¿Es segura la autenticación de huellas digitales?

¿La autenticación del sistema operativo es más segura mediante el uso del lector de huellas digitales que una contraseña (segura)? ¿Puede ser hackeado fácilmente?

Por cierto, ¿dónde se almacena la huella digital? ¿En el chip de hardware o en el sistema de archivos?

¿Eso depende del hardware del lector?

¿Eso depende de la implementación de la biblioteca / SO?

El problema con la mayoría de los sistemas biométricos es que son inherentemente 'ruidosos', lo que requiere que el software tamice a través del ruido a la señal verdadera. Una contraseña tiene unos pocos bytes donde la exactitud debe ser perfecta. Una huella digital biométrica, un escáner de iris, un escáner de retina o una impresión de voz, todos deben tener un umbral 'lo suficientemente cercano' porque la biometría cambia de un día a otro o de una semana a otra. La derrota de tales sistemas aprovecha la naturaleza "lo suficientemente cercana" de la tecnología de autenticación biométrica.

Debido a esto, un biométrico simple es, en mi opinión, menos seguro que una contraseña seleccionada correctamente. Y eso ni siquiera entra en detalles de implementación, como las posibilidades de captura / reproducción de señal entre el escáner y el autenticador, o los sensores de conductividad de la piel fácilmente subvertidos (¡lame el papel!).

Cuando se usa junto con una contraseña, puede mejorar la seguridad. Pero como dije, no debería usarse en lugar de una contraseña.

La seguridad del escáner probablemente depende en gran medida de la calidad del hardware. Supongo que la mayoría de los escáneres que vienen con las computadoras portátiles en estos días son bastante baratos y no están destinados a situaciones de alta seguridad. Incluso los escáneres de mayor calidad para cerraduras de puertas no son inmunes a la duplicación de huellas digitales. Este clip de Mythbusters lo demuestra.

Sin embargo, como dijo Harley, los desafíos múltiples siempre son más seguros que un solo desafío.

Las huellas digitales son generalmente más seguras que una contraseña, pero todo es relativo.

¿Pero sabes qué es más seguro que una huella digital? Una huella digital y una contraseña. Algo que tienes más algo que sabes es mucho, mucho más seguro que cualquiera de los dos.

El problema con todos los datos biométricos es que cuando su material de seguridad (como sus huellas digitales, retina o ADN) se ve comprometido, es muy difícil cambiarlo.

La biometría es una forma de identificación, no de autenticación.

Editar: A continuación, encontré este excelente artículo: Autenticación e identificación.

• ¿La autenticación del sistema operativo es más segura mediante el uso del lector de huellas digitales que una contraseña (segura)? ¿Puede ser hackeado fácilmente?

En un momento, se pensó que era así. Desde entonces, se han desarrollado varios métodos para derrotar a las versiones más baratas de estos escáneres.

Si se usa como parte de un proceso de autenticación de dos o múltiples factores, creo que mejorará la seguridad al aumentar la dificultad de entrada. Aquí hay alguien discutiendo esto.

• Por cierto, ¿dónde se almacena la huella digital? ¿En el chip de hardware o en el sistema de archivos?

Típicamente el sistema de archivos. Muchos escáneres simplemente convierten la impresión en un hash que se transmite a la PC host. Kronos Touch ID es una solución corporativa diseñada para usarse como un reloj de tiempo; almacena los datos en una tabla Paradox (!) como un hash , por lo que está bastante claro de dónde provienen sus márgenes de beneficio con este dispositivo ...

• ¿Eso depende del hardware del lector?

Hay muchos lectores, cada uno con sus propios métodos. Si bien no puedo hablar con ninguna autoridad sobre esto, parece que "sí" es una respuesta bastante buena a esta pregunta.

• ¿Eso depende de la implementación de la biblioteca / SO?

De nuevo, creo que depende del tipo de lector. Algunos realmente transmiten más que un hash (la imagen de huella digital real), mientras que otros no.

Bruce Schneier escribió un gran análisis de biometría en el que explora los aspectos positivos y negativos del uso de técnicas como los lectores de huellas digitales para la autenticación. Señala que las huellas digitales son difíciles de falsificar, pero son triviales de robar. Personalmente, la semana que pasé bloqueado de mi propia sala de servidores después de cortarme el dedo lo suficiente como para dañar mi huella digital es suficiente para quitarme los lectores de huellas digitales.

Volveré y editaré esta URL tan pronto como no sea un "nuevo usuario"

http://www.schneier.com/blog/archives/2009/01/biometrics.html

Personalmente no me gusta bastante la biometría. Si estuviera desembolsando el dinero para un sistema de huellas digitales, preferiría usar PKI y contraseña + certificado para identificación.

Dependiendo de la aplicación y el nivel de seguridad requerido, la biometría puede tener una falla literalmente fatal. Supongamos que los malos realmente quieren lo que esté protegido por el sistema de seguridad, y están dispuestos a secuestrar y / o matar a alguien para obtenerlo.

¿La autenticación del sistema operativo es más segura mediante el uso del lector de huellas digitales que una contraseña (segura)? ¿Puede ser hackeado fácilmente?

Sí, es bastante fácil cortar un dedo de una persona autorizada y usarlo para pasar el lector de huellas digitales. O bien, los malos pueden poner a la persona bajo presión y obligarla a poner el dedo en el escáner.

Por otro lado, se puede configurar un sistema de contraseña con una contraseña para dar acceso y otra contraseña de "coacción" para no solo negar el acceso, sino también pedir ayuda si se ingresa.

Personalmente, no trabajo en ningún sistema que sea tan importante que me gustaría perder un dedo sobre él. Si alguien quiere entrar lo suficientemente mal, ni siquiera quiero que se sientan tentados a tomar mi dedo ...

¿Cómo se conecta el escáner de huellas digitales? ¿El escáner que está buscando utiliza algún tipo de cifrado entre el escáner y la computadora? Si no es así, ¿qué me impediría insertar un dispositivo entre su escáner y su computadora y luego capturar su huella digital?

Realmente no puedes cambiar tu huella digital. Si puedo capturar una huella digital de una manera que simplemente puedo enviar los mismos datos una y otra vez, entonces su sistema está dañado.

La seguridad de las huellas digitales se basa en la biometría, donde el concepto es simple de que las impresiones de los pulgares de todas las personas que viven en esta tierra son diferentes. La lógica es cierta, pero depende totalmente de la tecnología que esté utilizando si el programa o el hardware no funcionan bien, entonces también puede ser un riesgo.

Habiendo experimentado una computadora portátil (HP de memoria) donde tanto mi huella digital como la de un compañero de trabajo otorgaron acceso a la misma cuenta de usuario, tengo que decir que no puede haber una respuesta absoluta de sí o no. La mayoría de las implementaciones que he visto usan solo unos pocos puntos de prueba para determinar una huella digital. En mi opinión, nada menos que un par de docenas de puntos es inadecuado para la seguridad adecuada. Entonces, debido a que dependerá de la implementación si tuviera que responder sí o no, debe ser no.