Autenticazione sotto vincoli: solo informazioni pubbliche [chiusa]

Question

Autenticazione sotto vincoli: solo informazioni pubbliche [chiusa]

Naviga le tue risposte

#1 da (1 voti)
#2 da (1 voti)

-1

Quali sono alcuni sistemi di verifica dell'identità che si adattano a questi tipi di vincoli:

Non richiede che il soggetto conosca informazioni specifiche (ad esempio, conosci sempre una password o un compleanno)
Non è garantito che l'autenticatore abbia una specifica informazione sulla persona (ad esempio non ha le impronte digitali di tutti)
L'autenticatore ha tutte le informazioni pubbliche e semi-pubbliche (ad esempio le foto dei profili possibili, tutti i contenuti web ragionevolmente accessibili, dati open source e forse alcuni dati che è possibile acquistare, nessuna informazione di sorveglianza governativa)

authentication privacy biometrics

posta Maggie 10.11.2017 - 00:26

fonte

2 risposte

Leggi altre domande sui tag authentication privacy biometrics

Un proxy inverso può proteggere dall'exploit del server web? [chiuso] In che modo ridurre il tasso di falsi battiti (FMR) in un sistema biometrico può causare vulnerabilità ai fattori umani? [chiuso]

score 1 · Answer 1

Una carta d'identità / passaporto rilasciata dal governo

Doesn't require the subject know a specific piece of information (e.g. always know a password or birthday)

Non sono necessarie informazioni dall'utente.

The authenticator isn't guaranteed to have a specific piece of information about the person (e.g. they don't have everyone's fingerprints)

L'autenticatore convalida che l'ID è valido (rilasciato dal governo). Ciò può avvenire tramite ispezione fisica se ci troviamo in uno scenario IRL o controllando che sia firmato dall'autorità governativa competente.

In ogni caso, l'autenticatore non ha bisogno dei dati di tutti.

The authenticator has all public and semi-public information

L'autenticatore non ha bisogno di informazioni di sorveglianza governativa, si affida a quell'ID valido.

The identity is actually verified

Se l'identificazione è prevista da un essere umano, potrebbe essere sufficiente confrontare la tua foto con quella dell'ID.

Se l'identificazione è contro una macchina, ci sono un paio di opzioni:

a) l'ID contiene dati extra che possono essere estratti dall'autenticatore (ad esempio può leggere le impronte digitali memorizzate nel e- passaporto ). Ciò è inopportuno dal punto di vista della privacy, tuttavia, poiché richiede che i dati biometrici siano leggibili dall'ID.

b) l'ID ha un chip che può convalidare i dati delle impronte digitali ottenuti esternamente (come fanno alcune carte d'identità nazionali). L'autenticatore fornirebbe un lettore di impronte digitali, il cui input sarebbe passato al chip della carta d'identità. Se il chip accetta l'identità come valida e mostra evidenza di essere un vero ID, ad es. verifica che possa firmare un nonce fornito dall'autenticatore con un certificato firmato e non revocato dalla CA dell'identità governativa.

score 1 · Answer 2

A seconda del tuo significato, questo potrebbe non essere un sistema praticabile. Esistono tre diversi tipi di fattori che possono essere utilizzati per l'autenticazione, cosa hai, chi sei e cosa sai.

Che cosa sai Per quello che sai, il tuo vincolo è che può usare solo informazioni disponibili pubblicamente. Ciò lo esclude come un mezzo sicuro di autenticazione come qualsiasi cosa che il pubblico sappia, anche un hacker sa, quindi non ci sono informazioni private accettabili in questa categoria.

Chi sei In particolare, si menziona il fatto di non avere impronte digitali, ma non è chiaro su cosa intendi a quel punto. Se si dispone di informazioni pubbliche convalidate come genuine, potrebbe essere potenzialmente utile autenticare qualcuno, ma verificare l'autenticità delle informazioni inviate è un problema poiché, ancora una volta, l'informazione è disponibile per un utente malintenzionato. Se controlli il sistema prendendo le misure di autenticazione puoi farlo funzionare, ma se stai lavorando su Internet, probabilmente sei sfortunato dato il vincolo di conoscenza del pubblico.

Cosa hai Se le persone hanno qualche forma di ID crittografico pubblicamente validato, questo potrebbe essere usato per l'autenticazione. Allo stesso modo, se non lo fanno, è possibile utilizzare un'autenticazione una tantum tramite misure biometriche e quindi emettere un ID crittografico che potrebbe essere utilizzato per l'autenticazione. Se si autentica di persona, potrebbero essere utilizzati anche ID non crittografici. Detto questo, c'è ancora il potenziale problema di furto. Quello che hai, da solo, è una forma di autenticazione relativamente debole in quanto è l'unico dei tre fattori che viene banalmente compromesso via furto.

Come puoi vedere, questo non lascia molto a desiderare. Puoi partecipare a quiz di conoscenza pubblica, ma spesso un hacker potrebbe avere meno problemi con questo rispetto a una persona reale. Se si chiede ad una persona media informazioni sul proprio rapporto di credito, ad esempio, è probabile che non lo sappiano e se lo cercano, così può fare un aggressore. Un utente malintenzionato può anche avere un profilo abbastanza completo a portata di mano per competere con una persona reale per impersonare la conoscenza della propria vita.