Autenticazione e verifica in generale e con dati biometrici

3

Sto leggendo The Basics of Information Security, 2 °. Ed., Andress, Jason.

Dice a p.25, "La verifica dell'identità è un passo oltre l'identificazione, ma è ancora un passo indietro dell'autenticazione, di cui parleremo nella prossima sezione." Poi continua dicendo che anche se i documenti dimostrano chi viene presentato che è solo "verifica" e non "autenticazione". Ok, ma non parla mai di "verifica" di nuovo in dettaglio.

A p.26 dice che, "L'autenticazione è, in un senso di sicurezza delle informazioni, l'insieme dei metodi che utilizziamo per stabilire una rivendicazione di identità che è stata fatta è corretta." Va bene.

A p.31, dice, "Quando completiamo una transazione di autenticazione con un identificatore biometrico, stiamo essenzialmente chiedendo all'utente di fornire la prova che lui o lei è chi afferma di essere, questo per definizione, la verifica e non autenticazione. " Ora mi sono perso.

Ho studiato più sulla differenza tra "verifica" e "autenticazione", ma semplicemente non so dove sia cruciale la differenza, e presumo che sia sottile.

So che esistono due tipi di autenticazione biometrica, verifica che i dati corrispondano ai dati della persona che il presentatore dice di essere, e identificazione, dove viene tentata una corrispondenza tentata con tutte le voci nel database biometrico.

In che modo la presentazione di informazioni biometriche per iscritto può essere diversa dall'autenticazione?

    
posta Raw_Input 19.09.2014 - 04:41
fonte

2 risposte

1

La verifica è l'atto di dimostrare la tua identità. L'autenticazione è l'atto di dimostrare che sei la stessa persona di prima, senza necessariamente sapere chi sia quella persona.

re: dati biometrici, penso che la confusione dipenda dalla natura della biometria. Un nome utente / password (qualcosa che conosci) non dice nulla su chi sei. Lo stesso vale per un token hardware (qualcosa che hai).

L'autore del libro che stai leggendo è dell'opinione che dal momento che i dati biometrici sono qualcosa che sei, sono indistinguibili da un evento di verifica.

Questo non è sempre il caso per almeno due ragioni: 1. Presentando il tuo biometrico sarà confrontato con il biometrico pre-iscritto. Questo non dice nulla su chi sei, solo che sei la stessa persona che era presente all'iscrizione. 2. I dati memorizzati per un biometrico possono essere inferiori a quelli richiesti per un evento di verifica. Se il sistema non riesce a identificarti, non può semplicemente andare a prendere campioni extra, cosa che potresti fare se eseguissi una verifica.

Considera l'uso di dati biometrici per proteggere la privacy dei dati. Un sistema potrebbe richiedere un valore biometrico per proteggere i dati immessi in modo che vengano visualizzati solo quando si ritorna. Se questo sistema non lega il biometrico a un'identità attraverso un processo di verifica, il biometrico è tanto un fattore di autenticazione quanto una password emessa per lo stesso processo.

    
risposta data 19.09.2014 - 06:40
fonte
1

La mia risposta è puramente speculativa, basata sulla mia interpretazione personale e necessiterebbe di qualche forma di convalida. Non conosco alcuna fonte autorevole che risponda alla domanda e potrei benissimo fare anch'io errori. Un grande aiuto da parte della comunità di SE è molto apprezzato. Finora le seguenti fonti sembrano concordare con la mia interpretazione:

Credo che ciò che si intende è che puoi verificare l'identità presunta di un utente (cioè il fattore auth fornito è corretto e corrisponde a qualcuno) senza credere che questa identità sia autentica (i fattori possono essere falsificati o rubati).

Il processo di autorizzazione

Prima fornisci alcune informazioni che informano un sistema della tua identità . A questo punto se questa identità corrisponde all'utente di un servizio, allora sei identificato . L'identità deve essere verificata di solito mediante i fattori di autenticazione che si presume appartengano esclusivamente alla persona dell'identità sopra menzionata. Devi quindi fornire questi fattori.

Un sistema può verificare che questi fattori siano corretti (fornisci i fattori che sono stati archiviati insieme all'identità che rivendichi) ma ritieni che siano non autentici - perché sono perdonabili o facili da rubare e riutilizzare o a causa di altri indizi.

Una volta che hai autenticato , sei sicuro che una parte remota abbia una caratteristica autentica (nel caso in cui discuti un'autentica identità ma potrebbe verificare una caratteristica rilevante per l'autorizzazione, ad esempio un token non è forgiato ma "semanticamente valido"). Il prossimo passo sarebbe logicamente autorizzazione che decide se le caratteristiche autentiche garantiscono un privilegio.

Qualche altra speculazione

Nel funzionamento, ha senso presumere che i fattori verificati non siano autentici? In un sistema a circuito chiuso che non tiene conto di eventuali stimoli esterni, no: perché accetterei i fattori se ritieni che possano essere falsificati o rubati facilmente?

Tuttavia alcuni sistemi di autenticazione come Google Mail useranno informazioni come il tuo indirizzo IP e il browser user-agent e dove solitamente ti connetti come fattori impliciti di autenticazione che completano la tua password e / o PIN ( quelli espliciti ). Se i fattori impliciti non corrispondono, Google potrebbe ritenere che i fattori espliciti corretti potrebbero non essere autentici e potrebbero rifiutarsi di autenticarti.

La discussione fatta dall'autore sembra indicare l'idea che la biometria sia un fattore meno autentico dei fattori basati sulla conoscenza. Questa è un'opinione che non discuterò. : -)

    
risposta data 22.09.2014 - 14:30
fonte

Leggi altre domande sui tag