Libro Blanco
Descargue el PDF aquí si tiene problemas para visualizarlo.
https://www.aware.com/wp-content/uploads/2019/04/WP_Multimodal-Approaches-for-Matching-and-Spoof-Detection_0319_email.pdf
Autenticación biométrica móvil: Enfoques multimodales para mejorar Cotejo y la detección de falsificaciones
La gran mayoría de las implementaciones modernas de Autenticación se esfuerzan por maximizar tanto la Seguridad y la comodidad; es decir, para:
- Dificultar al máximo que un estafador robe o suplante los factores de Autenticación del usuario legítimo (por ejemplo, dispositivo, contraseña, token, biométrico).
- Evitar interferencias en el acceso al bien o servicio protegido por parte del usuario legítimo.
- Disuadir al usuario de eludir los mecanismos de Seguridad previstos.
Autenticación Multifactor (MFA) pretende cumplir estos objetivos dificultando a los defraudadores la neutralización de los mecanismos de Seguridad sin añadir inconvenientes para el usuario.
Los métodos de Autenticación móvil suelen utilizar dos factores de Autenticación para aumentar la Seguridad:
- Posesión: algo que se tiene, como el propio smartphone.
- Conocimiento: algo que se sabe, como una contraseña.
También pueden utilizarse de forma "fuera de banda", en la que Autenticación en un dispositivo (autenticado) se utiliza para obtener acceso a través de otro canal, como por ejemplo a través de un sitio web mediante un navegador en un ordenador portátil.
Contraseñas: La grieta en la armadura de la AMF
La protección por contraseña es una tecnología de hace 50 años que se concibió para un mundo digital mucho más simple. Son las relucientes armaduras del mundo de la ciberdefensa: anticuadas, toscas e ineficaces frente a los arsenales de hackers modernos.
En primer lugar, las contraseñas son vulnerables al phishing, la interceptación, la adivinación, los ataques de fuerza bruta y las violaciones de datos a gran escala. Las solicitudes fraudulentas de restablecimiento de contraseñas por correo electrónico, las páginas web falsas destinadas a robar credenciales y el malware keylogger (que registra las pulsaciones de teclas físicas) son solo algunos ejemplos de las técnicas de phishing y espionaje que se utilizan para robar contraseñas o PIN.
En segundo lugar, las contraseñas suelen almacenarse en una ubicación central. En septiembre de 2017, Deloitte Digital sufrió una filtración de datos que dejó al descubierto correos electrónicos y contraseñas de 350 clientes corporativos y gubernamentales. A principios de 2017, los hackers también expusieron contraseñas de administradores de HBO en un robo de datos de 1,5 terabytes.
En tercer lugar, los usuarios tienen cada vez más cuentas en Internet y dependen de más servicios digitales que nunca. La mejor práctica es tener contraseñas diferentes para todos ellos. Sin embargo, la única forma viable de recordarlas todas es con un gestor de contraseñas (la mayoría de los cuales cuestan dinero). Pero incluso los gestores de contraseñas tienen vulnerabilidades, como el "sniffing del portapapeles" (lectura del motor de copiar y pegar), según una investigación del TeamSIK del Instituto Fraunhofer. El uso de contraseñas en smartphones es aún más incómodo e inseguro que en otros dispositivos que ofrecen algún medio razonablemente seguro para almacenarlas.
Por último, otros factores basados en el conocimiento, como las preguntas de Seguridad y las contraseñas de un solo uso, tampoco son adecuados. Una pregunta de Seguridad puede adivinarse investigando en las redes sociales o incluso robarse por otros medios de ingeniería social (haciéndose pasar por otra persona para solicitar conocimientos). Las contraseñas de un solo uso tienen otro defecto: pueden ser interceptadas.
Teniendo en cuenta la evolución radical de nuestras redes y dispositivos informáticos que ha tenido lugar desde que se inventaron las contraseñas, es evidente que son lamentablemente inseguras e incómodas. Hay que replantearse Autenticación , y sin embargo hoy seguimos dependiendo en gran medida de ellas, según un informe reciente de Javelin Strategy & Research.
Biometría como alternativa
Biometría es una alternativa atractiva a las contraseñas como segundo factor de Autenticación porque es intrínsecamente cómoda y única. Son fáciles de usar pero difíciles de robar y falsificar. Pero cada modalidad biométrica tiene características únicas que aportan ventajas y desventajas tanto en términos de Seguridad como de comodidad.
Cue Biometría multimodal para Autenticación
Biometría Multimodal se ha visto tradicionalmente como una forma de mejorar el rendimiento biométrico en términos de puntuaciones de falsa coincidencia y falsa no coincidencia; cuantos más datos puedan utilizarse para Cotejo biométrico, mejor será el rendimiento. Pero también se pueden utilizar múltiples modalidades para mejorar su resistencia al Fraude. Utilizando múltiples modalidades biométricas en concierto, se pueden explotar las ventajas de cada biometría, neutralizando al mismo tiempo sus respectivas desventajas. Esta combinación de múltiples modalidades será crucial a medida que los métodos de suplantación de identidad se vuelvan más sofisticados.
Para ilustrar mejor este punto, consideremos algunos de los siguientes métodos multimodales y cómo ayudan a la detección de falsificaciones, así como al rendimiento biométrico:
Voz Biometría mejorada con reconocimiento facial
Se realiza un análisis facial mientras el usuario habla para determinar la prueba de vida facial del hablante. El análisis en tiempo real de cómo se mueve la boca cuando el usuario pronuncia una frase aleatoria ayuda a garantizar que la Voz y el escáner de reconocimiento facial coinciden y que la muestra no es una grabación de audio/vídeo de la víctima objetivo reproducida desde un dispositivo.
Dinámica de pulsación de teclas mejorada con reconocimiento facial
La dinámica de pulsación de teclas utiliza la cadencia de pulsación única del usuario como biometría de comportamiento. Se puede capturar una imagen facial mientras el usuario teclea un nombre de usuario o un PIN. Esto añade el reconocimiento facial al análisis sin aumentar el tiempo de captura. Juntos, añaden barreras a la suplantación de identidad y al Fraude que sólo son posibles con múltiples modalidades.
Estos métodos de Autenticación multimodal no sólo mejoran el rendimiento biométrico, sino que también dificultan a los defraudadores la suplantación de los escáneres biométricos. También evitan que la experiencia del usuario se vea afectada negativamente al funcionar simultáneamente.
Strong Autenticación se hace más fuerte
Autenticación biométrica promete ser un sustituto moderno de la protección mediante contraseña, las preguntas de Seguridad y las contraseñas de un solo uso. Biometría está en sus inicios, pero evoluciona rápidamente y su adopción aumenta a un ritmo exponencial. Al mejorar simultáneamente la Seguridad y la comodidad, se espera que Biometría biometría multimodal sustituya en gran medida a la AMF basada en contraseñas y mejore de forma permanente Autenticación tal y como la conocemos.
La Biometría multimodal reduce la posibilidad de falsificaciones, ya que hace mucho más difícil que los defraudadores ataquen con Biometría robada no real. Su precisión también reduce la probabilidad de falsas coincidencias y falsas no coincidencias, mejorando el rendimiento y la comodidad para los usuarios finales.
En nuestro próximo artículo: Arquitectura centrada en el dispositivo frente a arquitectura centrada en el servidor
La detección prueba de vida facial eficaz es fundamental para el éxito de la implantación de Biometría, pero también lo es la Seguridad subyacente del motor de almacenamiento y Cotejo de muestras biométricas, que puede implantarse utilizando una arquitectura centrada en el dispositivo o en el servidor. La decisión de cuál implementar depende de numerosos factores:
- Seguridad de los dispositivos: ¿Cuál es el nivel de confianza en la capacidad del dispositivo y la app para proteger los datos biométricos?
- Seguridad del servidor: ¿Cuál es el nivel de confianza en la capacidad de proteger los datos biométricos de forma centralizada? ¿Cuál es el riesgo de violación?
- Utilidad de los datos del servidor: ¿Pueden utilizarse los datos biométricos para otros fines, como el entrenamiento de algoritmos o la Verificación con otros datos (por ejemplo, fotos de carné de conducir o de identificación de empleados)?
- Escalabilidad: ¿Cuántas personas utilizarán la aplicación móvil? Es más atractivo añadir complejidad a una aplicación o al backend?
- Capacidad de la red inalámbrica: ¿Cuál es el tamaño máximo de una aplicación para descargarla cómodamente? ¿Cuál es el impacto en la velocidad de Autenticación?
- Memoria y capacidad de procesamiento del dispositivo: Muchos clientes utilizan dispositivos menos potentes que se beneficiarán del procesamiento en el servidor?
- Estándares: ¿Hasta qué punto es deseable el uso de tecnología basada en estándares como FIDO?
- Capacidad multidispositivo: ¿Qué importancia tiene para los usuarios poder utilizar varios dispositivos?
Suscríbase al Blog de Biometría de Aware para recibir nuestro próximo artículo, que comparará y contrastará diferentes arquitecturas de Autenticación biométrica. La arquitectura adecuada para una aplicación y un entorno determinados depende de las respuestas a las preguntas anteriores y del peso que se otorgue a cada una de ellas en función de las prioridades empresariales.
