È una credenziale di Windows AD combinata con l'autenticazione del fattore di appartenenza al gruppo AD 2?

0

Abbiamo un requisito per l'autenticazione a 2 fattori per i nostri SSID WiFi interni. Attualmente utilizziamo PEAP w / MS-CHAPv2 per passare credenziali Windows tramite l'AP a un server RADIUS (un controller di dominio che esegue NPS). Questo è stato recentemente accusato di non essere un'autenticazione a 2 fattori poiché fornisce "qualcosa che conosci" sotto forma di credenziali di Windows.

Tuttavia, sul server NPS devono essere anche membri di uno dei due gruppi in AD, in modo che nel mio libro sia "qualcosa che sei". Rendendolo a due fattori .. Quindi la nostra configurazione attuale è davvero a due fattori o meno. Grazie in anticipo!

    
posta A L 31.07.2014 - 21:25
fonte

2 risposte

5

La nozione di "autenticazione a due fattori" non è una nozione matematica rigorosamente definita. Tuttavia, di solito , si riferisce ad avere due fattori per autenticazione .

Il secondo termine è importante: stai tentando di autenticare un utente, ad esempio per assicurarti che l'utente si trovi effettivamente all'altro capo della linea. Proprio adesso. Quando si cerca l'appartenenza all'account nel server AD, non si sta verificando se l'utente umano è lì o no. In effetti, l'account utente è ancora un membro dei gruppi anche quando l'utente non è affatto lì. Pertanto, verificare l'appartenenza al gruppo non è affatto autenticazione. Nulla nell'ANNUNCIO ti dirà: "sì, stai parlando con Bob adesso". Nel migliore dei casi, l'AD ti dirà: "esiste un utente noto come Bob".

Le appartenenze ai gruppi AD non sono autenticazione. In quanto tali, non possono essere un fattore di autenticazione. L'appartenenza ai membri del gruppo AD è autorizzazione , un concetto completamente distinto.

    
risposta data 31.07.2014 - 21:38
fonte
1

I fattori sono:

  1. Qualcosa che conosci - ad es. una password
  2. Qualcosa che hai - ad es. una smart card o token
  3. Qualcosa che sei - un biometrico

L'autenticazione a due fattori richiede due dei precedenti da set diversi. Ad esempio, un pin e una password sono ancora singoli, in quanto si tratta di due elementi "qualcosa che conosci".

Un certificato, sebbene sia tecnicamente classificato come qualcosa che hai, può spesso essere rubato digitalmente. Ciò significa che se un utente finale è infetto, il mio malware come Zeus può estrarre sia le credenziali che i certificati, consentendo così di compromettere l'account. Se il certificato è memorizzato in un modulo di sicurezza hardware o TPM, può essere molto sicuro.

Allo stesso modo alcuni schemi basati sul telefono possono essere pensati come un vero "qualcosa che hai un fattore", anche se di nuovo bisogna fare attenzione.

La tua appartenenza al gruppo AD è un'autorizzazione non autentica.

    
risposta data 01.08.2014 - 14:23
fonte

Leggi altre domande sui tag