Domanda:
Come possiamo eliminare le password visti i problemi con l'autenticazione biometrica?
pancake-house
2020-07-05 18:05:08 UTC
view on stackexchange narkive permalink

Ho letto articoli che suggeriscono che le password finiranno per fare la fine del dinosauro solo per essere sostituite da dati biometrici, PIN e altri metodi di autenticazione. Questo pezzo afferma che Microsoft, Google e Apple stanno riducendo la dipendenza dalle password perché le password sono costose (da modificare) e presentano un alto rischio per la sicurezza. D'altra parte, il dottor Mike Pound di Computerphile afferma che avremo sempre bisogno di password (penso che questo sia il video corretto).

Ma come questo meraviglioso thread di Security StackExchange note, la biometria non è perfetta. Certo, le critiche risalgono a circa sei anni fa, ma sono ancora valide. Inoltre, e forse ho un malinteso fondamentale su come vengono archiviati i dati biometrici, ma cosa succede se queste informazioni vengono violate? Cambiare una password può essere noioso e costoso, ma almeno può essere cambiato . Non sono sicuro di come l'autenticazione biometrica risolva questo problema, poiché non posso cambiare viso, iride, impronta digitale e così via, o se deve risolvere questo problema.

Quelli che sostengono che possiamo eliminare le password che fanno scoppiare prematuramente le bottiglie di champagne o le loro proiezioni sono corrette?

Dobbiamo leggere le impronte digitali durante gli anni 2000.Durante il test abbiamo un collega la cui impronta digitale non può essere rilevata dagli algoritmi.Abbiamo capito che questo è più di quanto previsto.Anche un taglio nella parte dell'impronta digitale, un'ustione, può influire sugli algoritmi.Quindi, la sicurezza del sistema si riduce a una smartcard + password che può essere trasferita a una terza persona.
Dipenderà da come si definisce "password".Fornire una stringa modificabile dall'utente come meccanismo di autenticazione probabilmente non scomparirà.La vera domanda è: possiamo eliminare la necessità per le persone di ideare e ricordare quelle stringhe, o possiamo automatizzarle o fare in modo che l'hardware lo faccia per noi?
Grazie @schroeder.Hai esposto una grande domanda dal mio post.Devo suddividere la tua domanda in un argomento diverso in modo da non confondere le acque?
Dipende tutto da cosa vuoi chiedere, davvero.
Si noti che un PIN è in realtà solo una password a bassa entropia e facilmente indovinabile, quindi non lo includerei nell'elenco di "cose che potrebbero sostituire le password".
"le password sono costose da cambiare" - LOL, aspetta finché non imparano quanto sia costoso cambiare le informazioni biometriche!
La tua domanda mi confonde ... i dinosauri sono stati sostituiti dalla biometria?
Inoltre @whatsisname, il prezzo della tecnologia biometrica!
@whatsisname Mi piacerebbe vedere qualcuno cambiare una password biometrica a 6 piedi di distanza!Non importa neanche lontanamente come in un altro continente.
Non ho i riferimenti (o il tempo :) per una risposta completa, ma la domanda "e se la biometria fosse 'violata'" è fondamentalmente un malinteso. Sapere che aspetto ha una persona non ti consente (necessariamente) di imitarla abbastanza da passare per loro.
Da qualche parte ho letto che i dati biometrici sono più simili ai nomi utente che alle password, in quanto sono difficili da mantenere segreti.
Prevedo che il 2021 sarà l '"anno della password".Proprio come ogni anno.
Sono sorpreso che nessuno abbia menzionato il progetto SQRL di Steve Gibson.https://www.grc.com/sqrl/sqrl.htm
Otto risposte:
#1
+90
Anonymous
2020-07-05 19:40:02 UTC
view on stackexchange narkive permalink

Prima di tutto, teniamo presente che i fornitori di soluzioni biometriche hanno un interesse acquisito nel parlare male delle password per promuovere i propri prodotti e servizi. Ci sono soldi in gioco. Hanno qualcosa da venderti, ma questo non significa che starai meglio dopo aver acquistato le loro cose. Quindi non si dovrebbero prendere quelle affermazioni dai fornitori per il valore nominale.

Inoltre, e forse ho un malinteso fondamentale sui dati howbiometrici vengono memorizzati, ma cosa succede se queste informazioni vengono violate? Cambiare una password può essere noioso e costoso, ma almeno può essere cambiato. Non sono sicuro di come l'autenticazione biometrica risolva questo problema, poiché non posso cambiare viso, iride, impronta digitale e così via, o se deve risolvere questo problema.

proprio il problema più grande con la biometria. I "token" compromessi non possono essere revocati. Sono già avvenute violazioni su larga scala. Un evento devastante che avrà conseguenze per molti anni a venire è la violazione dei dati OPM.

I volti non possono essere protetti. Sono letteralmente di dominio pubblico. Oggigiorno molte persone hanno la loro faccia su Internet. Le impronte digitali possono essere strappate da un vetro. Questi non sono segreti.

Inoltre, la raccolta di dati biometrici è un formidabile fattore abilitante per la sorveglianza di massa degli individui. Non ci si può fidare nemmeno dei governi più democratici. La tecnologia cambia anche la natura del governo e delle interazioni sociali, non sempre in modo positivo.

Dobbiamo considerare i compromessi: cosa hai da guadagnare rispetto a cosa potresti perdere. La comodità vale il rischio? Non tutti sono convinti.

Quindi non è solo una questione tecnica, ma una questione sociale che ha enormi implicazioni. Suggerimento: la Cina è il punto di riferimento.

Anche la percentuale di falsi o positivi positivi è un problema. Alcune persone non possono essere iscritte a causa delle loro caratteristiche fisiche. Una password non è ambigua. O lo sai o non lo sai. Biometria = calcolo della probabilità.

Affidarsi alla sola biometria non è saggio per le applicazioni critiche. Da qui l'emergere dell ' autenticazione a più fattori.

Ad esempio, l'autenticazione a tre fattori potrebbe essere:

  • qualcosa che hai: ad esempio un smart card
  • qualcosa che sei: è qui che entra in gioco la biometria
  • qualcosa che conosci: ad esempio una password

sarebbe oggettiva per dire che la biometria sta guadagnando slancio in alcuni mercati / applicazioni, senza eliminare del tutto le password. Non deve essere un gioco a somma zero.

Scansioni di palme e iris?
Sono un po 'dubbioso sul tuo primo paragrafo, ma il resto è abbastanza ragionevole.
Per modificare la risposta sopra: In effetti alcuni approcci biometrici ** simili ** possono essere utili, ma ** NON sono ciò che di solito si intende con "biometria" **.[Ci sono modi] (https://bojinov.org/pdfs/usenixsec2012-rubberhose.pdf) per registrare le informazioni nel sistema nervoso umano nel modo in cui le informazioni registrate non possono essere estratte [applicando un tubo di gomma] (https://en.wikipedia.org/wiki/Rubber_hose_cryptoanalysis), [una chiave inglese] (https://xkcd.com/538/) o strumenti più avanzati progettati appositamente e quindi verificare se è registrato, se il sistema sa esattamente cosacontrollare.
In base alla tua argomentazione "una faccia è di dominio pubblico", il fattore biometrico è uguale a * qualcosa che hai * poiché "(probabilmente) hai quella faccia" o una sua fotocopia.
@jaaq "Qualcosa che hai" di solito implica che "avere" è trasferibile.I volti di solito non sono trasferibili.Solo se funziona anche la fotocopia hai quel problema ...
@kelalaka Un motivo dell'iride (o impronta digitale o impronta del palmo) può essere ricreato da una fotografia di qualità sufficientemente elevata, quindi cade nello stesso secchio di volti e impronte digitali.Le scansioni della retina sono migliori a questo proposito.Questo è anche il motivo per cui alcune nuove tecnologie di impronte digitali si concentrano sulla scansione del modello dei vasi sanguigni * all'interno * del dito.
@Chronocidal ah, quando dico palmo, stavo semplicemente considerando i vasi sanguigni.Grazie.
Questa è una buona risposta, ma il tono cospiratorio del primo paragrafo la trascina verso il basso.
@jaaq: Una faccia non è "qualcosa che hai" nel senso di autenticazione perché la parte a cui ti stai autenticando non può dire se ce l'hai.Tutto quello che possono dire è se tu * conosci * un'adeguata digitalizzazione di esso.E informazioni sufficienti per ricavare una digitalizzazione adeguata sono di dominio pubblico, non un segreto.Pertanto non è affatto adatto come metodo di autenticazione.
Le lamentele di Conor e Schwern sul primo paragrafo sono ingiustificate.Non è "cospiratorio";è onesto su come funzionano le strutture di incentivazione.Le cospirazioni sono in gran parte impossibili perché nessuno può mantenere un segreto.Ma fenomeni come quello che Anonymous sta descrivendo qui sono conseguenze naturali dell'allineamento degli incentivi.
Possiamo semplicemente rimuovere il primo paragrafo per renderlo una risposta migliore?Anche se sono d'accordo con l'affermazione stessa, in realtà non aggiunge altro che un tono tagliente.O almeno riformulalo in qualcosa di neutro e informativo.
Il "problema di cancellazione" con la biometria esiste solo se stai cercando di utilizzare il tuo biometrico come password e dipende dal mantenerlo segreto.La misura di sicurezza per un sistema biometrico è quanto è sicuro * quando i dati biometrici sono di dominio pubblico *.In altre parole, l'affermazione chiave nella risposta manca completamente il punto come qualcuno che dice "AES non è sicuro perché l'algoritmo non è segreto".Non dovrebbe esserlo.
"I dati biometrici sono nomi utente, non password"
"Quindi non si dovrebbero prendere quelle affermazioni dai fornitori al valore nominale".suona del tutto ragionevole per me.D'altra parte, le strutture di incentivi, ad esempio, delle banche sono molto più allineate con il desiderio che i loro clienti accedano ai loro soldi e nessun altro (tranne forse la banca!;)) Quando le banche sono felici di farti accedere alla loro appcon la tua voce o la tua impronta digitale invece di una password, probabilmente è perché hanno concluso che è sufficientemente più sicuro a livello di disagio i loro clienti accetteranno che vale la pena pagare il suddetto fornitore di dati biometrici.
"Inoltre, la raccolta di dati biometrici è un formidabile fattore abilitante ... non ci si può fidare dei governi" Questa è una grande questione filosofica con cui lottare, e l'industria tecnologica ha sicuramente bisogno di fare meglio a lottare con le implicazioni filosofiche delle loro invenzioni.Tuttavia, non ha davvero nulla a che fare con la sicurezza della biometria (tranne forse nel guidare la ricerca che le rende ancora più sicure!)
"Anche il tasso di falsi o positivi positivi è un problema".Sì.Tipo.Il vero tradeof è convenienza vs sicurezza.Elevati falsi positivi: scarsa sicurezza.Alti falsi negativi: minore convenienza.Tuttavia, tale comodità inferiore potrebbe essere ancora migliore della migliore comodità per le password.Nel tempo che impiegherei a digitare una password di sicurezza minima (6 tutte lettere minuscole) potrei riprovare il mio scanner di impronte digitali 3 volte.Quindi se il mio scanner di impronte digitali del telefono in modo casuale (e il caso è importante) mi manca il 5% delle volte, il 99,99% delle volte mi autentico più velocemente che con una password debole.
@Josiah stai assumendo che un tipo specifico di errore causi un falso negativo, un errore completamente casuale.Supponi che la tua impronta digitale funzioni solo quando la temperatura era bassa o alta o in determinati momenti della giornata, ecc.Supponiamo che il dispositivo si stia degradando lentamente nel tempo?(Questi sono tutti problemi reali che si sono verificati con i dispositivi biometrici.)
Sì, è per questo che ho detto "E il caso è importante".Il problema del pollice sudato è il problema "Il blocco maiuscole è attivo" per i sensori di impronte digitali.È per questo che se vuoi utilizzare la biometria sul tuo telefono, il telefono ti costringe ad abilitare un'alternativa.Ciononostante, anche se la ripetizione dei tappi non aiuta nel 5% delle volte in cui non puoi entrare, la maggior parte delle persone ritiene che il 95% ne valga la pena.
Ancora meglio, è più facile convincere le persone a non usare "qwerty" come password se dici loro che dovranno inserirla solo nel 5% del tempo.In altre parole, in un modello di autenticazione a fattore singolo "uno di", avere l'opzione biometrica disponibile può rendere più forte l'opzione della password!
Inoltre, le password possono essere fornite a qualcun altro.Questo è piuttosto importante nelle aziende e anche in molte situazioni personali (ad esempio la morte).
I solidi schemi di sicurezza di @Sulthan, che consentono ai secondi utenti autorizzati funzionano identificando e autenticando il secondo utente autorizzato, non dal secondo utente che impersona il primo.Ecco perché banche e simili dicono "Non dare la tua password a nessuno, nemmeno a noi".Qualsiasi impiegato di banca che ha bisogno di controllare il tuo conto lo fa come impiegato di banca, non per fingere di te.Allo stesso modo, se, ad esempio, vuoi che un amico gestisca il tuo account Facebook dopo la tua morte, puoi configurarlo come "Contatto legacy".Di nuovo, questo li autorizza a fare alcune cose in alcune situazioni, a non fingere di essere te.
In effetti, il fatto che le password possano essere condivise è generalmente considerato uno dei maggiori problemi con le password.Il team di sicurezza aziendale considera importante che le persone non condividano le proprie password.Questo perché, in primo luogo, le persone generalmente non sono brave come pensiamo di individuare tipi inaffidabili e tendiamo a condividere con persone che non dovrebbero.Secondo, perché se qualcosa va storto vogliono sapere con certezza chi l'ha fatto.Se riesco ad accedere all'account del mio collega per scaricare e divulgare il database dell'azienda, licenzieranno la persona sbagliata.
#2
+8
symcbean
2020-07-06 03:15:23 UTC
view on stackexchange narkive permalink

ma almeno può essere cambiato

Cambiano frequentemente, a seconda di quanto hai mangiato / bevuto. L'illuminazione ambientale ha un grande impatto. Età. Variazioni nei dispositivi che eseguono la misurazione. La biometria funziona in base al fatto che gli attributi misurati sono sufficientemente vicini a qualche record di riferimento per essere considerati una corrispondenza dal software. "Abbastanza vicino" non funziona per le chiavi di crittografia, ma solo per l'autenticazione. È un problema ancora peggiore per i token 2FA: questo dimostra che possiedi un segreto condividendo il segreto. Il segreto deve essere disponibile in testo normale a entrambe le estremità del processo di autenticazione.

Le password hanno problemi. I token 2FA hanno problemi. La biometria ha problemi. A parte il sequenziamento del DNA (non praticabile), l'approccio più praticabile per una sicurezza forte è combinare metodi diversi.

Anche il sequenziamento del DNA ha problemi!
... incluso ma non limitato a [chimerismo] (https://en.wikipedia.org/wiki/Chimera_ (genetics) #Humans).
E poi si aggiungono malattie a livello cellulare e cancro, e beh, il DNA non è esattamente facile da affrontare.
Non capisco il _ "... problema per i token 2FA - questo dimostra che possiedi un segreto condividendo il segreto." _ Parte.Il "segreto" che si trova a entrambe le estremità può essere estratto solo da un grande disagio di persona o utilizzando apparecchiature deliberatamente rotte al momento della registrazione.
@CaptainMan Questo è * tecnicamente corretto * ma poiché ci sono molte idee sbagliate che circolano su questo nella stampa popolare, lasciatemi notare che le modifiche del tuo DNA durante la tua vita sono * estremamente rare * (meno di un cambiamento su un milione), esarebbe completamente irrilevante nel contesto di questa discussione.Il chimerismo (come notato da Eric) e, cosa più importante, il * mosaicismo *, sarebbero una questione molto più rilevante (ma può anche essere risolta banalmente).A tutti gli effetti, il tuo DNA è completamente costante.
Il sequenziamento del DNA non può dire la differenza tra i gemelli.Solo le impronte digitali possono.
#3
+7
The_Moth
2020-07-06 12:30:24 UTC
view on stackexchange narkive permalink

Non capisco da dove venga l'idea di cambiare una password costosa, aver lavorato nella / sull'archiviazione delle password e gli accessi ai siti web che cambiano una password non sono molto costosi, non più dell'apertura di una nuova scheda web, e ricevere un'e-mail.

I PIN sono essenzialmente password più deboli (almeno secondo la mia definizione di "PIN").

La biometria ha un problema; se vengono violati non puoi cambiarli velocemente e volentieri. Inoltre, non appena qualcuno ha accesso a te (come quando vieni arrestato) può prendere i tuoi dati biometrici e avere accesso a tutti i tuoi account.

Diminuzione della dipendenza. Molte aziende stanno diminuendo la dipendenza dalle password e hanno iniziato a utilizzare l'autenticazione a due fattori. Questo è disponibile in molte forme, ma potrebbe essere qualsiasi cosa, dal dover confermare le modifiche con un collegamento e-mail, inserire un codice inviato tramite SMS o avere un'app speciale che devi utilizzare per confermare la tua decisione. L'autenticazione a due fattori non è perfetta e presenta diversi difetti, è fastidiosa e noiosa, ma è anche piuttosto efficace.

Archiviazione biometrica. Questa è la parte abbozzata. mentre le password possono essere memorizzate in modi super sicuri che la biometria non può davvero, poiché è necessario confrontare un profilo con l'input, il che significa che quel profilo può essere rubato. Anche la biometria è piuttosto vulnerabile poiché è costantemente visibile su di te. (impronte digitali, iride, DNA, linguaggio, riconoscimento facciale) Questo rende facile rubarle / copiarle, cosa molto più difficile con le password, se gestite correttamente.

Per riassumere le password sono abbastanza buoni, se usati correttamente (cosa che la maggior parte delle persone non fa) e possono essere notevolmente migliorati utilizzando l'autenticazione a due fattori (o più fattori come ha sottolineato @Anonymous).

L'idea che cambiare una password sia ** costosa ** è davvero strana.Il fatto è che non è sempre possibile per l'utente modificarlo.Ad esempio per reimpostare una password in Active Directory ** il reparto di supporto IT ** dovrà intervenire e ** reimpostarla manualmente ** (e verificare che la richiesta sia legittima e non un possibile trucco di ** ingegneria sociale **).Succede così tante volte che i dipendenti dimenticano la password.A volte, la ** policy delle password ** è la causa del problema: i dipendenti ruotano le loro password utilizzando uno schema più o meno costante e dopo un po 'sono confusi.
Quindi la prima spiegazione è che le password possono essere "costose" in termini di lavoro d'ufficio coinvolto (supporto IT) quando in realtà è un costo per fare affari.Quasi nessuno dice che i computer siano "costosi".L'altro significato di "costoso" è quello delineato in uno degli articoli: * "Le password sono un rischio per la sicurezza molto serio e costoso" *.Ciò significa che una password compromessa può avere conseguenze molto dannose, il che è evidente.Una password compromessa che porta a una violazione è costosa per la vittima.Ciò non significa ancora che le alternative siano meno costose.
Quando l'OP dice che cambiare una password è noioso e costoso, ho letto che significa *** per l'utente ***.Perché non importa quanto sia snello il processo, non è una password, è cento.Abbiamo gestori di password per far fronte a questa inondazione, ma è difficile farli adottare da un utente tipico.Anche con un gestore di password e una notifica automatica delle violazioni della password, il ripristino delle password compromesse è un processo noioso, manuale e costante per l'utente.
La formulazione suggerisce che 2FA è un sostituto per le password.I "due" nell'autenticazione a due fattori una password E un secondo codice;è un ulteriore livello di sicurezza.Tuttavia, una reimpostazione della password tramite un collegamento inviato tramite posta elettronica viene spesso utilizzata in sostituzione degli account utilizzati di rado.Gli utenti che utilizzano la reimpostazione della password evitano di avere un'altra password che illustra l'esaurimento della password.
@Schwern Non sono sicuro di aver capito questo argomento.A meno che la cosa che è stata violata non fosse il database delle password personali, qualsiasi violazione dovrebbe riguardare una o due password individuali che dovrebbero essere relativamente semplici da modificare, a meno che qualcuno non abbia già sfruttato la violazione e modificato i dettagli del tuo account, ma poi finirà peressere un problema a prescindere.O a meno che tu non stia utilizzando la stessa password su centinaia di siti, che è esattamente lo stesso problema che causerebbe l'uso della biometria.
@Miral Una o due password individuali questa volta.E di nuovo.E di nuovo.A ripetizione, per sempre.Per ognuno deve andare sul sito web, ricordare il proprio nome utente e password (la maggior parte delle persone non ha un gestore di password), accedere, trovare dove cambiare la password (sono tutti diversi), magari inserire di nuovo la password,forse anche 2FA, inventare una nuova password, inventarne un'altra che soddisfi i criteri e ricordarla.La biometria * non * è la risposta, ma l'affaticamento delle password è un vero problema.Le reimpostazioni delle password sono frustranti sproporzionate rispetto allo sforzo;anche con un manager lo odio.
In effetti, la maggior parte delle persone non dispone di un gestore di password, eppure oggi sul mercato sono disponibili soluzioni gratuite, comprovate e open source.Qual è il problema, apatia, ignoranza?Le persone potrebbero semplificare la loro vita, ma invece continuano a utilizzare password errate.Sanno di essere cattivi ma lo stanno ancora facendo.Il mio gestore di password ha anche un plug-in per il browser.Questo è bello se sei pigro: quasi nessuna sequenza di tasti richiesta.Ho password complesse per ogni sito e non devo ricordarle.Non è una soluzione perfetta ma uno dei migliori strumenti che abbiamo.
Non utilizzo un gestore di password, ma utilizzo anche una password univoca per ogni sito.Li ricordo solo tutti.Quando ne dimentico una, la reimpostazione della password è solitamente facile da trovare e richiede solo pochi secondi per essere utilizzata.(Di solito l'unica volta che ho problemi a ricordare una password è quando il sito ha una politica stupida in atto, che è una delle ragioni per cui sono d'accordo con xkcd sul fatto che questo effettivamente riduce la sicurezza.)
@Anonymous: l'arresto è che l'utilizzo di password errate costa quasi a tutti quasi nulla, quasi tutto il tempo.Se il tempo medio tra il tuo conto bancario è stato violato, diciamo, 2 giorni, la persona media potrebbe iniziare a vedere il problema, ma non lo è.E non è un caso che molti dei servizi che avrebbero davvero importanza finanziariamente se venissero hackerati, sono gli stessi siti che incoraggiano 2FA.
Infatti un'app di autenticazione sul tuo telefono ha alcune caratteristiche in comune con un plugin per la gestione delle password: genera "password" (non letteralmente password, ma dati usati per autenticarti) troppo sicure perché tu possa ricordarle.Ma utilizza protocolli migliori di "Invierò sempre lo stesso identico segreto, vero? Probabilmente andrà bene".
#4
+7
Josiah
2020-07-08 00:42:38 UTC
view on stackexchange narkive permalink

TLDR:
Per riassumere, la tua domanda era "cosa succede se questa informazione viene violata?"
La risposta è "gli adulti nello spazio biometrico presumono che sia per impostazione predefinita".
Una parte intrinseca del loro modello di sicurezza sono i controlli aggiuntivi ogni volta che si verifica l'autenticazione per distinguere le persone reali dai replay e dalle repliche. in quanto replay e repliche non sono accettati, la segretezza del volto, dell'impronta digitale, ecc. non fa parte del modello di sicurezza.


Per lo sfondo, ho lavorato per 3 anni come sviluppatore nel team di ricerca di una startup biometrica. L'industria ha sicuramente la sua giusta quota di pazzi e anticonformisti e ho avuto modo di ascoltare ogni sorta di affermazioni improbabili e standard filosoficamente dubbi per misurare la loro efficacia. Come ho detto in un commento, se il tuo sistema di sicurezza biometrico fa affidamento sul segreto del viso (o dell'impronta digitale o altro), sei uno dei ciarlatani. Allo stesso modo, se ignori la biometria perché non viene tenuta segreta, perdi il tuo tempo a litigare con i ciarlatani.

Tuttavia, sono coinvolti anche gli adulti. I principali attori sanno cosa stanno facendo e sono opportunamente sprezzanti nei confronti dei ciarlatani. Con i principali attori, sto parlando di grandi aziende come Apple e agenzie governative come NIST. Ma per di più, quasi tutti usano la biometria, semplicemente non usano tecnologie all'avanguardia per questo.

Ecco come funziona. Vuoi iniziare un nuovo lavoro, e prima se succede qualcos'altro ti viene chiesta una sorta di carta d'identità con una foto. Perché la foto? Perché vogliono controllare che tu (l'umano) abbini l'id (la foto). Tieni presente questa distinzione: anche se la maggior parte dei sistemi di riconoscimento facciale può abbinare due foto di volti, la biometria riguarda specificamente l'abbinamento di un essere umano. La sicurezza delle risorse umane o IT o chiunque sia deve controllare due cose: sembri la foto e sei un essere umano.

Allo stesso modo, ogni sistema di autenticazione biometrica non ciarlatano deve controllare queste due cose. Ci sarà un matcher e ci sarà un sistema di rilevamento degli attacchi di presentazione ( PADS ). Il matcher conferma che assomigli alla foto memorizzata (o alla rappresentazione matematica memorizzata in qualsiasi senso) e il PADS è responsabile del controllo che non sei solo una fotografia. Ad esempio, l'iPhone FaceID utilizza un proiettore a punti a infrarossi e misura direttamente la struttura 3D del tuo viso, oltre a utilizzare la fotocamera per verificare che assomigli a te. Altri sistemi PADS misurano altre proprietà: forse movimento, temperatura, battito cardiaco, capacità elettrica o qualche combinazione. L'obiettivo è identificare le proprietà delle cose che gli esseri umani hanno per impostazione predefinita, ma sono un lavoro duro e costoso da forgiare.

Se usi, ad esempio, un'app bancaria che utilizza FaceID, non inoltra il tuo volto al banca per il controllo. Sarebbe abbastanza inutile. L'unica cosa che la banca potrebbe verificare è che qualcuno ha una foto del tuo viso. In effetti, Apple non permetterà effettivamente alla banca di inviare quei dati; non lasceranno che i dati biometrici escano dal telefono! Invece il telefono verifica la persona, quindi invia un messaggio appropriato alla banca con l'effetto di "Io, il telefono di Josiah, confermo di aver appena visto una persona e la persona assomiglia a Josiah". (Probabilmente con un ulteriore "E sto firmando questo messaggio con la mia chiave privata." Per buona misura).

In termini di prestazioni, il software matcher ha fatto progressi incredibili negli ultimi anni. Ad esempio, durante il mio periodo nel settore, lo stato dell'arte degli abbinamenti di volti è migliorato circa mille volte (come misurato sulla concorrenza FRVT del NIST). Sono di gran lunga migliori di quel funzionario delle risorse umane che ha controllato il tuo passaporto e ti ha creato un account aziendale in primo luogo. In effetti, sono nel livello di prestazioni in cui potrebbero distinguere con successo molte persone da ogni altro essere umano sul pianeta. È davvero impressionante per l'identificazione, ma non è ancora l'antidoto allo spoofing dannoso.

Anche i sistemi PAD continuano a migliorare. Questo è più un miscuglio perché le loro prestazioni dipendono molto dall'hardware che stanno utilizzando, e il fantasioso proiettore IR di Apple sarà migliore solo per i sistemi di telecamere che si basano, ad esempio, su come chiedere alla persona di sbattere le palpebre. In generale, i sistemi PAD sono ancora l'anello più debole , ma un sistema PAD potente sposta comunque un tipico attacco in testa da "Apri la loro immagine del profilo Facebook e scatta un'istantanea" a "Raduna un team di esperti e imposta loro un progetto di fabbricazione 3D di più settimane ". Inoltre, ovviamente, è necessario accedere al sistema di convalida: se stiamo assumendo una configurazione come "Accedi facendo FaceID sul tuo telefono", allora hai bisogno del loro telefono. Forse è ancora più veloce / più economico che infrangere la password del tipo di persona che trascorre il tempo in security.stackexchange, ma è molto più lento / meno scalabile rispetto al semplice tentativo di "qwerty" come password per ciascuno dei dipendenti dell'azienda vuoi rompere.

Per riassumere, la tua domanda era "e se queste informazioni vengono violate?" La risposta è "gli adulti nello spazio biometrico presumono che sia per impostazione predefinita".

Ecco a cosa servono i PADS. Non è necessario che siano PAD ad alta tecnologia. In alcune situazioni, un essere umano che monitora le stazioni della telecamera, guardando i ciarlatani che tengono una stampa alla telecamera, è un PADS ragionevole. Se non hai un PADS; se solo sapere che aspetto ha una persona significa che puoi impersonarla; allora non hai un sistema di autenticazione biometrica. Hai solo un sistema di password stupido in cui la password di tutti è tatuata sulla loro fronte. Ma se hai un buon PADS, hai un sistema in grado di offrire un buon livello di sicurezza a un eccellente livello di comodità anche per il tipo di persona che chiede perché non può lasciare vuoto il campo della password.


Sarei negligente se non chiarissi che la biometria non è solo una tecnologia di autenticazione e che altri usi non richiedono sempre un PADS. Quando la polizia abbina le impronte digitali di una scena del crimine a un database, non controlla che le impronte siano attaccate a un essere umano. Quando un casinò utilizza il riconoscimento facciale per cercare contatori di carte conosciuti, dà per scontato che nessuno stia cercando di impersonare un contatore. Per questo genere di cose, dipende interamente dalle prestazioni del matcher. È strettamente per l'autenticazione che il PADS è la chiave.

Non OP ma grazie mille per tanti punti preziosi.Volevo solo chiederti: puoi indicarmi la giusta direzione su come proteggere il modello dagli attacchi di replay?Quindi, ad esempio, qualcuno che cattura il modello dell'impronta digitale di una persona e poi lo riproduce ogni volta che viene richiesta una nuova sfida di autenticazione?
Se gli attacchi di replay sono un problema, generalmente sei nel regno della biometria come password.Sotto, ad esempio, un modello TouchID / FaceID di iPhone (o un modello webAuthN come menzionato da mattymcfatty), il modello non viene trasmesso affatto, quindi non c'è posto per un utente malintenzionato in cui eseguire un replay. Invece è il dispositivo che leggeil biometrico nel mondo fisico e sa che è una nuova lettura che fa la chiamata partita.
Se vuoi trasmettere il modello biometrico per qualche motivo (forse perché tu / il tuo regolatore desidera un audit trail di qualche tipo), ancora una volta l'unica cosa che può sapere che è fresco è il dispositivo che lo legge.Un'opzione ragionevole è fare in modo che il sensore firmi non solo un messaggio con l'effetto "Ho confermato la corrispondenza", ma impacchettare insieme "Ho appena letto questo biometrico all'ora T in risposta al codice di verifica N" e firmarequello con una firma crittografica.
L'unica cosa per cui questo modello non funziona davvero bene sono gli accessi da hardware non registrato utilizzando solo la conoscenza del biometrico (perché, ancora una volta, il biometrico non è segreto).Forse ci si potrebbe fidare di uno scanner di impronte digitali su un bancomat (vorrei! Un'altra storia.), Ma non posso andare a casa di mia cugina, prendere in prestito il suo laptop e accedere con il dito.Se potessi, allora davvero un aggressore che ha rubato la mia impronta potrebbe semplicemente riprodurre un biometrico rubato.Attestato di "Ciao, il laptop di Jasmine conferma che ho appena visto una persona che assomiglia a Josiah".dovrebbe meritarsi un "Conosco Josiah, ma chi sei?"
Grazie mille.Sì, siamo davvero nel regno dell'utilizzo della biometria come problema di password.Il sensore prenderà l'impronta e trasmetterà il modello da autenticare da un DB centrale.Vedrò quali sensori sono in grado di firmare il modello in modo che la freschezza possa essere determinata dal modello ricevuto.Grazie ancora.
Ricorda solo che in questo modello ti fidi del dispositivo, e in sicurezza "Trusted" significa "Capace di rompere tutto".Cioè, non è una garanzia assoluta di freschezza, è solo la garanzia di freschezza del dispositivo.Se un utente malintenzionato può compromettere il dispositivo, può eseguire un replay e chiedere al dispositivo di certificare che è nuovo.
#5
+5
mattymcfatty
2020-07-08 00:42:28 UTC
view on stackexchange narkive permalink

Sono sorpreso che nessuno stia menzionando WebAuthN. Utilizza lo scambio di chiavi pubbliche per firmare una sfida con una chiave privata ed eliminare tutte le password. Il nuovo standard WebAuthN combina qualcosa che hai (chiavi private su un dispositivo) con qualcosa che sei (la tua impronta digitale) e ha la capacità di includere qualcosa che conosci (PIN / password). Sul server vengono archiviati solo la chiave pubblica e l'ID della chiave, quindi un utente malintenzionato non ha nulla da guadagnare compromettendo il database del sito e raccogliendo le chiavi pubbliche di tutti. I dati biometrici vengono utilizzati solo localmente per sbloccare le chiavi private sul dispositivo di autenticazione. Non vengono mai inviati al server.

Di giorno sono un penetration tester di applicazioni web e posso dirti che eliminare lo spray di password, la forza bruta e tutti quegli attacchi di stile contro un sistema rende molto il mio lavoro Più forte. Dovrei ottenere malware sulla tua macchina e in qualche modo indurlo a firmare una sfida WebAuthN per accedere come tuo utente. Oppure sali su un aereo, vola a casa tua, ruba la chiave, tira via un'impronta digitale dal bicchiere di vino che hai usato ieri sera ... hai capito. Questo è molto meno probabile di me seduto a casa e spruzzando un attacco di riutilizzo della password da una recente violazione.

Ha alcuni svantaggi; soprattutto uno scenario di "dispositivo perso". Ma dal punto di vista della sicurezza, alza davvero il livello.

Può valere la pena riconoscere una debolezza intrinseca della biometria: poiché le misurazioni sono rumorose, a differenza delle password, non possono essere facilmente trasformate in chiavi.In quanto tale "I dati biometrici vengono utilizzati solo localmente per sbloccare le chiavi private sul dispositivo di autenticazione".è vero, ma è un tipo di sblocco "if match (biom) {return;}" piuttosto che un tipo di sblocco "decrypt (biom, data)".Ciò significa che il tuo dispositivo deve essere adeguatamente a prova di manomissione, oppure il passaggio biometrico può essere aggirato ed è solo un "qualcosa che hai" autenticatore.
#6
+2
Damon
2020-07-09 00:03:07 UTC
view on stackexchange narkive permalink

Le password di per sé non sono cattive, sono cattive solo perché gli utenti sono stupidi e pigri e perché le persone responsabili delle politiche di sicurezza sono spesso anche più stupide degli utenti. Di conseguenza, ti ritroverai con criteri come gli utenti che sono costretti a cambiare la password ogni settimana, una lunghezza particolare e includendo almeno così tante cifre e caratteri speciali e le ultime 100 password vengono salvate. Comunque, lo sai.

Quindi indovina cosa otterrai da una politica così odiosa. Esatto, riceverai loveyou01 tramite loveyou99 , che è molto meno sicuro di una password indovinabile ben scelta che può anche rimanere valida per molti mesi (forse anni) .

Resta il problema di dover ricordare molte password complicate e non memorizzabili, ovviamente. Ma questo problema è stato risolto, si chiama gestore di password.

Ora, anche la biometria, d'altra parte, non è priva di problemi. I tre problemi principali con l'identificazione biometrica sono che

  1. i dati biometrici non cambiano
  2. modifiche ai dati biometrici
  3. i dati biometrici non possono essere negati

Il fatto che i dati biometrici cambino continuamente, richiede che la procedura di autenticazione sia un po 'confusa e "intelligente". Ora, l'intelligenza artificiale è un ossimoro molto significativo. I computer non sono intelligenti, qualunque cosa ti dica il marketing. Nella migliore delle ipotesi riescono a fare degli abbinamenti sfocati.

Cosa c'è di buono, la faccia di tuo fratello gemello? Una tua foto? Una replica in gomma della tua impronta digitale? Che ne dici di creare modelli nella tua economica pellicola protettiva cinese (la famosa storia del Galaxy S10 ...)?

Il problema è che l'hardware / software di identificazione deve tenere conto di input variabili e mutevoli (le dita sono tenute ad angoli diversi, le creste sono più profonde o meno profonde a seconda di quanto si è bevuto e in base a come premi con forza, ti graffi sul dito e i graffi guariscono con il tempo, il tuo viso ha un aspetto diverso quando perdi peso, ecc. ecc.).

L'altro problema è, ovviamente, che i dati biometrici non cambia. Qualcuno ruba i dati delle mie impronte digitali. Ora cosa devo fare? Tagliarmi un dito e aspettare che il mio corpo ne cresca uno nuovo? Potrebbe valere la pena provare, ma sono un po 'scettico sul fatto che si tratti di un approccio pratico. Speriamo che ciò non accada più volte, cosa farò l'undicesima volta che le mie impronte vengono compromesse?

L'ultimo problema è che posso prendere le tue impronte digitali mentre sei svenuto ubriaco (o altrimenti incosciente ) senza che tu debba fare nulla. Posso farlo quando sei morto, anche se alcuni rilevatori richiedono la circolazione sanguigna. Oppure posso semplicemente rimuovere le tue impronte digitali da una superficie che hai toccato quando non sei nemmeno presente.

Le password sono un po 'meglio sotto questo aspetto. Puoi legarmi a una sedia e picchiarmi finché non rivelo una password, è vero (noto come attacco con tubo di gomma o attacco con chiave inglese). Se sono una persona molto importante che protegge un segreto molto importante e mi costringi a rivelare la password, potrei darti una password di "soccorso" che fa un blocco di emergenza e chiama i sigilli, qualunque cosa, e non puoi dirlo a meno che tu effettivamente provare (nel qual caso, se è davvero la password di soccorso, è troppo tardi).

Le password di sicuro non sono perfette, ma almeno rimane un po ' controllo sul mio lato. Inoltre, non puoi estrarre la password da me quando sono incosciente o morto. O da un bicchiere che tenevo mentre bevevo.

Non una conferenza.Un avvertimento.Quella parola e molte altre sono comuni.E ancora non è permesso qui.
L'inglese è una lingua divertente: "Posso semplicemente togliere le tue impronte digitali da una superficie che hai toccato quando non sei nemmeno presente".
#7
  0
Rob
2020-07-24 18:32:05 UTC
view on stackexchange narkive permalink

Cambiare una password può essere noioso e costoso, ma almeno può essere cambiato. Non sono sicuro di come l'autenticazione biometrica risolva questo problema, poiché non posso cambiare viso, iride, impronta digitale e così via, o se deve risolvere questo problema.

Suppongo che le persone che vogliono vendere software proclameranno i vantaggi del software, e allo stesso modo per i produttori di hardware. Ognuno ha vantaggi e svantaggi. Una combinazione efficace dei punti di forza di ciascuno sembra la soluzione migliore.

Il mio telefono Samsung ha un gestore di password facile da configurare.

Utilizza una combinazione di riconoscimento facciale, dell'iride e dell'impronta digitale per sbloccare il suo gestore di password e fornisce una password diversa a ciascun sito web (senza rivelare i tuoi dati biometrici).

Samsung Galaxy Password Manager screen

Puoi utilizzare password lunghe e complicate, diverse per ogni sito web; a cui si accede utilizzando chiavi biometriche crittografate, archiviate in una zona di fiducia, che non lasciano mai il telefono.

È possibile modificare il dito di cui si esegue la scansione e aggiornare i dati del viso per un'elaborazione più accurata . Il tuo telefono ha altri trucchi nella manica, ad esempio, può essere rintracciato e bloccato in remoto tramite il sito Web di Samsung. Sebbene questo possa essere un problema di sicurezza e privacy diverso, è necessario valutare di chi si fideranno rispetto alla praticità d'uso. Non vorresti accedere ai siti web solo presentandoti di persona con tre documenti di identificazione.

Ci sono chiavi USB per impronte digitali e password per laptop e desktop, che possono fornire un livello simile di sicurezza aggiuntiva oltre alla password del sistema operativo; anche se un portachiavi con riconoscimento facciale e localizzazione GPS potrebbe essere piuttosto costoso.

#8
-1
R.. GitHub STOP HELPING ICE
2020-07-07 01:48:23 UTC
view on stackexchange narkive permalink

Le password devono essere eliminate, ma tutte le idee che hai citato come sostitutive sono sbagliate. Le password non sono costose da cambiare. Ma sono inclini a scelte deboli, compromessi tramite il riutilizzo e (cosa più importante) ingegneria sociale nella divulgazione alla parte sbagliata (questo include phishing e molto altro).

La biometria non è un segreto di sorta e lo è non "qualcosa che hai" a meno che tu non abbia un dispositivo di digitalizzazione affidabile a livello locale i cui sensori non possono essere manomessi per alimentare dati preregistrati. In mancanza di ciò, sono un "qualcosa che conosci" che sembra essere qualcosa che tutti conoscono, e quindi completamente inadatto per l'autenticazione. Esiste una tendenza a utilizzare hardware a prova di manomissione per sbloccare la chiave / token effettivo (non rivolto all'utente) memorizzato al suo interno in risposta a misurazioni biometriche (impronta digitale e sblocco facciale dei telefoni, ecc.) Ma questi sono tutti disattivabili con ridicolo falsi falsi.

I PIN funzionano in un modo in qualche modo simile, come meccanismo per sbloccare la chiave / token reale, ma usa il dispositivo a prova di manomissione per limitare la forza bruta, in modo da farla franca segreti molto più brevi / più semplici di "qualcosa che conosci". Questi sono meno banali da sconfiggere, ma comunque non forti. Essenzialmente ci saranno sempre attacchi per bypassare il throttling o per estrarre tutti i dati, a quel punto può essere rapidamente forzato su un'altra macchina.

La giusta sostituzione per le password è l'autenticazione con chiave pubblica, con la chiave privata contenuta in un dispositivo isolato (qualcosa che hai) e protetta da una passphrase (qualcosa che conosci). L'unica differenza tra questo e il PIN è la forza che la parola "passphrase" intende trasmettere: la chiave simmetrica derivata utilizzata per crittografare la chiave privata è sufficientemente forte che, anche se il dispositivo viene rubato e tutti i dati estratti, non può essere bruto forzato. Gli utenti di un tale sistema devono sapere di non inserire mai la passphrase da nessuna parte ma sul dispositivo isolato e di revocare e rigenerare le chiavi se sospettano che la passphrase sia stata divulgata.

Secondo paragrafo: la biometria è "qualcosa che SEI", non qualcosa che hai o qualcosa che conosci.
@andrewf: Il punto è che è falso.Le bio ** metriche ** sono misurazioni e quindi un "sapere" non uno "sono".L'essere non è qualcosa che puoi valutare in un autenticatore.
"a meno che non si disponga di un dispositivo di digitalizzazione affidabile a livello locale i cui sensori non possono essere manomessi per fornire dati preregistrati" è davvero un requisito dei sistemi biometrici.Idealmente, come suggerisci, quel dispositivo eseguirà una sorta di autenticazione con chiave pubblica quando confermerà che sei tu.Qualcosa di simile forse: https://www.bbc.co.uk/news/av/technology-49322217/testing-the-debit-card-with-a-fingerprint-sensor
"A meno che tu non abbia [qualcosa che non esiste e non può esistere]" ...
@R..GitHubSTOPHELPINGICE, Un sistema biometrico necessita di un sensore che effettui una misurazione reale di un vero bulbo oculare / impronta digitale / viso / qualunque cosa.Certo, ci saranno sempre modi per ingannare un sistema, ma anche i sistemi di password sono notoriamente fragili.Ci sono sempre dei compromessi.Solo perché non esiste un sistema biometrico perfetto ideale platonico, non significa che non ci siano sistemi automatici biometrici _utili_.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...