Autenticazione a quattro fattori

65

Sono sicuro che hai sentito parlare dell'autenticazione a due fattori / a più fattori. Fondamentalmente si tratta di questi fattori:

  • Conoscenza - qualcosa che conosci (ad es. password, PIN, modello)
  • Possesso: qualcosa che hai (ad es. cellulare, carta di credito, chiave)
  • Esistenza - qualcosa che sei (ad esempio un'impronta digitale)

La mia domanda è: Esiste un quarto fattore di autenticazione?

Una rapida ricerca su Google non ha portato risultati interessanti se non un documento di brevetto che non mi sono preoccupato di leggere. Potrebbe da qualche parte essere considerato un quarto fattore?

    
posta rink.attendant.6 23.09.2014 - 16:52
fonte

6 risposte

87

Come hai notato, i tre principali sono:

  • Qualcosa che conosci
  • Qualcosa che hai
  • Qualcosa che sei

Direi che ce ne sono altri:

  • Qualcosa che puoi fare , ad es. riproducendo accuratamente una firma.
  • Qualcosa che mostra , ad es. un particolare tratto della personalità, o anche un comportamento neurologico che potrebbe essere letto da una fMRI. Queste non sono caratteristiche "sono", poiché sono più fluide.
  • Qualcuno sai, ad es. autenticazione per catena di fiducia.
  • Da qualche parte sei (o hai accesso a), ad es. bloccare una sessione su un IP o inviare un PIN di conferma al tuo indirizzo. Questo è un po 'tenue in termini di essere chiamato fattore autenticazione , ma è comunque utile notare.
risposta data 23.09.2014 - 18:04
fonte
35

Assolutamente!

Da qualche parte sei è abbastanza diffuso nell'IT aziendale. In molti ambienti, se ci si trova in una rete aziendale, è possibile accedere utilizzando solo una password, ma se si è fuori ufficio è necessario utilizzare un fattore aggiuntivo, di solito un token.

L'ora corrente è probabilmente un altro fattore di autenticazione, un classico esempio di sicurezza temporizzata. Le tessere per le porte degli uffici sono spesso valide solo in determinate ore del giorno.

Contactability a volte è visto come un altro fattore, ad es. ricevere una lettera a un indirizzo conosciuto (o un'e-mail, una telefonata) dimostra l'identità. Anche se di solito questo si riduce a uno dei fattori che hai già menzionato, ad es. ricevere una lettera indica che hai la chiave per quell'indirizzo.

Mentre pensi di più su questo, ti rendi conto che la distinzione tra i fattori è piuttosto sfocata, in particolare tra "qualcosa che conosci" e "qualcosa che hai". Se annoti una password, quel pezzo di carta diventa "qualcosa che hai"? Hai detto che una chiave è "qualcosa che hai" - ma se un fabbro conosce il modello, può creare una nuova chiave. Quindi probabilmente una chiave è veramente "qualcosa che conosci".

    
risposta data 23.09.2014 - 17:07
fonte
26

No. Ce ne sono tre. Tutti gli altri menzionati qui:

  • può essere ridotto a uno dei tre canonici (ad esempio "qualcosa che puoi fare" è una caratteristica personale, classificata come "qualcosa che sei"; "qualcuno che conosci" significa che puoi presentare una prova di connessione a qualcuno "qualcosa che hai"!)
  • non fanno parte di autenticazione , ma autorizzazione (tempo, rete o posizione fisica non dimostrano la tua identità, ma possono essere utilizzati per consentire l'accesso o meno). Esempio classico con accesso all'ufficio solo durante le ore d'ufficio - durante la notte la maggior parte di noi non perde la propria identità, non ci è consentito accedere all'ufficio (ci sono ancora alcuni utenti esperti, che possono accedere all'ufficio 24 ore su 24 con la stessa autorizzazione come durante il giorno, giusto?)
risposta data 23.09.2014 - 22:35
fonte
5

Mentre assegniamo gli autenticatori in tre categorie comuni, è importante tenere presente che queste categorie sono in qualche modo definite in modo approssimativo. Le password sono normalmente considerate autenticatori "che conosci", ma se la scrivi e fa riferimento alla carta anziché alla memoria, diventa un fattore "che cosa hai"? Se un sistema si autentica utilizzando le dinamiche della tastiera per monitorare il ritmo e la velocità della digitazione, è sufficiente fare affidamento su "cosa sei" o "cosa sai"? Ci può essere qualche ragionevole disaccordo nel decidere come classificare specifici autenticatori.

La posizione inizialmente sembra che potrebbe essere un quarto fattore, ma è davvero? In che modo un sistema conosce la tua posizione? Probabilmente si basa su coordinate o indirizzi (fisici o IP) forniti da un dispositivo. I dati sono quindi "ciò che sai" poiché qualcun altro con gli stessi dati può duplicare quel fattore sul proprio dispositivo? E '"quello che hai" dal momento che il sistema si basa sull'affidabilità di un dispositivo per fornire dati legittimi? Dobbiamo decidere se la posizione è abbastanza distinta da essere considerata la sua categoria di fattori indipendenti.

Penso che sia importante fare una distinzione su ciò che costituisce un fattore poiché utilizziamo termini come "autenticazione a più fattori" per indicare i vantaggi di determinati sistemi. È multi-fattore se si accede a un sistema con una password da un indirizzo IP associato agli accessi passati? Se consideriamo la posizione un quarto fattore, la risposta è sì. Tuttavia, non ho visto molte persone considerarlo come un sistema di autenticazione a più fattori.

Nel documento CASA: Autenticazione scalabile sensibile al contesto gli autori concordano che i dati sulla posizione possono servire come fattore processo di autenticazione, ma in particolare lo definiscono come un fattore "passivo". Esse distinguono tra fattori "passivi" e fattori "attivi" che richiedono l'interazione dell'utente (ad esempio password, scansioni di impronte digitali, ecc.). Questo sembra un buon modo per separare i veri fattori di autenticazione da altri dati che possono essere utilizzati per aiutare a prendere decisioni di autenticazione.

A mio parere, i dati sulla posizione non dovrebbero essere considerati un quarto fattore, ma ciò non impedisce di essere utile durante il processo di autenticazione.

    
risposta data 23.09.2014 - 20:10
fonte
1

Come tutto il resto relativo alla sicurezza, determinare dove ti serve la fiducia. Se si deve inserire il PIN sulla tastiera a 10 tasti montata sulla porta della struttura protetta, come si fa a sapere che la connessione di rete dal data center alla porta non è stata trasferita su un pad PIN errato montato altrove? Come fai a sapere che non esiste un proxy sul posto, manipolando le chiavi per conto di qualcun altro?

O per un esempio ampiamente utilizzato, considera che ci sono ( molte ) app disponibili per iPhone che consentono all'utente di specificare una posizione di loro scelta per i servizi di localizzazione. Un semplice caso d'uso potrebbe essere per qualcuno fingere di essere al lavoro mentre sono effettivamente sul campo da golf. Tuttavia, potresti falsificare la tua posizione per qualificarti per vantaggi altrimenti limitati: immagina un e-book con un geofence che permetta di essere letto solo all'interno di una biblioteca pubblica. E se ti feri affidato al telefono per eseguire il self-report della posizione per rimuovere la necessità di utilizzare un token sicuro, un utente malintenzionato potrebbe utilizzarlo per ridurre la sicurezza a qualcosa di più facile da spezzare.

Puoi certamente aggiungere la posizione a un sistema di sicurezza, ma devi anche prendere in considerazione misure per assicurarti che non venga sconfitto.

    
risposta data 23.09.2014 - 17:57
fonte
1

Il quarto fattore sarebbe qualcosa che il singolo fa (biometrica dinamica). Gli esempi includono il riconoscimento del pattern vocale, le caratteristiche della scrittura a mano e il ritmo di battitura.

    
risposta data 10.11.2014 - 01:57
fonte

Leggi altre domande sui tag