web-dev-qa-db-ja.com

生体認証のアイスキャンは、多要素認証よりも安全ですか

Security +試験ガイドで次の質問に遭遇しました

軍事施設への物理的なアクセス制御のための高セキュリティ認証システムを作成する必要があります。次の認証システムのどれが最も適切でしょうか?

  1. 生体認証アイスキャン
  2. セキュリティバッジ
  3. スマートカードとPIN
  4. 暗号化されたログインとパスワード

この章の最後の答えは次のとおりです。

セキュリティの高いインストールでは、生体認証は、固有の物理的特性に基づいてユーザーを認証するための非常に安全な方法です。

私の質問は

答えが3番ではなかったのはなぜですか。

悪意のある人はスマートカードを盗み、どういうわけかPINを2つのジョブである許可された個人から取得する必要があります

バイオメトリックアイスキャンでは、1つの仕事をしなければなりません。

multi-factorbiometrics
13
Ulkoma

バイオメトリクスは、認証としても識別としても効果的ですが、同時に両方には効果的ではありません。

Wikipedia によると、網膜スキャンは約100万分の1まで正確です。つまり、今日の地球には約7,000人の個人があなた網膜スキャン。これ以上の認証は必要ないと想定すると、これらの人々は、単一の(ミス)ステップで識別され、認証されます

しかし、外部の識別ステップと組み合わせると、生体認証は2番目の要素になります。通常、識別は識別バッジ(「あなたが持っているもの」)によって行われ、認証はバイオメトリクス(「あなたが何か」)を通じて行われます。したがって、本当の2要素認証であることがわかります。

これはカードアンドピンよりも本質的に優れています。3つの要素が利用できるためです。

したがって、ある種のトークンを使用して識別が行われると仮定すると(これは、生体認証インストールでは非常に一般的ですが、ここでは明示的に述べられていません)、質問は不適切な言葉ですが、少なくとも正しい考えを持っています。代わりに、アイスキャンが識別と認証の両方として独立していると仮定すると、答え3が正しいでしょう。

いずれにせよ、質問はいくつかの説明を使用することができます。それは、識別についての言葉すらなく、認証だけを指します。しかし、それはシステムのセキュリティを評価する上で絶対的に重要な要素であり、間違いなくここで違いを生みます。質問者の頭の中身を占うのは読者に任されています。これは、標準化されたテストを書くには不十分な形式です。

18
tylerl

質問には明言されていない仮定があると思います:軍事施設は入り口に警備員がいるということです。私が認識している生体認証システムに対するすべての攻撃は、保護されていない、または侵害されたスキャナーを想定しています。 your眼球を使用していることを確認するためにゲートに立っている警備員がいる場合(削られたものではなく、写真ではなく、実際のスキャナーの代わりに接続されたダミースキャナーではなく、など)、生体認証アイスキャンは合理的な手法です。

このような状況では、スマートカードが盗まれてPINが被害者から暴行される可能性がありますが、警備員をだまして使用させようとすることはできません。他人の眼球。

6
Mark

ここに2つの質問があると思います。

  1. 研究ガイドから提供された答えは技術的に正しいですか?
  2. このサンプルの質問に明確な答えがなく、悪い質問である可能性はありますか?

最初の質問に関して、スマートカード/ PINは少なくとも生体認証システムと同等のセキュリティを提供するという有効な議論があると思います。しかし、これの一部は両方のシステムの実装方法に依存します。

スマートカードは、PINと共に提示される静的な値を認証システムに格納するだけですか?または、1回限りのチャレンジに署名し、適切なPIN(認証システムがPINを知らないことを意味する)を直接受信した場合にのみ署名する保護された秘密鍵が含まれていますか?アイスキャン」(網膜、虹彩、その他)は、画像から十分な数のデータポイントをキャプチャして、非常に多数の可能なパターンを表しますか?目の生体認証システムは、正確ではないが近くの読み取りを拒否する適切な精度で構成されていますか(false)合格率)?

しかし、試験ガイドはその情報を提供しないため、どちらが最適かについて、十分な情報に基づいていない判断を下すことが求められます。そして、それが2つ目の質問です。

これが初めての技術認定かどうかはわかりませんが、イライラすることでしょう。さまざまなトピックについての知識を評価するために、明確な答えが1つもない実際の試験でこのような質問に出くわします。彼らは、その問題に関する試験作成者の特定のガイダンスについてのあなたの知識に依存する場合があります。それらは、公式の学習ガイドまたはサポート資料で公開される場合があります。

しかし、質問作成者の文書化されていない認識をリバースエンジニアリングして、ある回答を別の回答よりも選ぶようにさせたままにしているだけの場合もあります。つまり、自分が同意しなくても、ある観点からは明白な答えがあるのではないでしょうか。

一部のテスト組織は、質問が業界のコンセンサスで十分に確立されており、心理測定的に健全であることを確認するために、かなりの時間と労力を費やしています。しかし、私たちの業界には、「まあ、それは依存します...」から始めるために答えを必要とする多くの質問があります明確な答えです。

7年以上前にSecurity +試験を受けて合格した私の経験は、後者のグループに含まれていたということです。だから、あなたに幸運を祈り、その過程であまりイライラしないようにしてください!

5
PwdRsch

一部の情報源は次の声明に同意しませんが、それは言わなければなりません。

生体認証は認証ではありません。バイオメトリクスは識別です。

認証に生体認証を使用しないでください。ただし、識別に使用できます。

セキュリティには3つの重要な概念があります。

  • 識別:あなたは誰ですか
  • 認証:本人であることを証明する方法
  • 承認:あなたが誰であるかに基づいて、どのようなアクセス権を取得するか

生体認証の大きな問題は、それらを変更できないことです。それらを変更することができない場合、それらが盗まれた場合はどうなりますか?

識別のために、どこでも同じユーザー名または生体認証を再利用できます。それはあなたの正体なので、同じものを再利用することは問題ではありません。あなたが誰であるかは決して変わらないので、それが変わることができないならばそれは問題でもありません。

一方、認証については、盗まれた場合に備えて変更できる必要があります。あなたが知っていること、パスワードを変更することができ、あなたが持っているもの、電話/トークンデバイス/メールアドレスを変更することができます。しかし、あなたは自分自身を変えることができません。

したがって、生体認証は実際の識別であるため、認証の最悪の選択です。

良い部分

これは、バイオメトリクスが役に立たないという意味ではありません。実際、攻撃者が1人の生体認証を盗むのは、単に彼のパブリックユーザー名を書くよりも難しいので、非常に優れた識別を提供できます。

しかし、それは単なる識別です。それでも認証が必要であり、はい、多要素認証は単一認証よりも優れています。

識別/認証に使用できるものは3つあります。

  • 知っていること:パスワード
  • あなたが持っているもの:電話、トークンデバイス、メールアドレス
  • あなたが何か:生体認証、ユーザー名

最高のセキュリティが必要な場合は、次のように組み合わせる必要があります。

  • 識別:あなたが何か+あなたが持っている何か
  • 認証:知っているもの+持っているもの

あなたが持っているのはあなただけであると想定されているため、識別と認証の両方として使用できる唯一のものです。

変更できないため、認証として使用できないもの

あなたがそれを明らかにすることができないのであなたが知っている何かは識別として使用することができません

答え

本当に1つだけ選択する必要がある場合は、#3(スマートカード+ピン)が答えです。

複数選択できる場合は、#1(アイリススキャン)+#3(スマートカード+ピン)が最高のセキュリティを提供します

一部のソース

http://technet.Microsoft.com/en-us/library/cc512578.aspx (この件に関する素晴らしい記事)

適切なバイオメトリクスはIDのみであり、すべての適切な識別子と同様に、ある種のシークレット(PIN、スマートカードの秘密キー、またははい、パスワードも)が添付されます。

http://en.wikipedia.org/wiki/Multi-factor_authentication

http://www.chakraborty.ch/best-practices/why-biometric-authentication-is-frequencyly-a-bad-idea/

http://psoug.org/blogs/mike/2010/04/13/biometric-ids-a-really-really-bad-idea/

1
Gudradain