#MundoHacker: Métodos de identificación personal (II)

Seguimos con la serie #MundoHacker, para dar punto y final al especial sobre Sistemas de verificación personal.

CryptoCard_two_factor

Y es que después de haber hablado de las tres columnas que sostienen la identificación en el mundo digital, y haber tratado en profundidad los métodos basados en el conocimiento, toca hablar de los otros dos.

Esquemas de seguridad basados en la posesión

Visto que los sistemas basados en el conocimiento no son la panacea, en algunos casos se recurre a los basados en la posesión, es decir, basados en algo que solo tú deberías tener. Hablamos de los dos más presentes:

  • Dispositivo: El más común. Únicamente te puedes loguear en un servicio si tienes algo que únicamente lo puede tener la persona que tenga X dispositivo. El autentificador de Blizzard (EN) es un buen ejemplo.
  • Clave pública: Se trata de un sistema de seguridad basado en la posesión de un archivo que contiene la clave pública para acceder al servicio. Es el método usado para conexiones SSH, que ofrece bastante seguridad (en principio, ese archivo solo lo deberías tener tú, al únicamente poderse descargar en el momento de creación), pero tiene como contrapartida el no ser a priori sencillo de implementar, por lo que solo suele verse en entornos más bien técnicos.

Esquemas de seguridad basados en la inherencia

El último tipo de sistema de identificación, y el cual está en boca de todos recientemente con la salida del iPhone 5S con reconocimiento de huella dactilar. Se basan en identificar a la persona por algo que le es innato a ella de forma normalmente biológica. Sobre este método, ya hablé largo y tendido en la entrada Los problemas de la verificación biométrica, por lo que únicamente haré un breve resumen, y quien esté interesado en expandir la información que recurra al enlace.

  • Huellas dactilar: El más sencillo/barato de implementar.
  • Iris: Bastante caro y requiere condiciones de luminosidad buenas.
  • Reconocimiento facial: Barato pero requiere condiciones de luminosidad buenas. Fácilmente manipulable.
  • Reconocimiento facial 3D: Difícil de implementar en un sistema móvil.
  • Voz: Requiere condiciones de sonido buenas. Fácilmente manipulable.
  • Ritmo cardíaco: Difícil de implementar.

Además de todo lo dicho, presentan un gran problema. Y es que el patrón con el que se compara la señal biométrica para conocer si es la auténtica o no, debe estar en algún lado, y suponiendo que se siga con la tendencia de tenerla en la nube, si esos servidores quedan expuestos, nos encontraremos con un sistema de seguridad que no podemos cambiar (solo tenemos una voz o un ritmo cardíaco), como mucho tendremos pocas posibilidades de cambiarlo (diez dedos, 2 ojos,…).

¿Cuál es el más efectivo?

La unión de dos o más, lo que ha acabado por llamarse verificación en dos pasos. Normalmente la encontramos con la unión de conocimiento y posesión (una contraseña, y luego un código que solo tenemos en nuestro móvil, y que cambia cada 10 segundos).

Otra alternativa que poco a poco empieza a entrar es la de que la verificación se haga en local, forzando al sistema a que únicamente se ponga en contacto con el servicio cuando se haya verificado su autoría. Con esto, evitamos las pérdidas de información por ataques a los servidores de las compañías, recayendo todo el peso en nuestro entorno más inmediato (para robarnos los credenciales de acceso, deberían robarnos el dispositivo y ser capaces de acceder al chip que lo gestiona).

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias