EDICIóN GENERAL

Así evitan que el rostro de un muerto o una mano cortada se usen para superar sistemas de identificación biométrica

#10 El problema a ese planteamiento es que:
1) El código al móvil es efímero, caduca en segundos
2) La contraseña la puedes (debes) cambiar periódicamente, incluso el sistema te puede forzar a ello por seguridad, pero...
3) Cómo cambias tus datos biométricos si hay una falla de seguridad?
#16 Respuesta a la 3...
Con una botella de ácido!
#16 Estoy simplificando excesivamente, y sé los problemas que tiene cada tipo de verificación de identidad, pero mi comentario no entra en si esa respuesta puede cambiar o no, o los problemas de cada uno. Por ejemplo:

- Forzar a que se cambien las contraseñas muchas veces solo supone que alguien vaya a hacer modificaciones triviales o termine teniendo un postit con la nueva contraseña
- Un mensaje al móvil supone que tu y solo tu tienes acceso al código. Normalmente esos mensajes se pueden previsualizar con la pantalla bloqueada, hay aplicaciones que tienen permisos para leer todos los sms entrantes con la excusa de leer su propio código, etc.
- Es cierto que no puedes cambiar tus datos biométricos, pero normalmente no pueden capturar "toda" tu biometría. Si te roban el patrón de tu huella no puedes cambiarlo, pero el sensor puede cambiar para que detecte huella y quizás las venas, o que detecte las huellas con otro sensor que obtenga información diferente.

Al final depende para qué se utilice, pero en muchos aspectos la biometría es muy cómoda. Por ejemplo, si tienes a una persona mirando cada dni que se corresponda con su foto, pues al final va a ser muy poco fiable. Como anecdota curiosa una vez pasaba por el aeropuerto cuando estaban probando uno de estos sistemas, una de las personas llevaba una camiseta con una foto impresa... y pasó. Me gustaría pensar que lo han solucionado porque fue hace varios años ya.
#22 Yo tengo una duda con la biometria. Igual que no es conveniente usar la misma contraseña en varios sitios. La lectura de biometria se podria usar para identificarse en otros sitios. Como a #20 que se ha identificado asi en varios gimnasios.

Supongo que siempre hay que reforzarla con una contraseña. Pero si se usa biometria en casi todos los sitios, va ser un problema grande y va dar una falsa seguridad. Con el login, ya sabes que cualquier pueden intentar poner el Login y siempre esta reforzado con una contraseña.
#23 Hay que tener en cuenta que tampoco es exactamente como usar la misma llave para abrir taquillas en sitios distintos, eso depende de cómo lo desarrolle cada una. Tradicionalmente se capturaba una imagen de tu huella, esa que se podía falsificar con un molde de silicona, pero se pueden escanear huellas de muchas formas distintas, las más avanzadas que he visto (y no recientemente) detectaban si la huella tenía pulso y podían detectar el mapa de tus vasos sanguíneos. ¿Alguien podría fabricar un dedo artificial con todo eso? A lo mejor sí, pero igual les sale más fácil copiarse la llave de tu casa o decir que te olvidaste la pulsera y hacerse pasar por ti.

A mi también me preocupa porque da una falsa sensación de seguridad, en parte porque se desarrolle mal, o porque la gente lo use mal. Otro ejemplo, es que la gente que desbloquea el móvil con su huella no se da cuenta que es sumamente fácil que alguien de "confianza" lo desbloquee mientras esa persona duerme, está inconsciente. Sin obviar que le pongan el dedo por la fuerza... aunque bueno, si me piden el pin de mi movil con una navaja yo se lo doy.

Si simplifico tanto en #22 (y CC para #16) es porque a veces los sistemas de seguridad funcionan así, solo necesitas el validador conteste "ah, pues sí eres tu" y ya está. Por ejemplo, el pin de la tarjeta de crédito; normalmente pensaríamos que el cajero se conecta a internet y comprueba de forma remota el pin, pero no, el pin esta guardado en la tarjeta y es la propia tarjeta la que da el ok. Una vulnerabilidad que se detectó es que hay gente que conseguía sustituir la parte del chip que realizaba la validación del pin por otra que siempre decía "ok". Es por esta razón que esos sistemas ahora tienen (o deberían) algún tipo de firma digital y otro ejempo es que Apple no acepta lectores de huellas no orignales (según ellos) para evitar un problema similar con el lector de huellas.

menéame