Il token protetto da PIN con certificato di accesso è un'autenticazione a due fattori se il token è controllato esclusivamente dall'utente?

0

So che non dipende dal fatto che il servizio a cui l'utente si sta autenticando non possa controllare la correttezza o l'esistenza del PIN. Ho bisogno, tuttavia, di spiegare questo a persone che sono convinte che in realtà è un'autenticazione a due fattori, poiché l'utente è richiesto per utilizzare il PIN in base a termini e condizioni. C'è preferibilmente una sorta di definizione "autorevole" su cui potrei costruire la mia argomentazione? Trovato solo NIST 800-63-2 ma in questo caso non è conclusivo.

    
posta mikky 20.03.2015 - 11:18
fonte

2 risposte

1

Se non riescono a capire che lo scenario è difettoso, potrebbe essere meglio mettere da parte l'argomento 2FA e attenersi semplicemente all'argomento molto più semplice che avere un fattore non sicuro lo rende un metodo nullo.

In questo caso, a meno che non sia possibile imporre un PIN o un passcode forti durante la creazione del certificato, puoi essere certo che i pigri (la maggior parte di noi dopo tutto!) NON si preoccuperanno. Lasciando il certificato spalancato per copiare e amp; riutilizzo indesiderato.

AGGIORNAMENTO: dai tuoi commenti.

La prima cosa da fare è assicurarsi che il proprio sedere sia coperto sollevando un rischio formale se si dispone di un processo adeguato disponibile. Altrimenti assicurandoti almeno di avere la prova scritta che hai sollevato il problema.

Il passo successivo potrebbe essere quello di provare e incoraggiare l'organizzazione ad avere una revisione della sicurezza esterna. I dipartimenti di audit interno possono essere molto utili qui! In genere sono molto grati a chiunque voglia parlare con loro e sono spesso più che felici di prendere una decisione da parte tua in merito ai rischi organizzativi.

Non tutti i problemi hanno una risposta diretta: /

    
risposta data 22.03.2015 - 22:33
fonte
0

L'autenticazione a due fattori richiede 2 fattori di autenticazione su tre da: 1. Qualcosa che conosci 2. Qualcosa che hai 3. Qualcosa che sei (biometrico)

Tuttavia, due fattori non sono un proiettile d'argento, come è stato detto perché un fattore può ancora essere debole. Il rischio di avere un debole 'qualcosa che conosci' è parzialmente mitigato se devi ancora avere qualcosa come il certificato. Sono ancora a favore di un strong "qualcosa che conosci" perché un PIN di quattro caratteri consente solo 10.000 combinazioni. Le protezioni devono essere in atto per prevenire la forzatura bruta o gli attacchi offline se l'oggetto viene rubato. Sarebbe possibile richiedere il PIN per il certificato e quindi richiedere una password complessa aggiuntiva?

Penso che se si arriva a spingere un PIN combinato con qualcosa che hai come un certificato token è ancora più sicuro di una password da solo. Un utente malintenzionato deve solo rubare la password se questo è l'unico fattore. In due fattori l'attaccante deve rubare il token con il certificato e poi ottenere anche il pin. Si spera che le persone segnalino che il loro token è mancante poiché non possono più ottenere l'accesso e il vecchio token può essere rimosso, quindi anche se fossero in grado di entrare avrebbero bisogno di ottenere più credenziali o metodi per mantenere la persistenza.

    
risposta data 22.03.2015 - 23:58
fonte

Leggi altre domande sui tag