Autenticazione Two-Step vs. Two-Factor - C'è una differenza?

L'autenticazione a due fattori si riferisce specificamente ed esclusivamente a meccanismi di autenticazione in cui i due elementi di autenticazione rientrano in categorie diverse rispetto a "qualcosa che hai", "qualcosa che sei" e "qualcosa che conosci".

Uno schema di autenticazione a più fasi che richiede due chiavi fisiche o due password o due forme di identificazione biometrica non è a due fattori, ma i due passaggi possono comunque essere validi.

Un buon esempio di questo è l'autenticazione in due passaggi richiesta da Gmail. Dopo aver fornito la password che hai memorizzato, ti viene richiesto di fornire anche la password monouso visualizzata sul telefono. Mentre il telefono potrebbe sembrare "qualcosa che hai", dal punto di vista della sicurezza è ancora "qualcosa che conosci". Questo perché la chiave dell'autenticazione non è il dispositivo stesso, ma piuttosto le informazioni memorizzate su il dispositivo che in teoria potrebbe essere copiato da un utente malintenzionato. Quindi, copiando sia la tua password memorizzata che la configurazione OTP, un utente malintenzionato potrebbe impersonarti con successo senza rubare nulla di fisico.

Il punto di autenticazione multi-fattore, e il motivo per la distinzione rigorosa, è che l'attaccante deve riuscire a scovare due diversi tipi di furti per impersonare te: deve acquisire sia la tua conoscenza che il tuo dispositivo fisico, per esempio. Nel caso di multi-step (ma non multi-factor), l'attacker deve solo rimuovere un tipo di furto, solo più volte. Quindi per esempio ha bisogno di rubare due informazioni, ma senza oggetti fisici.

Il tipo di autenticazione a più fasi fornita da Google o Facebook o Twitter è ancora abbastanza strong da ostacolare la maggior parte degli attaccanti, ma dal punto di vista puristico, tecnicamente non è l'autenticazione a più fattori.

Ecco un diagramma di flusso che spiega le differenze.

Fonte: link

Non classificherei realmente il "two-step" come distinzione. È un meccanismo di un fattore che può o non può ancora essere qualcosa che conosci. Ad esempio, se il codice viene inviato a un cellulare, allora è davvero qualcosa che conosci (password) e qualcosa che hai (cellulare). Se viene inviato a un messaggio di posta elettronica, è davvero un fattore singolo, poiché sia l'e-mail che l'account sono (molto probabilmente) derivati da password.

È sicuramente un meccanismo di convalida nel senso di e-mail, ma non aggiunge altro che chiedere una seconda password in termini di autenticazione.

Puoi semplicemente dire che ogni autenticazione a due fattori è un'autenticazione in due passaggi, ma non il contrario.

Quando, inserisco la mia password e analizzo l'impronta digitale, eseguo un'autenticazione in due passaggi e utilizzo un fattore due (qualcosa che sai, qualcosa che sei)

Tuttavia, quando ho inserito la mia password dell'account normale e una password monouso, sto facendo Two-Step ma uso solo One-Factor (qualcosa che conosco)

EDIT (15/5/2015): la risposta di Paul Moore sembra più valida dal punto di vista tecnico della mia (lo ha messo in svantaggio)

Mi manca qualsiasi fonte attendibile nelle risposte attuali, quindi mi riferirò a Schneier e alle pagine di aiuto di Google per sostenere che "in due passaggi" è solo un nome che lascia spazio all'utente per l'autenticazione a due fattori:

Schneier:

Recently, I've seen examples of two-factor authentication using two different communications paths: call it "two-channel authentication." One bank sends a challenge to the user's cell phone via SMS and expects a reply via SMS. If you assume that all the bank's customers have cell phones, then this results in a two-factor authentication process without extra hardware. And even better, the second authentication piece goes over a different communications channel than the first; eavesdropping is much more difficult.

Assistenza Google (e altri che non posso pubblicare perché mancanza di reputazione): Basta notare come li usano in modo intercambiabile, piuttosto che tornare al "fattore" quando la cosa diventa tecnica.

La differenza è addizione versus moltiplicazione.

Il passaggio in due fasi è un processo additivo: l'autenticazione avviene una volta con una credenziale indipendente (una password), quindi con un'altra credenziale indipendente (una OTP, fornita tramite SMS, telefono o in qualche app di generatore). Ti sei autenticato due volte.

Il fattore due è moltiplicativo: stai combinando una credenziale indipendente (un PIN o una chiave segreta o un biomarcatore) con un'altra (un certificato o un codice token crittografico) per ricavare una singola credenziale più strong di ogni credenziale indipendente.

Assegnazione di numeri completamente arbitrari e convenienti ai tipi di credenziali (1 = nessuno, 2 = password [qualsiasi tipo: auto-definito, OTP, ecc.], 3 = credenziale crittografica [cert, codice token]), posso dimostrare che un la password è più strong di nessuna password (2 > 1); l'autenticazione in due passaggi è più strong di una singola password ((2 + 2 = 4) > 2) o una credenziale crittografica ((2 + 2 = 4) > 3) indipendentemente, ma sempre più debole di qualsiasi schema a più fattori ((2 + 2 = 4) < (2 * 3 = 6)).

Dal punto di vista della teoria delle informazioni, non c'è alcuna differenza tra loro. Questo è il motivo per cui l'entanglement non consente la trasmissione di dati FTL , è come se annotassi le informazioni su un pezzo di carta e ha camminato un miglio, e poi l'ha aperto. L'informazione non è stata trasmessa nel tempo, era sempre lì. Percettivamente è diverso per noi, ma è tutto incatenato a "informazioni che conosci" preesistenti.

Detto questo, ci sono implicazioni sulla sicurezza tra i due. Craccare un token deterministico richiede generalmente attacchi di social engineering o attacchi rubber-hose . Se l'uomo è fuori per prenderti e sanno che dipendono dall'autenticazione in due passaggi, possono monitorare il segnale fuori banda e correlare le tue attività. Diciamo, ad esempio, che gestisci .onion site sulla rete TOR che richiede un messaggio di testo per il secondo passaggio fuori banda. Se siete 1/100 persone in un elenco di possibili sospetti, potrebbero controllare i timestamp su tutti i messaggi di testo e correlare le modifiche sul sito.

Le tue definizioni sono un po 'spente. La verifica in due passaggi (presumo che tu stia pensando a Google) può utilizzare anche i token e l'autenticazione a due fattori potrebbe utilizzare codici, dati biometrici o qualsiasi altra cosa che ti dia due o più categorie: cosa sai, cosa hai o cosa sei.

Ciò che distingue la verifica in due passaggi di Google dalla corretta autenticazione a due fattori è che non è sempre necessario utilizzare il secondo fattore per l'autenticazione. Ti chiede solo di usarlo per verificare la tua identità in caso di dubbi o quando scade il cookie impostato nel tuo browser.

Per quanto riguarda lo stato di un telefono o di un account e-mail come fattore, lo classificherei come qualcosa che hai. È tanto qualcosa che hai come un token software. Certo, conosci la password dell'account e-mail, ma potresti anche conoscere i dati seme per ricreare un token software.

Di solito, due fattori significano che tu sai qualcosa (come una password) e che possiedi o hai qualcosa come un token o un telefono cellulare.

Per questo significa che l'autenticazione viene eseguita in due passaggi, uno dopo l'altro. Se usi due passaggi solo conoscendo qualcosa come due password o usi token non importa.

Bruce Schneier differisce anche tra l'autenticazione a due e due canali. L'autenticazione a due canali è più o meno se si hanno due canali su cui si comunica. Ad esempio se si avvia un'autenticazione sul proprio computer desktop ma è necessario terminare l'autenticazione utilizzando lo smartphone significa che entrambi vengono utilizzati sia in autenticazione a due o a due fattori, ma entrambi utilizzano canali diversi.