L'identificazione può implicare l'autenticazione nei sistemi biometrici?

Naviga le tue risposte
3

Conosco la differenza tra Identificazione e Autenticazione, che sono fondamentalmente che affermano chi sei e che provano tale reclamo . In termini di un sistema, sono username e password in generale.

Ma che ne è della biometria come l'onda cerebrale? È in qualche modo il username più password che può effettivamente dire a un sistema chi sei e allo stesso tempo dimostrare che sei quello che sei (supponendo che tali dati biometrici siano impossibili da rubare).

Non mi preoccupo della fattibilità o dell'appropriatezza di tale sistema biometrico. La mia domanda qui è - posso dire che, tale processo di identificazione implica anche l'autenticazione / include (o qualunque termine migliore)?

    
posta Victor Wong 27.06.2016 - 12:19
fonte

3 risposte

2

Sembra un po 'come usare la password per entrambi gli scopi.

Tecnicamente funziona, a patto che le persone utilizzino password sufficientemente potenti tutte le password delle persone siano uniche (come farebbe una buona azione biometrica), e quindi puoi immaginare un sistema in cui anche l'identificazione può essere realizzata usando solo una password. / p>

Tuttavia questo aprirebbe un grosso difetto dal momento che un utente malintenzionato non avrà più bisogno di trovare l'autenticazione corrispondente a una determinata identità: tutto quello che dovrà fare è indovinare qualsiasi autenticazione valida corrispondente qualsiasi identità e l'accesso sarà garantito.

Questo rende il compito dell'aggressore molto più semplice, il che a sua volta rende tale sistema inadatto come controllo di accesso principale.

Tuttavia, in ambienti ad alta sicurezza, tale sistema potrebbe essere facilmente adottato come difesa di seconda linea non ostruttiva:

  • All'ingresso della struttura o dell'area esegui un controllo di identificazione + autenticazione tradizionale,
  • All'interno della struttura o dell'area si implementano controlli non ostruttivi che evitano ai dipendenti di sprecare tempo identificandosi ogni volta che desiderano aprire una porta o attraversare un corridoio, ma consentendo di rilevare se qualcuno è riuscito a bypassare il sistema di sicurezza dell'entrata principale. / li>

Ora, seguendo il tuo commento, da un punto di vista più teorico, "se la" password "è abbastanza strong e unica (supponendo che nessun attaccante possa imitare, so che questa ipotesi è comunque poco pratica)" , quindi l'intero sistema di identificazione + autenticazione può contare sul processo di autenticazione.

Anche se esce dal mondo biometrico, posso persino pensare a un'applicazione concreta di questo: certificati X.509.

Mentre i certificati rispettano da soli la dualità di identificazione (nome distinto) e autenticazione (chiave privata del proprietario del certificato), la sicurezza del certificato si basa sul fatto che le ogni chiavi segrete che compongono la catena di certificazione devono rimanere sconosciute . È quindi sufficiente che un utente malintenzionato trovi una delle chiavi private che compongono la catena di attendibilità di un certificato per interrompere il corrispondente sistema di autenticazione basato su certificati (sarà quindi in grado di creare nuovi certificati "validi" a proprio piacimento, o usare il testo a < em> imita una firma valida).

Funziona perché le catene di certificazione sono generalmente brevi, non contano migliaia di livelli. Mentre è sufficiente che un utente malintenzionato trovi una chiave, l'intervallo delle chiavi valide rimane molto stretto mentre l'intervallo di possibili chiavi è molto grande, quindi mantenere tale attacco poco pratico (per fortuna!). In altre parole, questo ci permette di presumere che un utente malintenzionato non possa imitare certificati legittimi.

In teoria potresti estendere questo all'autenticazione biometrica in un dato momento. Questo non risolve problemi specifici biometrici, ma fino a quando un utente malintenzionato non è in grado di trovare o riprodurre alcun token di identificazione / autenticazione, indipendentemente da cosa sia, quindi sì è possibile unire l'identificazione e l'autenticazione in un unico passaggio .

    
risposta data 27.06.2016 - 14:02
fonte
2

Non sono sicuro se possa essere usato come sistema di autenticazione standalone ma può essere usato come parte del sistema di autenticazione a più fattori.

Riferimento:

Ulteriori informazioni:

Identificazione

L'identificazione non è altro che affermare che sei qualcuno. Ti identifichi quando parli con qualcuno al telefono che non conosci e ti chiedono con chi stanno parlando. Quando dici "Sono Jason", ti sei appena identificato.

Nel mondo della sicurezza delle informazioni, questo è analogo all'inserimento di un nome utente. Non è analogo inserire una password. Inserire una password è un metodo per verificare che tu sia quello che hai identificato come te, e questo è il prossimo nel nostro elenco.

di autenticazione

L'autenticazione è il modo in cui si dimostra che sono chi dicono di essere. Quando dichiari di essere Jane Smith effettuando l'accesso a un sistema come "jsmith", è probabile che ti chieda una password. Hai affermato di essere quella persona inserendo il nome nel campo del nome utente (questa è la parte identificativa), ma ora devi dimostrare che sei davvero quella persona. La maggior parte dei sistemi utilizza una password per questo, che si basa su "qualcosa che conosci", cioè un segreto tra te e il sistema.

Un'altra forma di autenticazione è presentare qualcosa che hai, come una patente di guida, un token RSA o una smart card. Puoi anche autenticarti tramite qualcosa che sei. Questa è la base per la biometria. Quando lo fai, per prima cosa ti identifichi e poi invii una copia per il pollice, una scansione retinica o un'altra forma di autenticazione basata su bio.

Dopo esserti autenticato con successo, hai fatto due cose: hai affermato di essere qualcuno e hai dimostrato di essere quella persona. L'unica cosa che rimane è che il sistema determini ciò che sei autorizzato a fare.

    
risposta data 27.06.2016 - 12:29
fonte
1

Ecco alcune cose che devi considerare:

  1. La biometria può essere rubata abbastanza facilmente. Non abbiamo ancora trovato alcuna biometria su cui possa essere verificata una sola parte e una sola parte. Lasciate le impronte ovunque andate, in futuro potrebbero essere sviluppate telecamere HD che potrebbero raccogliere una risoluzione sufficiente per la scansione della retina.

  2. I dati biometrici sono immutabili. Una volta trapelate, non è possibile modificare retina, impronte digitali o modelli di onde cerebrali. Non facilmente per lo meno.

  3. I dati biometrici sono volubili. La tua impronta digitale potrebbe essere tagliata, potresti avere cataratta, quindi hai bisogno di un metodo di accesso di backup.

  4. La sicurezza della biometria dipende dalla sicurezza del lettore. A meno che tu non porti con te i tuoi fidati lettori biometrici, in sostanza ti stai fidando di una macchina che viene messa in un luogo abbastanza pubblico, da chiunque.

I dati biometrici sono convenienti. E in condizioni di sicurezza bassa, il biometrico può essere sufficiente, ma la sicurezza seria non farebbe mai affidamento solo su biometrico.

    
risposta data 29.06.2016 - 08:54
fonte

Leggi altre domande sui tag

requisiti della password vs opzioni di memorizzazione della password Perché diversi bug bug ignorano l'enumerazione degli utenti?