lunes, mayo 22, 2017

Una PoC de Mobile Connect con Biometría de Huellas Dactilares

A la hora de implantar una estrategia de identidad en una organización hay que pensar en el conjunto de soluciones que permitan dotar a cada aplicación o sistema en el que hay que identificarse del máximo posible de opciones para maximizar las cuatro características que deben determinar una buena elección: Universalidad, Usabilidad, Robustez y Cumplimiento.

Figura 1: Una PoC de Mobile Connect con Biometría de Huellas Dactilares
No voy a detenerme en el post de hoy a hablar de estrategias de identidad, porque ya os he hablado tiempo atrás de cuál es nuestra visión. Hoy solo os voy a mostrar otra opción combinada de tecnologías de identidad para autenticarse con dos factores. Ya en una entrevista anterior hice varios ejemplos de uso de Mobile Connect, Latch y Biometría, como podéis ver en este vídeo.

Figura 2: Mobile Connect, Latch y Biometría

Lo más robusto sería utilizar tres factores, con algo que se sepa, algo que se sea y algo que se posea, pero en muchos casos esa Robustez penaliza en exceso al Usabililidad o la Universalidad. Por supuesto, entre utilizar un único factor de identidad o tres, lo más extendido hoy en día es permitir a los usuarios utilizar dos factores de autenticación, como vemos en casi todos los servicios, y en los más avanzados, se permite elegir el mecanismo de segundo factor, para aumentar la Usabilidad y la Universalidad.


Figura 3: Autenticación usando Mobile Connect con la SIM

En este ejemplo, podéis ver una PoC (Prueba de Concepto) hecha por ingenieros de la empresa Certisign de Brasil, en la que han integrado Mobile Connect como primer factor de autenticación más Biometría de Huellas Dactilares como segundo.

Figura 4: Mobile Connect + Fingerprint Biometric

En este caso, si has visto el vídeo, habrás podido comprobar que se está utilizando la cámara del smartphone para escanear las huellas, lo que permite extender la Usabilidad del sistema a todos los smartphone con cámara, y no solo a los que tienen lector de huellas dactilares, como hacía yo en el ejemplo del vídeo de la Figura 2.

Figura 5: El lector de Biometría de Huellas Dactilares es la cámara del smartphone
Al final, el arquitecto de sistemas o aplicaciones es el que debe elegir cuáles son las opciones de identidad que quiere permitir, teniendo en cuenta que utilizar varios sistemas, de varios factores, y permitir al usuario que decida cuál es la que quiere usar es una combinación.

Saludos Malignos!

4 comentarios:

Fabio Lima García dijo...

Hola! Estoy totalmente de acuerdo con el planteamiento. Sin embargo la ejecución hae que me surja una duda, ¿Cómo de robusta es la solución de Fingerprinting mediante la cámara, como para que no sea suplantable por una fotografía de alta resolución?

Un saludo

Pedro Oyarzun Recabarren dijo...

Buena pregunta!¡!

Juan Carlos Castromil dijo...

En realidad cabe la reflexión de qué tan seguro se puede considerar las autenticaciones basadas en aspectos biométricos ya que una vez hackeados, tiene difícil solución (no se puede cambiar la password!)

Os dejo este artículo interesante sobre hacking de huellas dactilares con fotos en alta resolución: https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

Chema Alonso dijo...

@Juan Carlos Castromil, todos los sistemas tienen debilidades que pueden ser atacadas, por eso la gracia de usar 2FA o 3FA, para tender al mínimo el riesgo.

Saludos!

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares