Falso tasso di accettazione nell'autenticazione biometrica per informazioni sensibili

Naviga le tue risposte
2

Ogni tipo di autenticazione biometrica avrà un falso tasso di accettazione, che è la probabilità che il sistema accetti in modo errato un tentativo di accesso da parte di un utente non autorizzato. Naturalmente, combinando biometrico con altri fattori di autenticazione (ad esempio password o dispositivi di sicurezza), le possibilità che qualcuno acceda a un accesso sono significativamente ridotte.

Tuttavia, quando si tratta di informazioni altamente sensibili (ad esempio per l'accesso al sistema bancario, ai sistemi che richiedono conformità PCI, conformità HIPAA, ecc.), dove anche una singola violazione potrebbe comportare un rischio elevato, quale sarebbe un accettabile tasso di accettazione falsa per l'autenticazione biometrica essere combinato con un altro fattore di autenticazione?

Ad esempio, se il FAR è dell'1% e combino quella forma di autenticazione con l'autenticazione della password, sarebbe accettabile in questo caso? Che dire dello 0,1%? 0.001? Mi rendo conto che questo è relativamente soggettivo, ma non ho idea di quale sarebbe una buona gamma, quindi eventuali dati effettivi, studi o casi d'uso sarebbero apprezzati, se possibile.

    
posta Mike 07.10.2017 - 07:46
fonte

2 risposte

4

Apple Touch ID ha un FAR di 1 / 50.000 mentre Face ID ha un FAR di 1 / 1.000.000

link

Anche Android insiste nell'avere un FAR non superiore allo 0,002% (1 su 50.000). (Fonte: documento di definizione della compatibilità Android 7.0)

Una società chiamata Eyeverify ha un blog molto pertinente su questo argomento. Anche loro sembrano suggerire che un FAR di 1 su 50.000 è abbastanza buono e hanno clienti nel settore bancario.

link

    
risposta data 07.10.2017 - 12:22
fonte
0

Quando fai questo calcolo devi lavorare sulla probabilità.

Quindi, usando il tuo esempio bancario. Il FAR può essere dell'1% per dire un'autenticazione dell'impronta digitale utilizzata nel caveau di una banca, tuttavia potrebbe esserci anche una scansione della retina, ad esempio dello 0,2% FAR. Ma immagina che questa scansione retinica sia autenticata da un altro direttore di banca, quindi entrambi devono essere presenti per aprire il vault, utilizzando una impronta digitale e una scansione a retina.

Quindi potresti elaborare la FAR combinata per entrambi, ma quella non sarebbe una rappresentazione accurata del rischio dato che la probabilità di trovare persone che possono attivare un falso positivo diventa esponenzialmente più alta.

In tutti i sistemi di alto valore, una valutazione basata sul rischio dovrebbe essere basata sulla probabilità di eventi. Mi rendo conto che questo potrebbe non rispondere direttamente alle tue domande, ma potrebbe essere d'aiuto nel contesto. I.e invece di

"cos'è un FAR accettabile"

Potrebbe essere più vantaggioso chiedere:

"Qual è un rischio accettabile, basato sulla probabilità di eludere l'autenticazione biometrica usando falsi positivi."

    
risposta data 07.10.2017 - 12:11
fonte

Leggi altre domande sui tag

È possibile che il mio ISP esegua un attacco MITM sulla mia VPN? [duplicare] In che modo una valutazione del rischio influisce sulla politica di sicurezza delle informazioni?