生物识别眼部扫描是否比多因素身份验证更安全

信息安全 多因素 生物识别
2021-09-04 07:04:29

我在 Security+ 考试指南中遇到了以下问题

您的任务是创建一个高度安全的身份验证系统,用于对军事设施进行物理访问控制。以下哪种身份验证系统最合适?

  1. 生物识别眼部扫描
  2. 安全徽章
  3. 智能卡和 PIN
  4. 加密的登录名和密码

本章末尾的答案是:

对于高安全性安装,生物识别技术是一种基于独特物理特征对用户进行身份验证的极其安全的方法。

我的问题是

答案怎么可能不是数字 3?

坏人将不得不窃取智能卡并以某种方式从授权人员那里获取 PIN,这是两个工作

在进行生物识别眼部扫描时,他们必须完成一项工作

4个回答

生物识别技术可以有效地作为身份验证或识别,但不能同时有效。

根据维基百科,视网膜扫描精确到大约百万分之一,这意味着今天地球上大约有 7,000 个人将在视网膜扫描中被识别为您。假设不需要进一步的身份验证,这些人将在一个(错误)步骤中被识别和验证为您。

但如果与外部识别步骤相结合,生物特征认证将成为第二个因素。通常,识别是通过识别徽章(“你拥有的东西”)完成的,而身份验证是通过生物识别技术(“你是什么东西”)完成的。所以它确实是真正的两因素身份验证。

由于三个可用因素,这本质上比卡片和密码更好,“你知道的东西”是最容易伪造的。

因此,假设使用某种令牌进行识别(这在生物特征认证安装中非常典型,但这里没有明确说明),那么这个问题措辞不佳,但至少有正确的想法。相反,假设眼睛扫描独立作为识别和认证,那么答案 3 将是正确的。

无论哪种方式,这个问题都可以使用一些澄清。仅指身份验证,没有任何关于身份的字眼;但这是评估系统安全性的绝对关键因素,在这里肯定会有所作为。留给读者去猜题者头脑中的内容,这是编写标准化测试的糟糕形式。

我看到你在这里有两个问题:

  1. 学习指南提供的答案在技术上是否正确?
  2. 这个示例问题是否可能没有明确的答案并且是一个不好的问题?

关于您的第一个问题,我认为您有一个有效的论点,即智能卡/ PIN 至少提供与生物识别身份验证器相同的安全性。但这部分取决于两个系统的实施方式。

智能卡是否只是存储了与 PIN 一起提供给身份验证系统的静态值?或者它是否包含一个受保护的私钥,该私钥签署一次性质询并且仅在它直接收到正确的 PIN 时才会这样做(这意味着身份验证系统永远不知道 PIN)?“眼睛扫描”(视网膜、虹膜或其他?)是否从图像中捕获足够的数据点来表示大量可能的模式?眼睛生物识别系统是否配置了适当的精度来拒绝接近但不准确的读数(错误接受率)?

但是考试指南没有提供任何这些信息,因此希望您做出一个相当不知情的决定,决定哪个是最好的。这就引出了第二个问题。

我不确定这是否是您的第一个技术认证,但预计会感到沮丧。为了评估您对各种主题的了解,您将在没有一个明确答案的真实考试中遇到此类问题。他们可能依赖于您对考试创建者对该主题的具体指导的了解,这些指导可能会发布在他们的官方学习指南或支持材料中。

但是您可能只是试图对问题作者的未记录看法进行逆向工程,这些看法导致他们选择一个答案而不是另一个答案。换句话说,即使您自己不同意,是否有一个答案从某个角度来看可能是显而易见的?

一些测试机构投入大量时间和精力来确保他们的问题既符合行业共识又符合心理测量。但是我们的行业也有很多问题需要以“嗯,这取决于......”开头的答案一些测试组织试图简化这种复杂性,以扩大他们的问题库,并且假装在那里对我们造成伤害是一个明确的答案。

我在大约 7 年前参加并通过 Security+ 考试的经验是,他们被包括在后一组中。所以,祝你好运,在这个过程中尽量不要太沮丧!

我认为这个问题有一个未说明的假设:军事设施将在入口处设有警卫。我所知道的对生物识别系统的每次攻击都假定扫描仪未受保护或受到破坏。如果门口站着一名警卫,确保您使用是眼球(不是挖出的眼球,不是照片,不是连接到真实眼球的虚拟扫描仪,等等),生物识别眼睛扫描是一种合理的技术。

在这种情况下,智能卡可能会被盗,并且 PIN 码可能会从受害者身上敲出,但您无法欺骗警卫让您使用其他人的眼球。

那里的一些消息来源不同意以下声明,但必须说。

生物识别不是身份验证。生物特征是识别。

不要使用生物特征进行身份验证,但您可以使用它们进行身份验证!

安全性有 3 个重要概念:

  • 身份识别:你是谁
  • 身份验证:你如何证明你是谁
  • 授权:根据您的身份,您可以获得哪些访问权限

生物识别的最大问题是您无法更改它们如果您无法更改它们,当它们被盗时会发生什么?

为了识别,您可以在任何地方重复使用相同的用户名或生物特征。重复使用相同的东西并不重要,因为它就是你自己。如果它不能改变也不是问题,因为你永远不会改变。

另一方面,对于身份验证,您需要能够更改内容以防它们被盗。您可以更改您所知道的密码,也可以更改您拥有的电话/令牌设备/电子邮件地址。但是,你无法改变你是什么,双模。

因此,生物识别是身份验证的最差选择,因为它确实是身份识别。

好的部分

这并不意味着生物识别技术毫无用处。事实上,它们可以提供非常好的识别,因为攻击者窃取一个人的生物特征比简单地写下他的公共用户名更难。

但是,这只是识别。您仍然需要身份验证,是的,多因素身份验证比单一身份验证要好。

您可以使用 3 件东西进行识别/身份验证。

  • 你知道的东西:密码
  • 您拥有的东西:电话、令牌设备、电子邮件地址
  • 你是什​​么:生物识别,用户名

如果您想要最好的安全性,您需要以这种方式组合它们:

  • 识别:你是什么+你有什么
  • 身份验证:你知道的东西+你拥有的东西

您拥有的东西是唯一可以用作识别和身份验证的东西,因为假设您是唯一拥有它的人。

您不能用作身份验证,因为它无法更改

你知道的东西不能用作身份证明,因为你不能透露它

答案

如果您真的只需要选择一个,那么#3(智能卡+密码)应该是答案。

如果您可以选择多个,那么#1(虹膜扫描)+#3(智能卡+密码)提供最好的安全性

一些来源

http://technet.microsoft.com/en-us/library/cc512578.aspx(关于这个主题的好文章)

正确的生物特征只是身份识别,并且会像所有好的标识符一样伴随着某种秘密——PIN、智能卡上的私钥,或者,是的,甚至是密码。

http://en.wikipedia.org/wiki/Multi-factor_authentication

http://www.chakraborty.ch/best-practices/why-biometric-authentication-is-frequently-a-bad-idea/

http://psoug.org/blogs/mike/2010/04/13/biometric-ids-a-really-really-bad-idea/

其它你可能感兴趣的问题
上一篇后门如何获得持久性 下一篇X509 证书如何用于加密