Perché "qualcosa che conosci" è il fattore di autenticazione più debole?

26

Citando da CompTIA Security + guide

The first factor of authentication (something you know, such as password or PIN) is the weakest factor.

Perché? ha senso quando diciamo che gli umani / gli utenti sono il fattore più debole in qualsiasi sistema dal punto di vista della sicurezza mentre noi umani dimentichiamo, facciamo errori e ci rompiamo facilmente. Ma non ha senso (per me almeno) che ottenere rapiti e torturati (per poter rinunciare alla mia password) è più probabile che accada che perdere una smart card o un portachiavi?

    
posta Ulkoma 08.10.2014 - 17:14
fonte

5 risposte

45

Nel caso tipico, qualcosa che sei e qualcosa che hai può essere vero solo per una persona alla volta. Se perdi il tuo token, sai di averlo perso.

Qualcosa che conosci può essere copiato da qualcuno a tua insaputa. Se qualcuno ha la tua password, potresti non essere in grado di dire che stanno sfruttando attivamente tale conoscenza.

Questa è una ragione per cambiare la tua password regolarmente. Riduce la finestra in cui è possibile sfruttare una violazione della password.

    
risposta data 08.10.2014 - 17:25
fonte
25

Le password, o più in generale qualcosa che conosci, sono spesso relativamente deboli, perché gli utenti non possono ricordare i segreti di alta entropia. Di conseguenza, le password (o qualsiasi cosa tu abbia bisogno di memorizzare) di solito finiscono per essere un segreto a bassa entropia, che consente di indovinare casualmente, cercare nel dizionario offline e altri attacchi. Anche se è possibile per creare e ricordare una buona password, l'esperienza mostra che gli utenti non lo fanno e probabilmente non è ragionevole aspettarsi che gli utenti lo facciano.

C'è un'enorme quantità di ricerca accademica ed esperienza pratica a sostegno di questa affermazione. Ecco alcuni riferimenti di esempio:

Inoltre, qualsiasi segreto che conosci può potenzialmente essere sottoposto a phishing (ad esempio, qualcuno potrebbe essere in grado di ingegnerizzare socialmente per rivelarlo).

Ricorda la frase classica:

Humans are incapable of securely storing high-quality cryptographic keys, and they have unacceptably slow speed and accuracy when performing cryptographic operations. (They are also large, expensive to maintain, difficult to manage, and they pollute the environment. It is astonishing that these devices continue to be manufactured and deployed. But they are sufficiently pervasive that we must design our protocols around their limitations.)

Charlie Kaufman, Radia Perlman, Mike Speciner, Network Security: Private Communication in a Public World.

A questo punto ti starai chiedendo: dato che le password hanno così tanti problemi, perché li usiamo ancora? Se è così, ti consiglio di dare un'occhiata a questa domanda: Perché usiamo persino password / passphrase accanto alla biometria? .

    
risposta data 08.10.2014 - 19:25
fonte
8

È possibile avere un "qualcosa che conosci" che non puoi essere costretto a rivelare. Ho letto di un sistema di accesso sicuro che presenta una griglia da 12 a 15 foto di volti e hai circa 3 secondi per toccare il 3 o 4 che hai visto prima. Perché funzioni, ci deve essere un database di molte migliaia di foto e ci si allena su centinaia di esse. Il sistema sa su quali allenarsi. (date prima un nome utente che si presume sia "pubblico" - non sicuro.)

Non è possibile trasmettere queste informazioni a un'altra persona e qualsiasi successo in un accesso trasmette zero successi in un altro. Perché "qualcosa che conosci" sia efficace, dovremmo semplicemente usare aspetti della natura umana che funzionano in modo efficace. La maggior parte delle persone è in grado di riconoscere le foto dei volti viste in precedenza: è integrata.

    
risposta data 08.10.2014 - 20:11
fonte
8

Questo è il risultato dell'ottimo marketing fatto dai venditori di autenticazione biometrica.

"Qualcosa che sei" è a volte molto facile da riprodurre per un attaccante, le impronte digitali e la voce sono particolarmente facili da ottenere, senza la possibilità per le persone di usare strategie credibili per evitarlo (indossare i guanti in ogni momento e non parlare in pubblico non è pratico).

La maggior parte di noi probabilmente lascia decine di impronte digitali sfruttabili ogni giorno, io per primo non dico la mia password ad alta voce quasi così spesso.

"Qualcosa che hai" non è esente da errori e richiede una grande quantità di educazione dell'utente da utilizzare correttamente. Per esempio. in qualsiasi azienda RSA SecureID, un tour dell'ufficio rivelerà molti di loro sulle scrivanie, il codice è visibile. Ho persino visto delle persone portarli al collo con loro. Anche la scomparsa di un token di autenticazione può non essere notata fino a quando non è necessaria.

    
risposta data 09.10.2014 - 06:09
fonte
1

Il più grande (e unico) problema dell'autenticazione basata su password è che il suo punto di forza è impostato dall'utente, e esiste un compromesso di forza-usabilità . In teoria, le password hanno un sacco di grandi proprietà per un utente: sono difficili da ottenere da terze parti con la forza, non le perdi ovunque come dati biometrici, possono essere archiviati come hash a differenza dei dati biometrici, gli utenti possono rimanere anonimi a il servizio (se condividi il tuo numero di cellulare per 2 fattori o dai loro impronte digitali perdi), gli utenti possono comunicare la password ad altre persone e condividere l'accesso. Prova questo con dati biometrici o portachiavi. Quindi le password offrono un maggiore controllo all'utente, il che può essere un vantaggio, ma la maggior parte delle volte è uno svantaggio.

Quindi ci sono problemi nell'implementazione. Per prima cosa devi impostare una password completamente distinta per ogni luogo in cui devi usare una password. Questo perché la maggior parte delle volte l'altra parte ottiene la password in chiaro. Quando si utilizza uno schema di autenticazione strong come SCRAM-SHA1, non si trasmette mai la password a terzi e si può utilizzare uno schema come "password complessa" + "nome sito Web" per la propria password. Tuttavia, l'uso delle password non è molto chiaro da separare. È possibile creare un dispositivo di piccole dimensioni in cui gli utenti inseriscano le proprie password, il che garantisce che la password non lo abbandoni mai, ma l'utente può essere falsificato dal computer e pensa di doverlo inserire lì. Eccolo di nuovo, la forza si basa sull'utente.

    
risposta data 10.10.2014 - 18:17
fonte

Leggi altre domande sui tag