A partir de
noticias como [1] e intensos momento de reflexión seguidos de cursar Computer Science and Privacy[2], he llegado a la
conclusión de que lo que había expuesto en [3], aunque esencialmente correcto, no está correctamente
encarado. Además, esta reciente noticia [4] que cuenta que han sido obtenidas 5.5 millones de huellas dactilares tornan las profecías apocalípticas de quienes estamos encontra de la biometría en inminente realidad.
Que
vamos hacia una pesadilla Orweliana no hay duda [5]. Que sea inevitable
o no, trasciende los alcances de mis humildes cavilaciones técnicas.
Se suelen poner juntitos Autenticación, Autorización y No Repudio como carácterísticas del acceso a la Información, repasando:
Autenticación es la verificación de que sos quien decís ser.
Autorización es lo que podés hacer.
No Repudio es que no puedas negar lo que hiciste.
Y
falta algo implícito, la Identificación. Yo me Identifico y luego me
Autentico y según mis Autorizaciones afecto la Confidencialidad,
Integridad y Disponibilidad de la Información sin poder Repudiar mis
actos.
Como
no estoy seguro de que mi Autenticación sea legítima, hay Múltiples Factores de Autenticación: lo que sé, lo que soy, lo que tengo.
Lo que sé es un Secreto y suele ser una clave.
Lo que tengo
es algo, por ejemplo una tarjeta de coordenadas o un SMS OTP. Mejor
dicho una linea de teléfono celular por la que recibo en el celular una
clave de uso único y corta vida.
Este
mecanismo es muy endeble, basta una sencilla apk maliciosa que tome el
SMS y lo retransmita al atacante para que no sea "lo que tengo".
Lo que soy es... el huevo y la gallina. Es mi Identidad, que fue con lo que empezamos. Mis factores biométricos son lo que soy.
Mi error es que la biometria tiene que ver con la Identificación, no con la Autenticación como lo enfoqué en la otra entrada del... 2013!!! cómo pasa el tiempo!!![6].
¿Y qué pasa si tengo motivos legítimos para tener dos identidades en un mismo contexto? Si mi factor biométrico es la Identidad, no puedo, mmmh.
¿Y qué pasa si tengo motivos legítimos para tener dos identidades en un mismo contexto? Si mi factor biométrico es la Identidad, no puedo, mmmh.
Dado
que es relativamente sencillo "extraviar" lo que soy, la única solución
que veo, ya que vamos a perder, es que se use la biometría como Identificación con una clave
para la Autenticación. Una huella
digital no implica VOLUNTAD, el ingreso de contraseñas si.
Algunos sistemas de alarmas aceptan una contraseña que aunque "desactiva", avisa que la persona ha sido forzada. Los factores biométricos no ofrecen esta funcionalidad.
De todos modos el escenario sigue siendo "dame la clave (Autenticación) o te corto los dedos y luego te los corto igual (Identificación)".
Volviendo a la noticia que me impulsó a finalmente publicar esto, ¿qué va a pasar cuando se pierdan, vendan como usados o se den de baja esos lectores que hay en las puertas? ¿Y los discos donde se almacenan? ¿Y los backups? Nuestros factores biométricos de Identificación o Autenticación van a ser más que públicos. Va a ser como ingresar a un sistema con el DNI como clave.
Volviendo a la noticia que me impulsó a finalmente publicar esto, ¿qué va a pasar cuando se pierdan, vendan como usados o se den de baja esos lectores que hay en las puertas? ¿Y los discos donde se almacenan? ¿Y los backups? Nuestros factores biométricos de Identificación o Autenticación van a ser más que públicos. Va a ser como ingresar a un sistema con el DNI como clave.
[1] http://americans.org/2015/07/ 03/mastercard-to-start- verifying-payments-via- selfies/
[2] http://www.dc.uba.ar/events/eci/2015/cursos/prost
[3] http://seguridad-agile.blogspot.com/2013/11/por-que-no-biometria.html
[4] https://www.washingtonpost.com/news/the-switch/wp/2015/09/23/opm-now-says-more-than-five-million-fingerprints-compromised-in-breaches/
[5] http://www.itworld.com/ article/2832804/it-management/ attention-shoppers--retailers- can-now-track-you-across-the- mall.html
[6] http://seguridad-agile.blogspot.com/2013/11/por-que-no-biometria.html
[5] http://www.itworld.com/ article/2832804/it-management/ attention-shoppers--retailers- can-now-track-you-across-the- mall.html
[6] http://seguridad-agile.blogspot.com/2013/11/por-que-no-biometria.html
