web-dev-qa-db-fra.com

Est une analyse oculaire biométrique plus sécurisée qu'une authentification multi-facteurs

J'ai rencontré la question suivante dans un guide de sécurité +

Vous êtes chargé de créer un système d'authentification haute sécurité pour le contrôle d'accès physique à une installation militaire. Lequel des systèmes d'authentification suivants serait le plus approprié?

  1. Numérisation des yeux biométriques
  2. Badge de sécurité
  3. Carte à puce et broche
  4. Connexion cryptée et mot de passe

La réponse à la fin du chapitre était la suivante:

Pour les installations à haute sécurité, la biométrie est une méthode extrêmement sécurisée pour authentifier les utilisateurs en fonction des caractéristiques physiques uniques.

ma question est

Comment est-il possible que la réponse n'était pas le numéro 3?

Les mauvais gars devront voler la carte à puce et obtenir en quelque sorte le PIN du personnel autorisé qui est deux emplois

dans une analyse des yeux biométriques, ils doivent faire un travail

multi-factorbiometrics
13
Ulkoma

La biométrie peut être efficace comme authentification ou comme identification, mais pas à la fois en même temps.

Selon Wikipedia , les analyses de la rétine sont précises à environ un million, ce qui signifie que sur la Terre aujourd'hui, il y a environ 7 000 personnes qui seront identifiées comme vous dans une rétine analyse. En supposant qu'aucune authentification supplémentaire n'est nécessaire, ces personnes seront à la fois identifiées et authentifié comme vous dans une seule étape (mal).

Mais si couplé à une étape d'identification externe, l'authentification biométrique devient un deuxième facteur. L'identification typiquement est accomplie par un badge d'identification ("quelque chose que vous avez"), tandis que l'authentification se produit à travers la biométrie ("quelque chose que vous êtes"). Il se passe donc une authentification réelle à deux facteurs.

Ceci est intrinsèquement meilleur que la caisse et la broche à cause des trois facteurs disponibles, "quelque chose que tu sais" est le plus facile à faux.

Ainsi, en supposant que l'identification arrive à l'aide d'un jeton de quelque sorte (ce qui est très typique dans les installations d'authentification biométrique, mais non explicitement énoncé ici), la question est alors mal formulée mais a au moins la bonne idée. En supposant que la balayage oculaire soit seule comme une identification et une authentification, la réponse 3 serait alors correcte.

De toute façon, la question pourrait utiliser certaines clarifications. Il fait référence à l'authentification seule sans même mot sur l'identification; Mais c'est un facteur absolument critique pour évaluer la sécurité du système et fait définitivement une différence ici. Il est laissé au lecteur de diviner le contenu de la tête de la question-écrivain, qui est médiocre de la rédaction de tests standardisés.

18
tylerl

Je pense qu'il y a une hypothèse non déclarée dans la question: que l'installation militaire aura une garde à l'entrée. Chaque attaque sur un système biométrique est au courant d'assumer un scanner non protégé ou compromis. S'il y a une garde debout à la porte, assurez-vous que vous utilisez votre oeyball (pas un gougeon, pas une photo, pas une photo, pas un scanner factice connecté à la place du Real One, et Donc), un balayage biométrique des yeux est une technique raisonnable.

Dans une telle situation, une carte à puce peut être volée et un PIN peut être battu de la victime, mais il n'y a aucun moyen que vous puissiez pouvoir tromper le gardien de vous laisser utiliser le globe oculaire de quelqu'un d'autre.

6
Mark

Je te vois comme ayant deux questions ici:

  1. La réponse fournie par le guide d'étude est-elle techniquement correcte?
  2. Est-il possible que cet exemple question n'a pas de réponse claire et est une mauvaise question?

En ce qui concerne votre première question, je pense que vous avez un argument valide que la carte à puce/PIN offre une sécurité au moins équivalente à un authentificateur biométrique. Mais une partie de cela dépend de la manière dont les deux systèmes sont mis en œuvre.

La carte à puce stocke-t-elle simplement une valeur statique présentée, ainsi que la broche, au système d'authentification? Ou contient-il une clé privée protégée qui signe un défi ponctuel et ne le fera que lorsqu'il reçoit directement la bonne PIN (ce qui signifie que le système d'authentification ne connaît jamais la goupille)? Est-ce que le "balayage des yeux" (rétine, iris ou autre?) Capturez-vous suffisamment de points de données de l'image pour représenter un nombre significativement important de modèles possibles? Le système biométrique oculaire a-t-il été configuré avec une précision appropriée pour rejeter la fermeture, mais pas exacte, les lectures (faux taux d'acceptation)?

Mais le guide de l'examen ne fournit aucune de ces informations et s'attend donc à ce que vous preniez une décision assez non informée sur laquelle est le meilleur. Et cela nous amène à la deuxième question.

Je ne sais pas si ceci est votre première certification technique ou non, mais attendez-vous à être frustré. Dans une tentative d'évaluation de votre connaissance d'une grande variété de sujets, vous rencontrerez des questions telles que celles-ci sur des examens réels qui n'ont pas une seule réponse claire. Ils peuvent s'appuyer sur votre connaissance des orientations spécifiques du créateur de l'examen sur le sujet, qui pourraient être publiées dans leur guide d'étude officielle ou leur matériel soutenant.

Mais vous pouvez simplement rester en train d'essayer d'inverser l'ingénieur des perceptions non documentées de la question qui les a conduits à choisir une réponse sur une autre. En d'autres termes, même si vous n'êtes pas d'accord vous-même d'accord, y a-t-il une réponse qu'à un point de vue pourrait être l'évident?

Certaines organisations de test ont mis en place une bonne quantité de temps et d'efforts pour s'assurer que leurs questions sont toutes deux bien fondées dans le consensus de l'industrie et le son psychométriquement. Mais notre industrie a également beaucoup de questions qui nécessitent des réponses pour commencer par "Eh bien, cela dépend ..." Quelques organisations de test tentent de simplifier cette complexité pour élargir leur référentiel de questions et nous faire un mauvais service de prétendre est une réponse claire.

Mon expérience en train de prendre et de transmettre l'examen de sécurité + environ 7 ans était qu'ils étaient inclus dans ce dernier groupe. Donc, bonne chance à vous et essayez de ne pas vous faire trop frustré dans le processus!

5
PwdRsch

Certaines sources seront en désaccord avec la déclaration suivante, mais il faut dire.

La biométrie n'est pas une authentification. La biométrie est l'identification.

N'utilisez pas la biométrie pour l'authentification, mais vous pouvez les utiliser pour identifier tout simplement bien!

Il y a 3 concepts importants pour la sécurité:

  • Identification: qui vous êtes
  • Authentification: comment vous prouvez qui vous êtes
  • Autorisation: quel accès vous obtenez basé sur qui vous êtes

Le gros problème avec la biométrie est que vous ne pouvez pas les modifier . Si vous ne pouvez pas les changer, que se passe-t-il quand ils sont volés?

Pour identification, vous pouvez réutiliser le même nom d'utilisateur ou biométrique partout. Peu importe que vous réutilisiez la même chose puisque c'est qui vous êtes. Ce n'est pas non plus un problème si cela ne peut pas changer depuis qui vous ne changera jamais.

Pour l'authentification, d'autre part, vous devez être capable de changer les choses au cas où elles seront volées. Vous pouvez modifier ce que vous savez, les mots de passe et vous pouvez modifier ce que vous avez, téléphone/jeton/adresse électronique. Mais vous ne pouvez pas changer ce que vous êtes, Bimotric.

Par conséquent, la biométrie est le pire choix d'authentification, car il est vraiment identifié.

la bonne partie

Cela ne signifie pas que la biométrie est inutile. En fait, ils peuvent fournir une très bonne identification car il sera plus difficile pour un attaquant de voler la biométrique d'une personne que de simplement écrire son nom d'utilisateur public.

Mais, c'est juste l'identification. Vous avez toujours besoin d'une authentification et d'une authentification multi-facteurs est meilleure que l'authentification unique.

Vous pouvez utiliser 3 choses pour l'identification/l'authentification.

  • Quelque chose que vous connaissez: mot de passe
  • Quelque chose que vous avez: téléphone, appareil de jeton, adresse e-mail
  • Quelque chose que vous êtes: biométrie, nom d'utilisateur

Si vous voulez la meilleure sécurité, vous devez les combiner de cette façon:

  • Identification: quelque chose que vous avez + quelque chose que vous avez
  • Authentification: quelque chose que vous savez + quelque chose que vous avez

Quelque chose que vous avez est la seule chose qui puisse être utilisée comme une identification et une authentification car elle est supposée que vous êtes le seul avec elle.

Quelque chose que vous ne pouvez pas être utilisé comme authentification que cela ne peut pas changer

Quelque chose que vous savez ne peut pas être utilisé comme identification que vous ne pouvez pas le révéler

la réponse

Si vous devez vraiment choisir un seul point, alors # 3 (carte à puce + broche) devrait être la réponse.

Si vous pouvez choisir plus d'un, alors # 1 (Iris Scan) + # 3 (carte à puce + broche) fournit la meilleure sécurité

Certaines sources

http://technet.microsoft.com/en-us/library/cc512578.aspx (grand article sur le sujet)

Les biométriques appropriées sont une identité uniquement et seront accompagnées, comme tous les bons identifiants, par un secret d'une goupille, une clé privée sur une carte à puce ou, oui, même un mot de passe.

http://fr.wikipedia.org/wiki/multi-factor_authentication

http://www.chakraborty.ch/best-practices/why-biométric-authentication-is-frequenter-a-bad-idea/

http://psoug.org/blogs/mike/2010/04/13/biometric-ids-a-really-really-bad-idea/

1
Gudradain