È obbligatorio in MFA che i fattori dovrebbero essere (1) qualcosa che hai + (2) qualcosa che conosci + (3) qualcosa che sei, o va bene usare uno qualsiasi di due fattori più volte (es. + impronta digitale + scansione retina)?
Sembra che ci sia un altro fattore da considerare come "Qualcosa che fai" che include il tuo modello di scrittura a mano, velocità di battitura ecc. [Rif: Computer Security: Art & Science by Mat Bishop].
Tieni presente che l'MFA include sia 2FA che 3FA.
La definizione ampiamente accettata di autenticazione a più fattori (vedi questa definizione NIST ) è:
Authentication using two or more different factors to achieve authentication. Factors include: (i) something you know (e.g., password/PIN); (ii) something you have (e.g., cryptographic identification device, token); or (iii) something you are (e.g., biometric).
Enfasi su fattori , non parti di informazioni .
Pertanto, lo schema proposto si qualifica come 2FA, che è una forma di MFA ("due o più fattori diversi"), ma non 3FA.
L'autentica autenticazione a tre fattori comprende una password / PIN + un token / smart card + una caratteristica biometrica.
Affinché qualcosa contini come "fattore multi", è necessario avere fattori da almeno due di queste categorie. Quindi password + impronta digitale + retina è multifattoriale poiché è qualcosa che conosci e qualcosa che sei. In realtà, conterebbe anche se hai abbandonato la scansione retinica. Ma ad es. password + PIN non contano in quanto è solo un fattore, cioè qualcosa che conosci.
In MFA (2, 3, 4FA) inizi con una dichiarazione: Who am I (nome utente) - questo non è un fattore è un reclamo.
Fattori che provano il reclamo (autenticazione): qualcosa che conosci, qualcosa che hai, qualcosa che sei, qualcosa che fai, in qualche posto che sei. Risposte tipiche ai fattori (in ordine): password; certificato, codice basato sul tempo (OTP), prompt del codice del telefono cellulare; impronta digitale, scansione retina, stampa vocale; firma, agita le mani, fai una danza; Indirizzo IP.
Non puoi riutilizzare i fattori per avere l'autenticazione a più fattori.
Leggi altre domande sui tag authentication multi-factor