Mi chiedo se hai bisogno di un primo fattore strong (per correttezza teorica, tieni presente che è il fattore di conoscenza - non necessariamente una password, ma sicuramente include anche password complesse)?
Quale caso d'uso sarebbe quello di avere un primo fattore strong?
Perché non possiamo avere una combo di 2 ° (cosa hai, dispositivo) e 3 ° fattore (cosa sei, bio) e fare a meno del 1 ° fattore? Che cosa mantiene il primo fattore attivo e attivo nelle transazioni quotidiane sicure?
La rottura di un fattore di conoscenza ha un costo teorico che possiamo facilmente assicurare oltre le capacità umane (una password con 12 parole chiave non sarà mai ostentata usando hash 256 bit ininterrotto), se escludiamo la vulnerabilità umana e la vulnerabilità di implementazione (e il fatto che nessuno usa un 12 parole password) questa è una sicurezza perfetta e dimostrabile com'è. (finché non possiamo leggere almeno la mente umana)
La sicurezza biologica non è un'identificazione teorica, sta utilizzando la parte naturale della nostra identità che ora siamo in grado di leggere ma non riprodurre. (la tua stampa, ADN e iris non sono prvate tutti possono accedervi). Non è possibile determinare quanto sia sicura la tua autenticazione, puoi dire che è necessario un dispositivo veramente difficile da produrre per ingannare il tuo sistema, ma devi ancora ammettere che questo dispositivo possa essere costruito. Si tratta solo di aggiungere difficoltà tecniche per interrompere il processo di autenticazione, non una garanzia di sicurezza.
Beh, penso che la cosa peggiore sia che il terzo fattore è molto costoso (scansioni dell'iride, buon riconoscimento facciale) e ha alcuni aspetti negativi . Un esempio è un utente che usa la propria impronta digitale per collegarsi ma si taglia, il sistema non riconosce la sua stampa e rifiuta l'accesso. Questo è il motivo per cui è ancora possibile accedere con un codice pin sugli iPhone più recenti.
Parte del problema con (lo stato attuale della) biometria sta nel presupposto che ognuno ha due occhi o possiede pollici o somesuch.
Questa non è un'obiezione frivola. Una volta ho lavorato a un progetto utilizzando l'identificazione delle impronte digitali per la consegna di medicinali nell'Africa sub-sahariana. Alla fine abbiamo dovuto implementare una password alternativa a causa del numero di persone che non avevano abbastanza impronte digitali leggibili - in gran parte a causa di mani / dita mancanti - perché il sistema le identificasse.
Può uno scanner dell'iride identificare qualcuno con occhi bruciati / mancanti / sostitutivi? Non pertinente per te, probabilmente, o per chiunque stia leggendo questa domanda, ma i progettisti di sistemi devono pensare a queste cose quando assumono la disponibilità al 100% di un dato biometrico.
Sebbene generalmente deboli per il vincolo delle capacità mentali umane, gli autenticatori basati sulla conoscenza hanno una proprietà unica che gli altri due non hanno. Cioè, senza compromettere tecnologicamente il sistema client o server di destinazione (a questo punto l'autenticazione del fattore n diventa abbastanza discutibile in ogni caso), richiede uno sforzo consapevole da parte del proprietario per un fattore di conoscenza da rivelare a un utente malintenzionato.
Le tue chiavi, badge identificativo o altri token di accesso fisici possono essere fisicamente ottenuti da chiunque li raggiunga. Questo può richiedere un moderato sforzo da parte dell'attaccante, specialmente per farlo in modo nascosto. Ma, nel grande schema delle cose, ottenere un possesso fisico della maggior parte degli oggetti che sono utili e convenienti come token di accesso è una questione abbastanza banale.
I dati biometrici sono ancora più banali. Con la tecnologia di oggi, i dispositivi di autenticazione biometrica più convenienti e convenienti sono ancora abbastanza facili da ingannare. E diffondi costantemente i tuoi autenticatori ovunque su ogni superficie che tocchi e in ogni foto scattata da te.
"Qualcosa che conosci", d'altra parte, rimane esclusivamente tuo fino al momento in cui decidi personalmente di rivelarlo a una persona o dispositivo. Se stai memorizzando correttamente un autenticatore basato sulla conoscenza (cioè solo nella tua testa), è quasi impossibile per chiunque rubarlo contro la tua volontà.
Nessuno può semplicemente estrarre la conoscenza dalla borsa o sollevarla da una maniglia. Non lo troveranno sfogliando le foto di Facebook o rovistando nel portafoglio quando non guardi. La tua mente è solo tua, e ci vogliono misure estreme, soprattutto se paragonate a queste, che chiunque possa prendere qualcosa da cui non le vuoi.
XCKD pertinente:
Esibendounpo'oltre:
2:Ohwait,weneedhissmartcard!
1:Founditinhislaptopbag.
2:Andfingerprint?
1:Probablywanttoliftthatbeforeyoubreakhisfingers.
2:Okay,butIdon'tthinkhe'sgonnabreak.
1:Everybodybreaks.
2:Hesayshisnameis"Jack Bauer".
1: Blast! Our evil plan is foiled!
Leggi altre domande sui tag authentication passwords multi-factor