Question:
Comment pouvons-nous éliminer les mots de passe compte tenu des problèmes d'authentification biométrique?
pancake-house
2020-07-05 18:05:08 UTC
view on stackexchange narkive permalink

J'ai lu des articles suggérant que les mots de passe finiront par suivre le chemin du dinosaure pour être remplacés par la biométrie, les codes PIN et d'autres méthodes d'authentification. Cet article affirme que Microsoft, Google et Apple réduisent la dépendance aux mots de passe, car les mots de passe sont chers (à changer) et présentent un risque de sécurité élevé. D'un autre côté, le Dr Mike Pound de Computerphile affirme que nous aurons toujours besoin de mots de passe (je pense que c'est la bonne vidéo).

Mais comme le note ce merveilleux fil de discussion Security StackExchange, la biométrie n'est pas parfaite. Certes, les critiques datent d'environ six ans, mais tiennent toujours. De plus, et peut-être ai-je un malentendu fondamental sur la manière dont les données biométriques sont stockées, mais et si ces informations sont violées? Changer un mot de passe peut être fastidieux et coûteux, mais au moins il peut être changé . Je ne sais pas comment l'authentification biométrique résout ce problème - car je ne peux pas changer mon visage, mon iris, mes empreintes digitales, etc. - ou si elle doit résoudre ce problème du tout.

Ceux qui prétendent que nous pouvons éliminer les mots de passe qui font éclater prématurément les bouteilles de champagne ou leurs projections sont-elles correctes?

Nous devons lire utiliser les empreintes digitales pendant les années 2000.Pendant le test, nous avons un collègue dont l'empreinte digitale ne peut pas être détectée par les algorithmes.Nous avons compris que c'était plus que prévu.Une coupure dans la partie de l'empreinte digitale, une brûlure, peut également affecter les algorithmes.Ainsi, la sécurité du système se réduit à une carte à puce + mot de passe qui peut être transféré à un tiers.
Cela dépendra de la manière dont vous définissez "mot de passe".Fournir une chaîne modifiable par l'utilisateur comme mécanisme d'authentification ne disparaîtra probablement pas.La vraie question est la suivante: pouvons-nous éliminer le besoin pour les gens de concevoir et de mémoriser ces chaînes, ou pouvons-nous l'automatiser ou faire en sorte que le matériel le fasse pour nous?
Merci @schroeder.Vous avez exposé une excellente question de mon message.Dois-je diviser votre question en un sujet différent pour ne pas brouiller les eaux?
Tout dépend de ce que vous voulez vraiment demander.
Notez qu'un code PIN n'est en réalité qu'un mot de passe à faible entropie et facilement devinable, donc je n'inclurais pas cela dans la liste des "choses qui pourraient remplacer les mots de passe".
"Les mots de passe sont chers à changer" - LOL, attendez qu'ils apprennent à quel point il est coûteux de changer les informations biométriques!
Votre question me confond ... les dinosaures ont été remplacés par la biométrie?
De plus @whatsisname, le prix de la technologie biométrique!
@whatsisname J'aimerai voir quelqu'un changer un mot de passe biométrique à 6 mètres!Nevermind à distance comme sur un autre continent.
Je n’ai pas les références (ni le temps :) pour une réponse complète, mais la question «et si la biométrie est« violée »» est fondamentalement un malentendu. Savoir à quoi ressemble quelqu'un ne vous permet pas (forcément) de l'imiter suffisamment pour passer pour lui.
Quelque part, j'ai lu que la biométrie ressemble plus à des noms d'utilisateur qu'à des mots de passe, car ils sont difficiles à garder secrets.
Je prédis que 2021 sera "l'année du mot de passe".Comme chaque année.
Je suis surpris que personne n'ait mentionné le projet SQRL de Steve Gibson.https://www.grc.com/sqrl/sqrl.htm
Huit réponses:
#1
+90
Anonymous
2020-07-05 19:40:02 UTC
view on stackexchange narkive permalink

Tout d'abord, gardons à l'esprit que les fournisseurs de solutions biométriques ont un intérêt direct à dénigrer les mots de passe pour promouvoir leurs propres produits et services. Il y a de l'argent en jeu. Ils ont quelque chose à vous vendre, mais cela ne signifie pas que vous serez mieux après avoir acheté leurs produits. Donc, il ne faut pas prendre ces réclamations des fournisseurs pour argent comptant.

De plus, et peut-être ai-je un malentendu fondamental sur la manière dont les données biométriques sont stockées, mais que se passe-t-il si ces informations sont violées? Changer un mot de passe peut être fastidieux et coûteux, mais au moins il peut être changé. Je ne sais pas comment l'authentification biométrique résout ce problème - car je ne peux pas changer mon visage, mon iris, mes empreintes digitales, etc. - ou si elle doit résoudre ce problème du tout.

C'est précisément le plus gros problème avec la biométrie. Les «jetons» compromis ne peuvent pas être révoqués. Des violations se sont déjà produites à grande échelle. Un événement dévastateur qui aura des conséquences pendant de nombreuses années est la violation de données OPM.

Les visages ne peuvent pas être protégés. Ils sont littéralement de notoriété publique. De nos jours, beaucoup de gens ont leur visage sur Internet. Les empreintes digitales peuvent être saisies sur un verre. Ce ne sont pas des secrets.

De plus, la collecte de données biométriques est un formidable catalyseur pour la surveillance de masse des individus. Même les gouvernements les plus démocratiques ne peuvent faire confiance. La technologie modifie également la nature du gouvernement et des interactions sociales - pas toujours dans le bon sens.

Nous devons considérer les compromis: qu'est-ce que vous avez à gagner par rapport à ce que vous pourriez éventuellement perdre. La commodité vaut-elle le risque? Tout le monde n'est pas convaincu.

Ce n'est donc pas seulement un problème technique mais un problème de société qui a d'énormes implications. Indice: la Chine est la référence.

Le taux de faux positifs ou négatifs est également un problème. Certaines personnes ne peuvent pas être inscrites en raison de leurs caractéristiques physiques. Un mot de passe est sans ambiguïté. Soit vous le savez, soit vous ne le savez pas. Biométrie = calcul de probabilité.

Se fier uniquement à la biométrie n'est pas judicieux pour les applications critiques. D'où l'émergence de l ' authentification multi-facteurs.

A titre d'exemple, l'authentification à 3 facteurs serait:

  • quelque chose que vous avez: par exemple un carte à puce
  • quelque chose que vous êtes: c'est là que la biométrie entre en jeu
  • quelque chose que vous connaissez: par exemple un mot de passe

Ce serait objectif dire que la biométrie prend de l'ampleur dans certains marchés / applications, sans éliminer complètement les mots de passe. Il n'est pas nécessaire que ce soit un jeu à somme nulle.

Scans Palm et Iris?
Je doute un peu de votre premier paragraphe, mais le reste est assez raisonnable.
Pour modifier la réponse ci-dessus: En fait, certaines approches biométriques ** - comme ** peuvent être utiles, mais ** elles ne correspondent PAS à ce que l 'on entend habituellement par «biométrie» **.[Il existe des moyens] (https://bojinov.org/pdfs/usenixsec2012-rubberhose.pdf) pour enregistrer des informations dans le système nerveux humain de manière à ce que les informations enregistrées ne puissent pas être extraites en [appliquant un tuyau en caoutchouc] (https://en.wikipedia.org/wiki/Rubber_hose_cryptoanalysis), [une clé] (https://xkcd.com/538/) ou des outils plus avancés spécialement conçus, puis vérifiez s'il est enregistré, si le système sait exactement quoivérifier.
Sur la base de votre argument «un visage est de notoriété publique», le facteur biométrique est égal à * quelque chose que vous avez * puisque vous «avez (probablement) ce visage» ou une photocopie de celui-ci.
@jaaq "Quelque chose que vous avez" implique généralement que "avoir" est transférable.Les visages ne sont généralement pas transférables.Seulement si la photocopie fonctionne aussi, vous avez ce problème ...
@kelalaka Un motif d'iris (ou une empreinte digitale ou une empreinte de paume) peut être recréé à partir d'une photographie de qualité suffisamment élevée, il tombe donc dans le même seau que les visages et les empreintes digitales.Les scans de la rétine sont meilleurs à cet égard.C'est également pourquoi une nouvelle technologie d'empreintes digitales se concentre sur la numérisation du motif des vaisseaux sanguins * à l'intérieur * du doigt.
@Chronocidal ah, quand je dis paume, je considérais simplement les vaisseaux sanguins.Merci.
C'est une bonne réponse, mais le ton conspirateur du premier paragraphe l'entraîne vers le bas.
@jaaq: Un visage n'est pas «quelque chose que vous avez» dans le sens de l'authentification car la partie à laquelle vous vous authentifiez ne peut pas dire si vous l'avez.Tout ce qu'ils peuvent dire, c'est si vous * connaissez * une numérisation appropriée.Et des informations suffisantes pour obtenir une numérisation appropriée sont de notoriété publique, pas un secret.Par conséquent, il ne convient pas du tout comme méthode d'authentification.
Les plaintes de Conor et Schwern au sujet du premier paragraphe sont injustifiées.Ce n'est pas «conspirateur»;c'est honnête sur le fonctionnement des structures d'incitation.Les complots sont en grande partie impossibles car personne ne peut garder un secret.Mais des phénomènes comme ce qu'Anonyme décrit ici sont des conséquences naturelles de l'alignement des incitations.
Pouvons-nous simplement supprimer le premier paragraphe pour en faire une meilleure réponse?Bien que je sois d'accord avec la déclaration elle-même, elle n'ajoute rien d'autre qu'un ton énervé.Ou du moins reformulez-le en quelque chose de neutre et informatif.
Le «problème d'annulation» avec la biométrie n'existe que si vous essayez d'utiliser votre biométrique comme mot de passe et en fonction de la garder secrète.La mesure de la sécurité d'un système biométrique est son degré de sécurité * lorsque les données biométriques sont de notoriété publique *.En d'autres termes, l'allégation clé dans la réponse passe à côté aussi complètement que quelqu'un qui dit "AES n'est pas sécurisé parce que l'algorithme n'est pas secret".Ce n'est pas censé l'être.
"La biométrie est un nom d'utilisateur, pas un mot de passe"
"Il ne faut donc pas prendre ces affirmations des vendeurs pour leur valeur nominale."me semble tout à fait raisonnable.D'un autre côté, les structures d'incitation des banques, par exemple, sont bien mieux alignées sur le fait de vouloir que leurs clients aient accès à leur argent et à personne d'autre (sauf peut-être la banque!;)) Lorsque les banques sont heureuses de vous laisser vous connecter à leur applicationavec votre voix ou votre empreinte digitale à la place d'un mot de passe, c'est probablement parce qu'ils ont conclu qu'il était suffisamment plus sûr au niveau des inconvénients que leurs clients accepteront qu'il vaut la peine de payer ledit fournisseur de biométrie.
"En plus de cela, la collecte de données biométriques est un formidable catalyseur ... on ne peut pas faire confiance aux gouvernements." Il s'agit d'une grande question philosophique à résoudre, et l'industrie de la technologie doit définitivement mieux lutter contre les implications philosophiques de leurs inventions.Pourtant, cela n'a vraiment rien à voir avec la question de savoir si la biométrie est sécurisée (sauf peut-être dans la conduite de la recherche qui la rend encore plus!)
"Le taux de faux positifs ou négatifs est également un problème."Oui.Kinda.Le vrai compromis est la commodité contre la sécurité.Faux positifs élevés: mauvaise sécurité.Faux négatifs élevés: commodité moindre.Cependant, cette commodité inférieure peut toujours être meilleure que la meilleure commodité pour les mots de passe.Pendant le temps qu'il me faudrait pour taper un mot de passe de sécurité minimal (6 lettres minuscules), je pourrais réessayer mon scanner d'empreintes digitales 3 fois.Donc, si le scanner d'empreintes de mon téléphone au hasard (et le hasard est important) me manque 5% du temps, 99,99% du temps, je m'authentifie plus rapidement qu'avec un mot de passe même faible.
@Josiah vous supposez un type spécifique de défaillance provoquant un faux négatif, une défaillance complètement aléatoire.Supposons que votre empreinte ne fonctionne que lorsque la température est basse ou élevée, ou à certaines heures de la journée, etc.Supposons que l'appareil se dégrade lentement avec le temps?(Ce sont tous de vrais problèmes qui se sont produits avec les appareils biométriques.)
Oui, c'est pourquoi j'ai dit "Et au hasard, c'est important".Le problème du pouce en sueur est le problème "Votre verrouillage des majuscules est activé" pour les capteurs d'empreintes digitales.C'est pourquoi si vous souhaitez utiliser la biométrie sur votre téléphone, le téléphone vous oblige à activer une alternative.Même dans ce cas, même si retaper n'aidera pas les 5% du temps où vous ne pouvez pas entrer, la plupart des gens trouvent que les 95% en valent la peine.
Mieux encore, il est plus facile de persuader les gens de ne pas utiliser "qwerty" comme mot de passe si vous leur dites qu'ils n'auront qu'à le mettre dans 5% du temps.En d'autres termes, dans un modèle d'authentification à facteur unique «l'un ou l'autre», le fait d'avoir l'option biométrique disponible peut renforcer l'option mot de passe!
En outre, les mots de passe peuvent être donnés à quelqu'un d'autre.C'est assez important dans les entreprises et aussi dans de nombreuses situations personnelles (par exemple la mort).
Les schémas de sécurité solides @Sulthan, permettant aux seconds utilisateurs autorisés fonctionnent en identifiant et en authentifiant le second utilisateur autorisé, et non par le second utilisateur usurpant l'identité du premier.C'est pourquoi les banques et autres disent: «Ne donnez votre mot de passe à personne, pas même à nous».Tout employé de banque qui a besoin de vérifier votre compte le fait en tant qu'employé de banque, et non en tant que vous.De même, si, par exemple, vous voulez qu'un ami gère votre compte Facebook après votre décès, vous pouvez le configurer en tant que «contact hérité».Encore une fois, cela les autorise à faire certaines choses dans certaines situations, à ne pas prétendre être vous.
En fait, le fait que les mots de passe puissent être partagés est généralement considéré comme l'un des plus gros problèmes avec les mots de passe.L'équipe de sécurité de l'entreprise considère qu'il est important que les gens ne partagent pas leurs mots de passe.C'est parce que, premièrement, les gens ne sont généralement pas aussi bons que nous pensons que nous le sommes pour repérer les sortes non fiables et ont tendance à partager avec des gens qu'ils ne devraient pas.Deuxièmement, parce que si quelque chose ne va pas, ils veulent savoir avec certitude qui l'a fait.Si je peux me connecter au compte de mon collègue pour télécharger et divulguer la base de données de l'entreprise, il licenciera la mauvaise personne.
#2
+8
symcbean
2020-07-06 03:15:23 UTC
view on stackexchange narkive permalink

mais au moins cela peut être changé

Ils changent fréquemment - en fonction de ce que vous avez mangé / bu. L'éclairage ambiant a un grand impact. Âge. Variations des appareils effectuant la mesure. La biométrie fonctionne par les attributs mesurés étant suffisamment proches d'un enregistrement de base pour être considéré comme une correspondance par le logiciel. "Fermer assez" ne fonctionne pas pour les clés de chiffrement - uniquement pour l'authentification. C'est un problème encore pire pour les jetons 2FA - cela prouve simplement que vous possédez un secret en partageant le secret. Le secret doit être disponible en texte brut aux deux extrémités du processus d'authentification.

Les mots de passe ont des problèmes. Les jetons 2FA ont des problèmes. La biométrie a des problèmes. En l'absence de séquençage d'ADN (non viable), l'approche la plus viable pour une sécurité renforcée consiste à combiner différentes méthodes.

Même le séquençage de l'ADN a des problèmes!
... y compris, mais sans s'y limiter, le [chimérisme] (https://en.wikipedia.org/wiki/Chimera_ (génétique) #Humans).
Et puis vous jetez dans les maladies au niveau cellulaire, et le cancer, et bien, l'ADN n'est pas exactement facile à traiter.
Je ne comprends pas le _ "... problème des jetons 2FA - cela prouve simplement que vous possédez un secret en partageant le secret." _ Partie.Le «secret» qui se trouve aux deux extrémités ne peut être extrait que par de grands désagréments en personne ou en utilisant un équipement délibérément cassé au moment de l'inscription.
@CaptainMan C'est * techniquement correct * mais comme il y a beaucoup d'idées fausses à ce sujet dans la presse populaire, laissez-moi noter que les modifications de votre ADN au cours de votre vie sont * extrêmement rares * (moins d'un changement sur un million), etserait totalement hors de propos dans le contexte de cette discussion.Le chimérisme (comme l'a noté Eric) et, plus important encore, le * mosaïcisme *, seraient une question beaucoup plus pertinente (mais peut aussi être contournée de manière triviale).À toutes fins utiles, votre ADN est complètement constant.
Le séquençage de l'ADN ne peut pas faire la différence entre les jumeaux.Seules les empreintes digitales le peuvent.
#3
+7
The_Moth
2020-07-06 12:30:24 UTC
view on stackexchange narkive permalink

Je ne comprends pas tout à fait d'où vient l'idée de changer un mot de passe qui coûte cher, avoir travaillé dans / sur le stockage des mots de passe et les connexions au site Web, changer un mot de passe n'est pas très coûteux, pas plus que d'ouvrir un nouvel onglet Web, et recevoir un e-mail.

Les codes PIN sont essentiellement des mots de passe plus faibles (du moins selon ma définition de ce qu'est un «PIN»).

La biométrie a un problème; s'ils sont violés, vous ne pouvez pas vraiment les changer rapidement. De plus, dès que quelqu'un a accès à vous (comme lorsque vous êtes arrêté), il peut prendre vos données biométriques et accéder à tous vos comptes.

Diminution de la dépendance. De nombreuses entreprises réduisent leur dépendance aux mots de passe et ont commencé à utiliser l'authentification à deux facteurs. Cela se présente sous de nombreuses formes, mais cela peut être n'importe quoi, comme avoir à confirmer les modifications avec un lien e-mail, entrer un code qui vous a été envoyé par SMS ou avoir une application spéciale que vous devez utiliser pour confirmer votre décision. L'authentification à deux facteurs n'est pas parfaite et présente plusieurs défauts, elle est ennuyeuse et fastidieuse, mais elle est également plutôt efficace.

Stockage biométrique. C'est la partie fragmentaire. alors que les mots de passe peuvent être stockés de manière super sécurisée, la biométrie ne le peut pas vraiment, car vous devez comparer un profil avec l'entrée, ce qui signifie que ce profil peut être volé. La biométrie est également assez vulnérable car elle est constamment visible sur vous. (empreintes digitales, iris, ADN, parole, reconnaissance faciale) Cela facilite leur vol / copie, ce qui est beaucoup plus difficile avec les mots de passe, s'ils sont gérés correctement.

Pour résumer les mots de passe sont plutôt bons, s'ils sont utilisés correctement (ce que la plupart des gens ne font pas) et peuvent être grandement améliorés en utilisant l'authentification à deux facteurs (ou plus de facteurs comme l'a souligné @Anonymous).

L'idée de changer un mot de passe étant ** cher ** est en effet étrange.Le fait est qu'il n'est pas toujours possible pour l'utilisateur de le modifier.Par exemple, pour réinitialiser un mot de passe dans Active Directory, ** le service de support informatique ** devra intervenir et ** manuellement ** le réinitialiser (et vérifier que la demande est légitime et non une possible ** astuce d'ingénierie sociale **).Cela arrive tellement de fois que les employés oublient leur mot de passe.Parfois, la ** politique de mot de passe ** est la cause du problème: les employés changent leurs mots de passe en utilisant un modèle plus ou moins constant, et après un certain temps, ils sont confus.
Donc, la première explication est que les mots de passe peuvent être «coûteux» en termes de travail de bureau (support informatique) alors qu'il s'agit en fait d'un coût pour faire des affaires.Presque personne ne dit que les ordinateurs sont «chers».L'autre sens de «cher» est comme indiqué dans l'un des articles: * «Les mots de passe sont un risque de sécurité très sérieux et coûteux» *.Cela signifie qu'un mot de passe compromis peut avoir des conséquences très néfastes, ce qui va de soi.Un mot de passe compromis conduisant à une violation coûte cher à la victime.Cela ne signifie toujours pas que les alternatives sont moins chères.
Lorsque l'OP dit que changer un mot de passe est fastidieux et coûteux, je lis que cela signifie *** pour l'utilisateur ***.Parce que peu importe la rationalisation du processus, ce n'est pas un mot de passe, c'est cent.Nous avons des gestionnaires de mots de passe pour faire face à cette inondation, mais ils sont difficiles à faire adopter par un utilisateur typique.Même avec un gestionnaire de mots de passe et une notification automatique des violations de mots de passe, la réinitialisation des mots de passe compromis est un processus fastidieux, manuel et constant pour l'utilisateur.
Le libellé suggère que 2FA remplace les mots de passe.Les «deux» dans l'authentification à deux facteurs un mot de passe ET un deuxième code;c'est une couche de sécurité supplémentaire.Cependant, une réinitialisation du mot de passe via un lien envoyé par courrier électronique est souvent utilisée pour remplacer les comptes rarement utilisés.Les utilisateurs utilisant la réinitialisation du mot de passe évitent d'avoir un autre mot de passe illustre l'épuisement du mot de passe.
@Schwern Je ne suis pas sûr de comprendre cet argument.À moins que la chose qui a été violée ne soit votre base de données de mots de passe personnels, toute violation devrait concerner un ou deux mots de passe individuels qui devraient être relativement simples à changer - à moins que quelqu'un ait déjà exploité la violation et modifié les détails de votre compte, mais alors cela vaêtre un problème malgré tout.Ou à moins que vous n'utilisiez le même mot de passe sur des centaines de sites - ce qui est exactement le même problème que causerait l'utilisation de la biométrie.
@Miral Un ou deux mots de passe individuels cette fois.Et encore.Et encore.En répétition, pour toujours.Pour chacun doit aller sur le site Web, se souvenir de son nom d'utilisateur et de son mot de passe (la plupart des gens n'ont pas de gestionnaire de mots de passe), se connecter, trouver où changer le mot de passe (ils sont tous différents), peut-être remettre le mot de passe,peut-être aussi 2FA, trouvez un nouveau mot de passe, trouvez-en un autre qui répond à la politique et souvenez-vous-en.La biométrie n'est * pas * la réponse, mais la fatigue des mots de passe est un réel problème.Les réinitialisations de mot de passe sont frustrantes hors de proportion avec l'effort;même avec un manager je déteste ça.
En effet, la plupart des gens n'ont pas de gestionnaire de mots de passe, et pourtant il existe des solutions gratuites, éprouvées et open source disponibles sur le marché aujourd'hui.Quel est le hold-up, l'apathie, l'ignorance?Les gens pourraient simplifier leur vie, mais ils continuent à utiliser de mauvais mots de passe.Ils savent qu'ils sont mauvais mais ils le font toujours.Mon gestionnaire de mots de passe a même un plugin de navigateur.C'est bien si vous êtes paresseux: presque aucune frappe n'est requise.J'ai des mots de passe complexes pour chaque site et je n'ai pas à m'en souvenir.Ce n'est pas une solution parfaite mais l'un des meilleurs outils dont nous disposons.
Je n'utilise pas de gestionnaire de mots de passe, mais j'utilise également un mot de passe unique pour chaque site.Je me souviens juste de tous.Si j'en oublie un, la réinitialisation du mot de passe est généralement facile à trouver et ne prend que quelques secondes à utiliser.(Habituellement, la seule fois où j'ai des problèmes pour me souvenir d'un mot de passe, c'est lorsque le site a mis en place une politique stupide, ce qui est l'une des raisons pour lesquelles je suis d'accord avec xkcd pour dire que cela réduit la sécurité.)
@Anonymous:, le problème est que l'utilisation de mauvais mots de passe ne coûte presque rien à tout le monde, presque tout le temps.Si le délai moyen entre le piratage de votre compte bancaire était, par exemple, de 2 jours, alors la personne moyenne pourrait commencer à voir le problème, mais ce n'est pas le cas.Et ce n'est pas un hasard si de nombreux services qui auraient une importance financière s'ils étaient piratés sont les mêmes sites encourageant la 2FA.
En fait, une application d'authentification sur votre téléphone a certaines fonctionnalités en commun avec un plugin de gestionnaire de mots de passe: elle génère des «mots de passe» (pas littéralement des mots de passe, mais des données utilisées pour vous authentifier) trop sécurisés pour que vous puissiez vous en souvenir.Mais il utilise de meilleurs protocoles que "Je vais simplement envoyer exactement le même secret à chaque fois, d'accord? Ce sera probablement OK."
#4
+7
Josiah
2020-07-08 00:42:38 UTC
view on stackexchange narkive permalink

TLDR:
Pour résumer, votre question était "et si cette information était violée?"
La réponse est "les adultes dans l'espace biométrique supposent que c'est par défaut."
Une partie intrinsèque de leur modèle de sécurité est les vérifications supplémentaires à chaque fois que l'authentification se produit pour distinguer les personnes réelles des rediffusions et des répliques. dans la mesure où les replays et les répliques ne sont pas acceptés, le secret du visage réel, de l'empreinte digitale, etc. ne fait pas partie du modèle de sécurité.


Pour le fond, j'ai travaillé pendant 3 ans en tant que développeur dans l'équipe de recherche d'une startup de biométrie. L'industrie a définitivement sa juste part de cinglés et de non-conformistes et j'ai pu entendre toutes sortes d'affirmations improbables et de normes philosophiquement douteuses pour mesurer leur efficacité. Comme je l'ai mentionné dans un commentaire, si votre système de sécurité biométrique repose sur le fait que le visage (ou l'empreinte digitale ou autre) est secret, vous êtes l'un des charlatans. De même, si vous rejetez les données biométriques parce qu'elles ne sont pas tenues secrètes, vous perdez votre temps à vous disputer avec des charlatans.

Cependant, il y a aussi des adultes impliqués. Les principaux acteurs savent ce qu'ils font et sont convenablement dédaigneux des charlatans. Par grands acteurs, je parle de grandes entreprises comme Apple et d'agences gouvernementales comme le NIST. Mais en plus de cela, presque tout le monde utilise la biométrie, ils n'utilisent tout simplement pas la technologie de pointe pour cela.

Voici comment cela fonctionne.Vous voulez commencer un nouveau travail, et avant quoi que ce soit d'autre, on vous demande une sorte de pièce d'identité gouvernementale avec photo. Pourquoi la photo? Parce qu'ils veulent vérifier que vous (l'humain) correspondez à l'identifiant (la photo). Gardez cette distinction à l'esprit: même si la plupart des systèmes de reconnaissance faciale peuvent correspondre à deux photos de visages, la biométrie concerne spécifiquement la correspondance d'un humain. La sécurité des ressources humaines ou informatiques ou qui que ce soit doit vérifier deux choses: vous ressemblez à la photo et vous êtes un humain.

De même, tout système d'authentification biométrique non charlatan doit vérifier ces deux choses. Il y aura un matcher et il y aura un système de détection des attaques de présentation ( PADS ). Le matcher confirme que vous ressemblez à la photo stockée (ou à la représentation mathématique stockée dans n'importe quel sens) et le PADS est chargé de vérifier que vous n'êtes pas qu'une photographie. Par exemple, l'iPhone FaceID utilise un projecteur de points infrarouges et mesure directement la structure 3D de votre visage, ainsi que l'utilisation de l'appareil photo pour vérifier que vous vous ressemblez. D'autres systèmes PADS mesurent d'autres propriétés: peut-être le mouvement, la température, le rythme cardiaque, la capacité électrique ou une combinaison. L'objectif est d'identifier les propriétés que les humains possèdent par défaut mais qui sont un travail difficile et coûteux à forger.

Si vous utilisez, par exemple, une application bancaire qui utilise FaceID, elle ne transmet pas votre visage au banque pour vérification. Ce serait assez inutile. Tout ce que la banque peut vérifier, c'est que quelqu'un a une photo de votre visage. En fait, Apple ne permettra pas à la banque d'envoyer ces données; ils ne laisseront pas les données biométriques quitter le téléphone! Au lieu de cela, le téléphone vérifie la personne, puis envoie un message approprié à la banque à l'effet: "Moi, le téléphone de Josiah, confirme que je viens de voir une personne et que la personne ressemble à Josiah." (Probablement avec un "Et je signe ce message avec ma clé privée." Pour faire bonne mesure).

En termes de performances, les logiciels matcher ont fait des progrès incroyables ces dernières années. Par exemple, pendant mon temps dans l'industrie, l'état de l'art des matchers de visage s'est amélioré environ mille fois (tel que mesuré sur le concours FRVT du NIST). Ils sont bien meilleurs que ce responsable des ressources humaines qui a vérifié votre passeport et vous a créé avec votre compte d'entreprise en premier lieu. En fait, ils sont au niveau de performance où ils pourraient distinguer avec succès de nombreuses personnes de tous les autres êtres humains de la planète. C'est vraiment impressionnant pour l'identification, mais ce n'est toujours pas l'antidote contre l'usurpation d'identité malveillante.

Les systèmes PAD continuent également de s'améliorer. C'est plus un sac mélangé parce que leurs performances dépendent tellement du matériel qu'ils utilisent, et le projecteur IR sophistiqué d'Apple sera de meilleurs systèmes de caméra uniquement qui reposent, par exemple, sur le fait de demander à la personne de cligner des yeux. En règle générale, les systèmes PAD restent le maillon le plus faible , mais un système PAD puissant déplace toujours une surcharge d'attaque typique de "Extraire leur photo de profil Facebook et prendre un instantané" à "Rassembler une équipe d'experts et définir leur un projet de fabrication 3D de plusieurs semaines. " En plus de cela, bien sûr, vous avez besoin d'accéder au système de validation: si nous supposons une configuration comme "Vous vous connectez en faisant FaceID sur votre téléphone", vous avez besoin de leur téléphone. Maintenant, c'est peut-être encore plus rapide / moins cher que de casser le mot de passe du type de personne qui passe du temps sur security.stackexchange, mais c'est beaucoup plus lent / moins évolutif que d'essayer simplement "qwerty" comme mot de passe pour chacun des employés de l'entreprise vous voulez rompre.

Pour résumer, votre question était: "Et si cette information était violée?" La réponse est "les adultes dans l'espace biométrique supposent que c'est par défaut."

C'est à cela que sert le PADS. Il n'est pas nécessaire que ce soit des PADS de haute technologie. Dans certains contextes, un humain surveillant les stations de caméra, surveillant les charletans tenant une impression à la caméra, est un PADS raisonnable. Si vous n'avez pas de PADS; si le simple fait de savoir à quoi ressemble quelqu'un signifie que vous pouvez vous faire passer pour lui; alors vous n'avez pas de système d'authentification biométrique. Vous avez juste un système de mot de passe idiot où le mot de passe de chacun est tatoué sur leur front. Mais si vous avez un bon PADS, vous avez un système qui peut offrir un bon niveau de sécurité à un excellent niveau de commodité, même pour les types de personnes qui demandent pourquoi elles ne peuvent pas laisser le champ de mot de passe vide.


Je m'en voudrais de ne pas préciser que la biométrie n'est pas uniquement une technologie d'authentification et que les autres utilisations ne nécessitent pas toujours un PADS. Lorsque la police compare les empreintes digitales d'une scène de crime à une base de données, elle ne vérifie pas que les empreintes sont attachées à un humain. Lorsqu'un casino utilise la reconnaissance faciale pour rechercher des compteurs de cartes connus, il tient pour acquis que personne n'essaie de se faire passer pour un compteur. Pour ce genre de choses, cela dépend entièrement des performances du matcher. C'est strictement pour l'authentification que le PADS est la clé.

Pas OP mais merci beaucoup pour tant de points précieux.Je voulais juste demander: pouvez-vous m'indiquer dans la bonne direction comment le modèle peut être protégé contre les attaques de relecture?Ainsi, par exemple, quelqu'un capture le modèle d'empreinte digitale d'une personne et le rejoue à chaque fois qu'un nouveau défi d'authentification est demandé?
Si les attaques par rejeu posent problème, vous êtes généralement dans le domaine de la biométrie en tant que mot de passe.Sous, disons, un modèle iPhone TouchID / FaceID (ou un modèle webAuthN comme mentionné par mattymcfatty), vous ne recevez pas du tout le modèle transmis, donc il n'y a nulle part pour un attaquant pour faire une relecture. Au lieu de cela, c'est l'appareil qui litla biométrique dans le monde physique et sait que c'est une lecture fraîche qui fait l'appel du match.
Si vous souhaitez transmettre le modèle biométrique pour une raison quelconque (peut-être parce que vous / votre organisme de réglementation voulez une piste d'audit), encore une fois, la seule chose qui peut savoir qu'il est frais est l'appareil qui le lit.Une option raisonnable consiste à demander au capteur de signer non seulement un message à l'effet "J'ai confirmé la correspondance", mais de regrouper "Je viens de lire cette biométrique au moment T en réponse au code de défi N" et de signercelui avec une signature cryptographique.
La seule chose pour laquelle ce modèle ne fonctionne vraiment pas bien est les connexions à partir de matériel non enregistré en utilisant uniquement la connaissance de la biométrique (car, encore une fois, la biométrique n'est pas secrète).On pourrait peut-être faire confiance à un lecteur d'empreintes digitales sur un guichet automatique (je souhaite! Une autre histoire.), Mais je ne peux pas aller chez ma cousine, emprunter son ordinateur portable et me connecter avec mon doigt.Si je pouvais, alors en effet un attaquant qui a volé mon empreinte pourrait simplement rejouer une biométrique volée.Attestation de "Bonjour, l'ordinateur portable de Jasmine confirme que je viens de voir une personne qui ressemble à Josiah."devrait mériter un "Je connais Josiah, mais qui êtes-vous?"
Merci beaucoup.Oui, nous sommes en effet dans le domaine de l'utilisation de la biométrie comme problème de mot de passe.Le capteur prendra l'empreinte digitale et transmettra le modèle à authentifier à partir d'une base de données centrale.Je vais voir quels capteurs sont capables de signer le modèle afin que la fraîcheur puisse être déterminée à partir du modèle reçu.Encore merci.
Rappelez-vous simplement que dans ce modèle, vous faites confiance à l'appareil, et en sécurité "Trusted" signifie "Capable de tout casser".Autrement dit, ce n'est pas une garantie absolue de fraîcheur, c'est juste la garantie de fraîcheur de l'appareil.Si un attaquant peut compromettre l'appareil, il peut effectuer une relecture et obtenir que l'appareil certifie qu'il est nouveau.
#5
+5
mattymcfatty
2020-07-08 00:42:28 UTC
view on stackexchange narkive permalink

Je suis surpris que personne ne mentionne WebAuthN. Il utilise l'échange de clés publiques pour signer un défi avec une clé privée et éliminer les mots de passe tous ensemble. La nouvelle norme WebAuthN combine quelque chose que vous avez (clés privées sur un appareil) avec quelque chose que vous êtes (votre empreinte digitale) et a la capacité d'inclure quelque chose que vous connaissez (code PIN / mot de passe). Sur le serveur, seules la clé publique et l'ID de clé sont stockés, donc un attaquant n'a rien à gagner en compromettant la base de données du site et en collectant les clés publiques de tout le monde. Les données biométriques ne sont utilisées que localement pour déverrouiller les clés privées sur le dispositif d'authentification. Ils ne sont jamais envoyés au serveur.

Je suis un testeur de pénétration d'applications Web de jour et je peux vous dire que l'élimination de la pulvérisation de mots de passe, de la force brute et de toutes ces attaques de style contre un système rend mon travail beaucoup Plus fort. Je devrais obtenir un logiciel malveillant sur votre machine et l'amener en quelque sorte à signer un défi WebAuthN pour me connecter en tant qu'utilisateur. Ou montez dans un avion, volez jusqu'à votre maison, volez votre clé, retirez une empreinte digitale du verre à vin que vous avez utilisé la nuit dernière ... vous voyez l'idée. C'est beaucoup moins probable que moi assis à la maison et pulvérisant une attaque de réutilisation de mot de passe à partir d'une violation récente.

Cela présente quelques inconvénients; le plus significativement un scénario «appareil perdu». Mais du point de vue de la sécurité, cela élève vraiment la barre.

Il peut être intéressant de reconnaître une faiblesse intrinsèque de la biométrie: parce que les mesures sont bruyantes, contrairement aux mots de passe, elles ne peuvent pas être facilement transformées en clés.En tant que tel, "les données biométriques ne sont utilisées que localement pour déverrouiller les clés privées sur le dispositif d'authentification."est vrai, mais c'est une sorte de déverrouillage "if match (biom) {return data;}" plutôt qu'une sorte de déverrouillage "decrypt (biom, data)".Cela signifie que votre appareil doit être correctement inviolable, ou l'étape biométrique peut être contournée et il s'agit simplement d'un authentificateur «quelque chose que vous avez».
#6
+2
Damon
2020-07-09 00:03:07 UTC
view on stackexchange narkive permalink

Les mots de passe ne sont pas mauvais en soi, ils ne le sont que parce que les utilisateurs sont stupides et paresseux, et parce que les personnes responsables des politiques de sécurité sont souvent encore plus stupides que les utilisateurs. En conséquence, vous vous retrouvez avec des politiques telles que les utilisateurs sont obligés de changer le mot de passe chaque semaine, d'une longueur particulière, et comprenant au moins un nombre de chiffres et de caractères spéciaux, et les 100 derniers mots de passe sont enregistrés. Quoi qu'il en soit, vous savez.

Alors devinez ce que vous obtiendrez d'une politique aussi odieuse. C'est vrai, vous obtiendrez loveyou01 via loveyou99 , ce qui est beaucoup moins sécurisé qu'un mot de passe imprévisible bien choisi qui peut également rester valide pendant plusieurs mois (voire des années) .

Il reste le problème de devoir se souvenir de beaucoup de mots de passe incroyablement longs et compliqués, bien sûr. Mais ce problème a été résolu, il s'appelle le gestionnaire de mots de passe.

Maintenant, la biométrie, d'un autre côté, n'est pas sans problèmes non plus. Les trois problèmes majeurs liés à l'identification biométrique sont que

  1. les données biométriques ne changent pas
  2. les modifications des données biométriques
  3. les données biométriques ne peuvent pas être dissimulées

Le fait que les données biométriques changent, tout le temps, nécessite que la procédure d'authentification soit quelque peu floue et "intelligente". Or, l'intelligence artificielle est un oxymore très important. Les ordinateurs ne sont pas intelligents, peu importe ce que le marketing vous dit. Ils peuvent au mieux faire une correspondance floue.

Qu'est-ce qui est assez bien, le visage de votre frère jumeau? Une photo de toi? Une réplique en caoutchouc de votre empreinte digitale? Qu'en est-il de la fabrication de motifs dans votre protecteur d'écran chinois bon marché (la célèbre histoire du Galaxy S10 ...)?

Le problème est que le matériel / logiciel d'identification doit tenir compte des entrées variables et changeantes (les doigts sont tenus à des angles différents, les crêtes sont plus ou moins profondes selon la quantité que vous avez bu et selon la façon dont vous appuyez fort, vous obtenez des égratignures sur votre doigt, et les égratignures guérissent avec le temps, votre visage est différent lorsque vous perdez du poids, etc.).

L'autre problème est, bien sûr, que les données biométriques ne change pas . Quelqu'un vole mes données d'empreintes digitales. Maintenant qu'est-ce que je vais faire? Couper mon doigt et attendre que mon corps se développe un nouveau? Cela vaut peut-être la peine d'essayer, mais je suis quelque peu sceptique quant à savoir si c'est une approche pratique. Espérons que cela ne se produise pas plusieurs fois, que vais-je faire la onzième fois que mes empreintes sont compromises?

Le dernier problème est que je peux prendre vos empreintes digitales pendant que vous êtes ivre (ou inconscient) ) sans que vous ayez à faire quoi que ce soit. Je peux le faire quand tu es mort, même (bien que certains détecteurs nécessitent une circulation sanguine). Ou, je peux simplement retirer vos empreintes digitales d'une surface que vous avez touchée lorsque vous n'êtes même pas présent.

Les mots de passe sont un peu meilleurs à cet égard. Vous pouvez m'attacher à une chaise et me battre jusqu'à ce que je révèle un mot de passe, c'est vrai (connu sous le nom d'attaque de tuyau en caoutchouc ou d'attaque de clé). Si je suis une personne très importante protégeant un secret très important et que vous me forcez à révéler le mot de passe, je pourrais vous donner un mot de passe de "détresse" qui effectue un verrouillage d'urgence et appelle les sceaux, peu importe, et vous ne pouvez pas le dire à moins que vous essayez en fait (dans ce cas, s'il s'agit bien du mot de passe de détresse, il est trop tard).

Les mots de passe ne sont certainement pas parfaits, mais au moins il reste encore un contrôle sur mon côté. De plus, vous ne pouvez pas extraire le mot de passe de moi lorsque je suis inconscient ou mort. Ou d'un verre que j'ai tenu en buvant.

Pas une conférence.Un avertissement.Ce mot et bien d'autres sont communs.Et toujours pas autorisé ici.
L'anglais est une langue amusante: «Je peux simplement retirer vos empreintes digitales d'une surface que vous avez touchée lorsque vous n'êtes même pas présent.
#7
  0
Rob
2020-07-24 18:32:05 UTC
view on stackexchange narkive permalink

Changer un mot de passe peut être fastidieux et coûteux, mais au moins il peut être changé. Je ne sais pas comment l'authentification biométrique résout ce problème - car je ne peux pas changer mon visage, mon iris, mes empreintes digitales, etc. - ou si elle doit résoudre ce problème du tout.

Je suppose que les gens qui veulent vendre des logiciels revendiqueront les avantages du logiciel, et de même pour les fabricants de matériel. Chacun présente des avantages et des inconvénients. Une combinaison efficace des atouts de chacun semble être la meilleure solution.

Mon téléphone Samsung dispose d'un gestionnaire de mots de passe qui est facile à configurer.

Il utilise une combinaison de reconnaissance faciale, iris et d'empreintes digitales pour déverrouiller son gestionnaire de mots de passe et fournir un mot de passe différent à chaque site Web (sans divulguer vos données biométriques).

Samsung Galaxy Password Manager screen

Vous pouvez utiliser des mots de passe longs et compliqués qui sont différents pour chaque site Web; accessible à l'aide de clés biométriques cryptées, stockées dans une zone de confiance, qui ne quittent jamais votre téléphone.

Il est possible de changer le doigt que vous scannez et de mettre à jour vos données faciales pour un traitement plus précis . Votre téléphone a d'autres astuces dans sa manche, par exemple, il peut être suivi et verrouillé à distance via le site Web de Samsung. Bien que cela puisse être un problème de sécurité et de confidentialité différent, il faut peser à qui ils feront confiance par rapport à la commodité d'utilisation. Vous ne voudriez pas accéder aux sites Web uniquement en vous présentant en personne avec trois pièces d'identité.

Il existe des porte-clés USB à empreinte digitale et mot de passe pour un ordinateur portable et un ordinateur de bureau. fournir un niveau similaire de sécurité supplémentaire au-delà du mot de passe de votre système d'exploitation; bien qu'un porte-clés avec reconnaissance faciale et suivi GPS puisse être assez coûteux.

#8
-1
R.. GitHub STOP HELPING ICE
2020-07-07 01:48:23 UTC
view on stackexchange narkive permalink

Les mots de passe doivent être supprimés, mais toutes les idées que vous avez citées comme remplaçantes sont erronées. Les mots de passe ne sont pas chers à changer. Mais ils sont sujets à des choix faibles, à des compromis via la réutilisation et (surtout) à l'ingénierie sociale pour la divulgation à la mauvaise partie (cela comprend le phishing et bien plus encore).

La biométrie n'est pas du tout un secret, et le sont pas «quelque chose que vous avez» à moins que vous n'ayez un dispositif de numérisation localement approuvé dont les capteurs ne peuvent pas être falsifiés pour alimenter des données préenregistrées. En l'absence de cela, c'est un "quelque chose que vous savez" qui se trouve être quelque chose que tout le monde sait, et donc totalement inadapté à l'authentification. Il existe une tendance à utiliser du matériel inviolable pour déverrouiller la clé / le jeton réel (non destiné à l'utilisateur) stocké à l'intérieur en réponse à des mesures biométriques (déverrouillage des empreintes digitales et du visage des téléphones, etc.), mais ils sont tous ridiculement vaincus. mauvais faux.

Les codes PIN fonctionnent de manière quelque peu similaire, en tant que mécanisme pour déverrouiller la clé / le jeton réel, mais utilisez le dispositif inviolable pour limiter le forçage brutal, afin que vous puissiez vous en sortir avec des secrets "quelque chose que vous connaissez" beaucoup plus courts / plus simples. Ce sont moins insignifiants à vaincre, mais toujours pas forts. Il y aura essentiellement toujours des attaques pour contourner la limitation ou pour extraire toutes les données, à quel point elles peuvent être rapidement forcées brutalement sur une autre machine.

Le bon remplacement des mots de passe est l'authentification par clé publique, avec la clé privée conservée dans un périphérique isolé (quelque chose que vous avez) et protégée par une phrase de passe (quelque chose que vous savez). La seule différence entre ceci et le code PIN est la force que le mot «phrase de passe» est censé transmettre: la clé symétrique dérivée utilisée pour crypter la clé privée est suffisamment forte pour que, même si l'appareil est volé et toutes les données extraites, il ne peut pas être forcé brutalement. Les utilisateurs d'un tel système doivent savoir de ne jamais saisir la phrase de passe ailleurs que sur l'appareil isolé, et de révoquer et régénérer les clés s'ils soupçonnent que la phrase de passe a été divulguée.

Deuxième paragraphe: la biométrie est "quelque chose que vous ÊTES", pas quelque chose que vous avez ou quelque chose que vous connaissez.
@andrewf: Tout ce que je veux dire, c'est que c'est faux.Les bio ** métriques ** sont des mesures et donc un "savoir" et non un "sont".L'équité n'est pas quelque chose que vous pouvez évaluer dans un authentificateur.
«à moins que vous ne disposiez d'un appareil de numérisation de confiance local dont les capteurs ne peuvent pas être falsifiés pour alimenter des données préenregistrées» est en effet une exigence des systèmes biométriques.Idéalement, comme vous le suggérez, cet appareil effectuera une sorte d'authentification par clé publique lorsqu'il confirmera que vous êtes bien.Quelque chose comme ça peut-être: https://www.bbc.co.uk/news/av/technology-49322217/testing-the-debit-card-with-a-fingerprint-sensor
"Sauf si vous avez [quelque chose qui n'existe pas et qui ne peut pas exister]" ...
@R..GitHubSTOPHELPINGICE, Un système biométrique nécessite un capteur qui effectue une mesure réelle d'un vrai globe oculaire / empreinte digitale / visage / peu importe.Bien sûr, il y aura toujours des moyens de tromper un système, mais les systèmes de mots de passe sont également notoirement fragiles.Il y a toujours des compromis.Ce n'est pas parce qu'il n'y a pas de système biométrique parfait idéal platonicien qu'il n'y a pas de systèmes d'authentification biométrique _utiles_.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...