Autenticazione a fasi

6

Qualcuno capirà la terminologia per l'utilizzo di "autenticazione multi-stage", in cui ogni fase concede uno specifico livello di autorizzazione?

Il concetto è che tu ad esempio navighi su una pagina web, non identificandoti e autenticandoti e hai un Livello 0 in autorizzazione.

Ad un certo punto si desidera eseguire un'azione che richiede l'autorizzazione, in tal modo si autentica con un nome utente e una password (o un token OAuth o alcuni di essi) e ora si dispone del livello di autorizzazione 1.

Ora si desidera eseguire un'azione privilegiata, che in questo particolare sito richiede l'esecuzione dell'autenticazione a 2 fattori. Richiedete l'azione e un meccanismo di autenticazione richiede l'inserimento, che voi concedete e che ora avete raggiunto il livello di autorizzazione 2.

Se questo si applica solo all'azione o se il tuo profilo di autorizzazione per la sessione ora è alterato per il resto delle interazioni è irrilevante - a questa domanda. (Se hai una buona idea su cosa sarebbe meglio / più facile / più sicuro, non esitare a rispondere anche a questo)

Come si chiama questa "autenticazione multi-stage"? Qualcuno sa di una terminologia reale per questo? Potrei aver fallito nelle mie lezioni su Google, ma qualcuno potrebbe inviarmi una terminologia valida e accettata per un'applicazione simile?

- Quindi per aggiungere alcune delle risposte qui che ho in parte menzionato nei commenti: OASIS Trust Elevation e Autenticazione Step-up IBM dalla risposta accettata

    
posta RLFP 09.12.2016 - 11:12
fonte

3 risposte

5

Si chiama aumenta l'autenticazione ; Non riesco a trovare riferimenti non IBM ad esso, ma è stato discusso ripetutamente in Identity Ecosystem Steering Group riunioni di gruppi di lavoro. Sono stato meno coinvolto nell'ultimo anno, ma questo era uno di quegli argomenti che tutti noi riconosciamo come preziosi, ma non urgenti. (quindi, per favore, lavora su questo, fai la ricerca e presenta una soluzione).

I ho pensato Ho ricordato di averlo menzionato nel NIST 800-63, ma non riesco a trovarlo in questo momento. Strettamente correlato alla tua domanda, è ciò che il NIST chiama "autenticazione multi-token" dove più token indipendenti sono usati in tandem per raggiungere un livello più alto di sicurezza.

The Claimant presents token authenticators generated by two or more tokens to prove his or her identity to the Verifier. The combination of tokens is characterized by the combination of factors used by the tokens (both inherent in the manifestation of the tokens, and those used to activate the tokens). A Verifier that requires a Claimant to enter a password and use a single-factor cryptographic device is an example of multi-token authentication. The combination is considered multi-factor, since the password is something you know and the cryptographic device is something you have. NIST 800-63

Se non riesci a trovare nulla sull'autenticazione step-up, potresti cercare persone che stanno lavorando con l'autenticazione multi-token.

I penso Ho anche sentito parlare di autenticazione dinamica, ma sembra che Visa abbia assorbito quel termine per una tecnica proprietaria, quindi la scarterei come termine di ricerca.

    
risposta data 09.12.2016 - 13:15
fonte
3

Non ho mai sentito parlare di una terminologia specifica, generalmente accettata, ma è un'applicazione del principio del privilegio minimo .

Ho visto applicazioni che lo chiamano in vari termini:

  • Linux: sudo / su
  • Windows: Controllo account utente (UAC)
  • JIRA Atlassian: websudo / secure administrator session
  • Github: modalità Sudo
risposta data 09.12.2016 - 11:41
fonte
1

In accordo con la risposta di Mark C. Wallace, volevo aggiungere un'altra fonte di riferimento che utilizza la terminologia autenticazione step-up per questa precisa situazione.

La pagina di documentazione di Auth0 Autenticazione Step-Up si riferisce a questo e mostra anche un possibile approccio su come per risolverlo sfruttando ciò che è definito all'interno della OpenID Connect specifica, in particolare, le seguenti affermazioni:

  • acr - Authentication Context Class Reference: is a string used to specify the 'class' of authentication that was performed on the current session.
  • amr - Authentication Methods References: is a JSON case sensitive string list of methods that were used to authenticate the current session.
  • acr_values - this is a space-separated string that specifies the acr values that have been requested to use for processing the request, with the values appearing in order of preference. This can be used to request the class of acr above when authentication is to be performed.
    
risposta data 15.12.2016 - 14:22
fonte

Leggi altre domande sui tag