Autenticazione a tre fattori per Windows

Suppongo che intendi per accesso (o sblocco).

Credo che tre fattori siano supportati in modo nativo in Windows 7 con:

• Servizio biometrico di Windows (richiede dispositivo attched)
• smart card compatibile con PIV (richiede dispositivo collegato)
• Password (Kerberos V5 per AD e NTLMv2 per locale)

Windows Vista e Windows 7 hanno la stessa architettura di accesso interattiva. Utilizzano un responsabile delle credenziali che si interfaccia con i fornitori di credenziali.

Il gestore delle credenziali può supportare quattro tipi di credenziali:

• "nome utente e password" (basato sulla tastiera che conosci)
• Certificato (qualcosa che hai)
• Smart Card con PIN (qualcosa che hai + qualcosa che conosci)
• Biometrico (qualcosa che sei)

Windows XP e Windows 2000 condividono un'architettura di accesso leggermente diversa. Usano un modulo di identificazione grafica e autenticazione (GINA). Il modulo è responsabile della raccolta delle credenziali e dell'autenticazione delle credenziali. Microsoft fornisce un modulo standard: MSGINA.DLL. Microsoft offre tre modi per modificare il comportamento del modulo GINA e consente anche la sostituzione con un GINA di terze parti. I tre metodi di modifica sono: pre o post-elaborazione, aggancio e impostazioni del registro. Microsoft fornito GINA standard supporta Smart Card con accesso tramite PIN. Per l'autenticazione biometrica, sembra normale che un amministratore abbia installato un modulo GINA di terze parti. Mi sembra che questa architettura supporti l'autenticazione a tre fattori.

Ho anche trovato prove che Windows NT supporta l'autenticazione a tre fattori.

"Windows NT supporta l'autenticazione a due e tre fattori, inclusi token, smart card e dati biometrici." Stephen Cobb

Non l'ho impostato, ma penso che in teoria potresti fare questo lavoro usando ciò che concederò non è la più bella configurazione di sempre.

Come puoi vedere qui ( oltre a un miliardo di altri posti), è possibile impostare il bitlocker su una macchina con o w / oa TPM. La maggior parte delle persone configura BitLocker utilizzando TPM con pin TPM +. Ma potresti anche configurarlo usando una chiavetta USB con la chiave. Credo che questa configurazione ti permetta di mettere la chiave di un bitlocker su una chiavetta USB (soddisfacendo qualcosa che hai) e proteggendola con una chiave (qualcosa che sai). Un po 'più di ricerca ha trovato questo link che sembra includere un passo dopo l'altro per fare solo questo (TPM + chiave di avvio USB + pin).

Una volta avviato il computer, si attiva il normale accesso a Windows e si può eseguire l'accesso delle impronte digitali al SO (qualcosa che si è).

Detto questo, non sono convinto che il modello di minaccia possa supportare pienamente questo percorso migliore ... ci vorrebbe un po 'di pensiero. Ma potrebbe. :)

Su Linux, PAM offre la possibilità di configurare la tua politica di autenticazione. È possibile configurare PAM in modo da richiedere due fattori oppure, se lo si desidera, richiedere tre fattori. Puoi leggere la documentazione del PAM per maggiori informazioni su come farlo.

Dichiarazione di non responsabilità: non posso immaginare che l'autenticazione a tre fattori abbia senso per la maggior parte delle implementazioni. Mi domanderei se il compromesso tra sicurezza e convenienza abbia senso. Dovresti riflettere attentamente su cosa accadrà quando l'utente viene bloccato. Le probabilità sono che l'anello più debole del tuo sistema non sarà il meccanismo di autenticazione: sarà il protocollo per gestire gli utenti che sono stati bloccati, o saranno gli attacchi di social engineering agli utenti autorizzati del sistema, o saranno le backdoor che gli utenti configurino in modo che possano svolgere il lavoro senza essere infastiditi dalla noiosa autenticazione a tre fattori (ad esempio, la password vuota che l'utente imposta per rendere più veloce l'accesso o il dongle USB che l'utente lascia collegato al dispositivo ), o qualche altro punto debole.

Ad ogni modo, penso che la necessità dell'autenticazione a tre fattori sia un caso talmente raro che non credo che sia necessario fornire una ricetta da tagliare e incollare: penso che qualsiasi negozio abbia davvero bisogno l'autenticazione a tre fattori può leggere i manuali PAM e capire come farlo.

Sensipass fornisce l'autenticazione a 3 fattori facilitando le interazioni personali con le immagini biometriche, come una scansione facciale. Funziona bene su smartphone e laptop con telecamere. Stanno costruendo le estensioni del browser in quanto è attualmente un prodotto IDaaS, ma non esiste ancora un'implementazione nativa di Windows da quello che posso vedere. Tuttavia molto innovativo!