

Questo, in effetti, non trasforma il "qualcosa che sei" in "qualcosa che conosci", cioè un segreto condiviso, con tutte le vulnerabilità tradizionalmente associate ad esso? La scansione delle impronte digitali (o qualunque cosa sia) può essere intercettata, copiata, acquisita da un server compromesso, ecc. Certo, non è vulnerabile agli attacchi di social engineering perché l'utente non "conosce" la propria impronta digitale, almeno non in un modo che può essere utilizzato da una terza parte.

Comprendo che se il processo di verifica avviene tramite computer, il "qualcosa che sei" sarà convertito in "qualcosa di conoscibile" (informazioni) ad un certo punto. La mia domanda: esiste un modo per attenuare la vulnerabilità? Sto pensando a qualcosa di simile al modo in cui una chiave privata memorizzata su una smart card è effettivamente "qualcosa che hai", anche se la chiave stessa è ancora tecnicamente informazione.

Non sto cercando di implementare un sistema del genere, sto solo chiedendo per curiosità.

multi-factor

posta Joseph Montanaro 03.10.2016 - 20:53

fonte

3 risposte

Leggi altre domande sui tag multi-factor

App Android: le autorizzazioni richieste segnalate prima dell'installazione sono fuorvianti Qual è il modo migliore per spiegare (una persona non tecnica) il rischio di divulgare informazioni sulla versione?

score 5 · Answer 1

Solo perché è memorizzato da qualche parte non lo rende "qualcosa che conosci". Non si "sa" mai realmente la propria impronta digitale o il layout dell'iride poiché è troppo complesso per conoscerlo o ricordarlo. Ma questa è davvero solo semantica, non proverei a pensare troppo alla terminologia.

Come hai giustamente sottolineato, ciò non significa che qualcuno altro non lo sappia. Il server conserva una copia (auspicabilmente) crittografata.

Inoltre, potrebbe essere possibile per un attaccante ottenere una "copia" sufficientemente dettagliata del tuo biometrico per poterlo riprodurre.

Questo è particolarmente problematico per un'impronta digitale in quanto si tende a lasciare copie di questi ovunque !

Questo è il motivo per cui le impronte digitali in particolare non dovrebbero mai essere considerate come sostituzioni per un id / password, ma piuttosto come complementari. Gli accessi alle impronte digitali sono una comodità e non una funzione di sicurezza elevata. Sono relativamente poco sicuri, meglio degli utenti che non si preoccupano di usare una password, ma neanche lontanamente buoni come un passcode strong. Ricorda che, in particolare, la biometria non può mai essere cambiata, una volta compromessa sono sempre compromesse.

score 2 · Answer 2

Questa è la ragione per cui non si dovrebbe mai usare la biometria da sola come autenticazione eccetto in ambienti protetti. L'impronta digitale è davvero privata nel senso in cui ti appartiene, ma come informazione non lo è: ne lasci una copia ogni volta che bevi una birra in un bar ...

Ciò che è peggio, è che non hai modo di revocare l'impronta digitale. Se la tua password o anche una chiave privata molto complessa dovesse essere rubata, puoi facilmente cambiarla. Ma una volta che un uomo malvagio ha preso il bicchiere che hai appena lasciato, può costruire un'immagine della tua impronta digitale. Non parlo nemmeno del caso in cui ha rubato il telefono e la carta d'identità con l'impronta digitale ... E lui sarà in grado di usarlo su qualsiasi smartphone o laptop che hai protetto con un'impronta digitale per tutta la vita.

Detto questo nell'ambiente protetto che significa che quando una guardia ti vede passare il dito sul lettore, solo un'impronta digitale è un sistema di autenticazione molto bello ...

Per tornare alla tua domanda iniziale, qualcosa che sai, hai o sei è sul tuo tuo lato. Dal lato del controller, è sempre qualcosa che è registrato da qualche parte e confrontato con quello che hai usato come credenziali. Il confronto può essere diretto se una copia delle informazioni viene memorizzata (per dati biometrici o altre credenziali imprecise ) o indiretta se viene mantenuto solo un hash (per password o tasti numerici).

score 0 · Answer 3

Sì, se un 'qualcosa che sei' può essere catturato in un modulo che può essere usato con un servizio, questo lo riduce efficacemente a 'qualcosa che conosci'. Tuttavia, questo non è necessariamente il caso - si consideri un sistema di scanner di impronte digitali / porta. Se si ottiene il database contenente le impronte digitali, è probabile che si tratti di hash delle digitalizzazioni dell'impronta digitale reale. Anche se si dispone di quello, ciò non significa che quando si confronta con lo scanner di impronte digitali fisico, è possibile riprodurre un'impronta digitale (a condizione che utilizzino la sicurezza fisica appropriata sullo scanner e garantire che il "cervello" dello scanner, dove la digitalizzazione e l'hashing avviene dall'altra parte della porta - se sono sullo stesso lato della porta, è possibile che si possa ottenere l'hash, a meno che non ci siano ulteriori precauzioni)