In che modo "qualcosa che hai" in genere definito per l'autenticazione "a due fattori"?

30

Una vasta gamma di prodotti dichiara di offrire "autenticazione a due fattori" (cv Autenticazione a due fattori - Wikipedia ). La maggior parte viene implementata come "qualcosa che hai" da utilizzare oltre a una normale password ("qualcosa che conosci"). Alcuni di questi "secondi fattori" sono semplici come fornire un pezzo di carta con password o informazioni necessarie per rispondere a un semplice protocollo di risposta alla sfida. Altri vanno fino a token "hard" crittografici che non possono essere facilmente copiati. Quest'ultimo è per es. richiesto per il livello di affidabilità NIST 800-63 (Electronic Authentication Guideline) 4 "(aka LOA 4).

Ad esempio, una password monouso via carta soddisfa i requisiti "LOA 3" del NIST? Che ne dici delle varie raccomandazioni per il settore bancario (ad es. FFIEC) o dei requisiti correlati di altre entità?

    
posta nealmcb 13.05.2011 - 23:58
fonte

4 risposte

10

Ho iniziato a fare questa domanda per essere introdotta prima di scoprire quella. Alla luce del giudizio suggerito dal giudice magistrato su PATCO v. People's United (che implica un teoria orribile riguardo all'autenticazione multifattoriale), definisco qualcosa che hai in questo modo:

Quello che hai deve essere solo compromesso da un utente malintenzionato che ha accesso fisico a ciò che hai. Questo esclude:

  • Una password scritta su un pezzo di carta (una volta che qualcuno lo vede, lo sanno)
  • Un cookie memorizzato sul tuo computer
  • "Domande sulla sicurezza" (sono solo un'altra password)
  • La tua chiave PGP è conservata su una chiavetta USB se la colleghi a una macchina con accesso alla rete

Detto questo, prenderei in considerazione un elenco di 100 password che non hanno alcuna relazione e ognuna di esse viene utilizzata una sola volta e sarebbe considerata come qualcosa che hai. Un elenco cartaceo di 100 password che potrebbero essere richieste più di una volta non si qualificherebbe come un utente malintenzionato sarebbe in grado di fingere di avere accesso a tale credenziale monitorando.

Qualcosa che devi essere qualcosa la cui integrità può essere assicurata dal controllo fisico. Gli attacchi dall'altra parte del canale come rubare il loro database di autenticazione o rompere un protocollo crittografico non contano. Se può essere compromessa senza l'interferenza fisica di un aggressore (o rompendo un algoritmo di crittografia poiché sono parte integrante della dimostrazione del possesso da remoto), non è qualcosa che hai. Le carte bancomat sono un po 'confuse in questo modo: un ATM compromesso potrebbe fornire tutti i dati della traccia, anche se ciò che di solito vediamo sono gli skimmer (accesso fisico). I token RSA sono un altro che considererei qualcosa che hai.

Mi piacciono le smart card, perché metterle in un lettore non espongono i loro segreti, né compromettere il database di autenticazione.

    
risposta data 08.06.2011 - 21:06
fonte
8

Re. la domanda se una soluzione OTP basata su carta potrebbe soddisfare il requisito NIST 800-63 Livello 3:

Dalla fonte " ...

L'autenticazione richiede che il ricorrente provi attraverso un protocollo di autenticazione sicuro che lui o lei controlla il token e deve prima sbloccare il token con una password o biometrico, o deve anche usare una password in un protocollo di autenticazione sicuro, da stabilire  autenticazione a due fattori. ... "

- > la risposta è: no! Otoh, questo esclude anche le soluzioni basate su SMS, perché nessuno può garantire che il token non possa essere visto senza inserire un PIN ...

Hmm, immagino ci saranno molti pessimi compromessi per quel livello 3 di conformità ...:)

    
risposta data 15.05.2011 - 16:56
fonte
5

L'autenticazione a due fattori fa parte della più ampia famiglia di Autenticazione a più fattori . Questo è l'approccio difensivo di "Security In Layers" applicato all'autenticazione.

L'autenticazione a due fattori non è solo "qualcosa che hai". La scelta di due qualsiasi tra queste tre categorie di autenticazione sarebbe di due fattori:

  • Qualcosa che l'utente conosce (ad es. password, PIN, SSN);

  • Qualcosa che l'utente ha (ad esempio, ATM carta, smart card, portachiavi, RFID); e

  • Qualcosa che l'utente è (ad es. caratteristiche biometriche, come un'impronta digitale, scansione dell'iride).

L'autenticazione a due fattori è comune anche nel mondo non tecnico. Come dover mostrare la tua foto id con un acquisto con carta di credito. La carta di credito è ciò che hai e un'altra persona può collegare il nome sulla carta alla faccia sulla licenza di unità con l'acquirente.

    
risposta data 14.05.2011 - 01:28
fonte
-2

La mia opinione personale, ma penso che "qualcosa che hai" dovrebbe avere le seguenti caratteristiche:

  • l'utente può rilevare facilmente e immediatamente la sua assenza
  • può essere reso inefficace dall'autorità emittente senza richiedere il possesso
  • il possesso dimostra l'identità

Un token hardware si adatterebbe a questi requisiti, una sola volta non sarebbe una password.

    
risposta data 15.05.2011 - 03:22
fonte

Leggi altre domande sui tag