Domanda:
Autenticazione a quattro fattori
rink.attendant.6
2014-09-23 19:52:33 UTC
view on stackexchange narkive permalink

Sono sicuro che abbiate sentito tutti parlare di autenticazione a due fattori / a più fattori. Fondamentalmente si tratta di questi fattori:

  • Conoscenza - qualcosa che conosci (ad es. Password, PIN, sequenza)
  • Possesso - qualcosa che hai (ad es. , chiave)
  • Esistenza: qualcosa che sei (ad es. impronta digitale)

La mia domanda è: Esiste un quarto fattore di autenticazione?

Una rapida ricerca su Google non ha prodotto risultati interessanti se non un documento di brevetto che non mi sono preoccupato di leggere. Potresti da qualche parte essere considerato un quarto fattore?

Tecnicamente "esistenza" è un sottoinsieme di "possesso". Certo, è "incorporato nel tuo corpo", ma è comunque "qualcosa che hai". Impronta digitale? Possono tagliarti il ​​dito: ora _loro_ ce l'hanno.
@Lohoris I termini sono piuttosto confusi all'inizio - lo stesso vale per la password, è possesso come qualsiasi altra cosa che può essere copiata - c.f. [Crittanalisi del tubo di gomma] (http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis).
@Lohoris, direi che una delle caratteristiche importanti della categoria "qualcosa che hai" è che puoi lasciarlo a casa (o in una cassetta di sicurezza, con un amico fidato, ecc.) Quando non ti serve esso. In questo senso non penserei all'esistenza come a un sottoinsieme.
possibile duplicato di [Quanti fattori di autenticazione ci sono?] (http://security.stackexchange.com/questions/10434/how-many-authentication-factors-are-there)
@ThomasW. Poiché questa domanda ha risposte molto più complete, sarebbe meglio chiudere il contrario.
Vecchia domanda, ma ho capito che è apparso un nuovo fattore!Qualcosa che indossi.Un esempio notevole è Apple Pay su Apple Watch.Se l'orologio è sbloccato e la persona continua a indossarlo, può toccare per pagare.Ma se lo tolgono, l'orologio si blocca e devono reinserire il PIN.
Sei risposte:
Polynomial
2014-09-23 21:04:41 UTC
view on stackexchange narkive permalink

Come hai notato, i tre principali sono:

  • Qualcosa che conosci”
  • Qualcosa che hai
  • Qualcosa che sei”

Direi che ce ne sono altri:

  • Qualcosa che può fare , ad es riprodurre accuratamente una firma.
  • Qualcosa che mostri , ad es. un particolare tratto della personalità, o anche un comportamento neurologico che potrebbe essere letto da una fMRI. Queste non sono strettamente "sono" funzioni, poiché sono più fluide.
  • Qualcuno che conosci, ad es. autenticazione tramite catena di fiducia.
  • Da qualche parte in cui ti trovi (o hai accesso), ad es. bloccare una sessione su un IP o inviare un pin di conferma al tuo indirizzo. Questo è un po 'tenue in termini di essere chiamato un fattore di autenticazione , ma è comunque utile notare.
Stavo per aggiungere il ** da qualche parte ** in cui sei, ma non solo digitale-fisico. Simile ai tratti che mostri, se provi ad autenticarti due volte, da due posizioni separate, un algoritmo può determinare rapidamente la * fattibilità * di trovarti in entrambi i luoghi - combinato con altri, questa è un'autenticazione potente.
Tutti questi fanno parte dei primi 3: * può fare * è praticamente * sapere * o * avere *, forse * sono *; * mostra * è * avere *; * qualcuno * (relazione) è * sapere * o * avere *, * da qualche parte * è * avere *, maaaaybe * sapere *.
Sembra che tu stia confondendo "autenticazione" con "autorizzazione" e pochi altri. La catena di fiducia non è una forma di autenticazione, è il meccanismo per propagare l'identità garantendosi a vicenda. I primi due, come ha detto @trysis, fanno parte degli altri fattori.
Mi piace "Somewhere you are" in termini di punto vendita fisico come la pompa di benzina e la tua propensione a visitare quella stazione di servizio. Si potrebbe anche aggiungere un pezzo temporale come nel tuo schema temporale sulle visite una variazione del trigger di allarme della carta di credito per il test della carta rubata dalla pompa di benzina seguita dall'acquisto di scarpe da ginnastica. Ciò suggerisce che anche la tua attività relativa al tempo e al luogo potrebbe funzionare. +1 per pensare fuori dagli schemi (noioso e limitato).
@trysis: Quello che * sai * potrebbe essere trapelato, quello che * hai * potrebbe essere rubato, quello che * puoi fare * non viene imitato facilmente. Se fai un ulteriore passo avanti potresti sostenere che esiste solo * have *, perché su Internet non importa se hai inserito ciò che * sai * manualmente o lo hai ottenuto da un dispositivo che * hai *.
Buon punto. Anche quello che * hai * e quello che * sei * è confuso perché quello che * puoi dimostrare di avere * (che è comunque l'autenticazione) è limitato dal * dispositivo che hai * e questo dispositivo (o meglio il software su di esso ) essenzialmente * sei * tu su Internet. Quindi, questo è ulteriormente limitato dalle scelte che hai fatto, dai soldi che hai usato, chi sono i tuoi genitori, ecc., Quindi, in altre parole, * chi sei * come persona.
Ottimo esempio di "qualcosa che puoi fare": http://www.funnyjunk.com/funny_pictures/688935/Korean/
@AviD Se un utente accede al mio servizio tramite il suo account Google associato, non sarebbe un esempio dell'idea di autenticazione tramite catena di fiducia? Ho capito che originariamente sarebbe stato un nome utente / password, "Qualcosa che conosci", ma per il mio sito non lo vedrei, vorrei solo affermare di Google che questa persona è chi dice di essere.
Se hai intenzione di aggiungere chi (fidati), cosa (molti di loro), come (qualcosa che puoi fare) e dove, dovresti probabilmente completare l'elenco con quando (puoi farlo solo durante ___ tempo) e trovare un modo per spremere perché lì dentro (forse esercitato dai tratti della personalità?)
@Blackhawk sì e no - Google sta autenticando l'utente (ad esempio tramite password o altro). * Tu * non stai autenticando l'utente * affatto * - ti affidi solo all'asserzione di Google. Questo è un perfetto esempio del motivo per cui ho affermato che la "catena di fiducia" è un metodo per condividere l'asserzione e non un fattore di autenticazione.
paj28
2014-09-23 20:07:26 UTC
view on stackexchange narkive permalink

Assolutamente !

Somewhere you è abbastanza ampiamente utilizzato nell'IT aziendale. In molti ambienti, se sei su una rete aziendale, puoi accedere utilizzando solo una password, ma se sei fuori ufficio devi utilizzare un fattore aggiuntivo, solitamente un token.

l'ora corrente è senza dubbio un altro fattore di autenticazione, un classico esempio è un tempo di ritardo sicuro. I pass per le porte degli uffici sono spesso validi solo in determinati orari della giornata.

Contattabilità a volte è visto come un altro fattore, ad es. ricevere una lettera a un indirizzo noto (o un'e-mail, una telefonata) dimostra l'identità. Anche se di solito questo dipende da uno dei fattori che hai già menzionato, ad es. ricevere una lettera mostra che hai la chiave per quell'indirizzo.

Mentre ci pensi di più, ti rendi conto che la distinzione tra i fattori è piuttosto confusa, in particolare tra "qualcosa che conosci" e "qualcosa che hai" . Se scrivi una password, quel pezzo di carta diventa "qualcosa che hai"? Hai detto che una chiave è "qualcosa che hai", ma se un fabbro conosce lo schema, può crearne una nuova. Quindi probabilmente una chiave è veramente "qualcosa che conosci".

Il tempo non è un fattore di autenticazione. È ancora un controllo di sicurezza, ma non ha nulla a che fare con l'autenticazione stessa, poiché non fornisce prove che qualcosa o qualcuno sia * autentico *.
@Polynomial, dipende in un ufficio il tempo è un fattore di autenticazione, poiché nei normali orari di ufficio si può spesso presumere che nessun membro del personale non sarà in grado di sedersi al computer. Ma tutte le scommesse sono in ufficio al di fuori dell'orario normale.
Per essere onesti con entrambi, paj28 è corretto in quanto le linee iniziano a sfocarsi. YubiKey, ad esempio, genera OTP univoche per l'autenticazione a 2 ° fattore, parte delle quali include un valore di data / ora e un contatore incrementale per prevenire attacchi di replay.
@IanRingrose, Direi che il tuo "da qualche parte ti trovi" e la "contattabilità" sono collegati, in quanto entrambi implicano che tu possa accedere a un determinato luogo (l'ufficio o l'indirizzo dove viene consegnata la posta). Da lì, la "contattabilità" passa a qualsiasi fattore utilizzato dall'altra posizione (per una lettera inviata a te, torna al * possesso * della tua chiave di casa). Nel tuo esempio di reti aziendali, ciò rientra nella catena di fiducia di Polynomial, in quanto qualcun altro si è fidato di te abbastanza da permetterti di entrare nell'edificio, quindi di nuovo, riconduce a qualsiasi fattore venga utilizzato per questo.
@Polynomial se qualcuno affermasse di essere George Washington, il tempo (di oggi) invaliderebbe tale affermazione.
@user2813274 Tranne che l'account di George Washington sarebbe chiuso e bloccato a lungo, e il tuo esempio non ha nulla a che fare con i blocchi temporali in questo contesto.
ioo
2014-09-24 01:35:36 UTC
view on stackexchange narkive permalink

No. Ce ne sono tre. Tutti gli altri menzionati qui:

  • può essere ridotto a uno dei tre canonici (ad esempio "qualcosa che puoi fare" è una caratteristica personale, quindi classificato come "qualcosa che sei"; "qualcuno che conosci "significa che puoi presentare una prova di connessione a qualcuno - è" qualcosa che hai "!)
  • non fanno parte dell ' autenticazione , ma autorizzazione ( l'ora, la rete o la posizione fisica non dimostrano la tua identità, ma possono essere utilizzati per consentirti l'accesso o meno). Esempio classico con accesso all'ufficio solo durante l'orario d'ufficio: durante la notte la maggior parte di noi non perde la propria identità, semplicemente non ci è consentito accedere all'ufficio (ci sono ancora alcuni utenti esperti, che possono accedere all'ufficio 24 ore su 24, 7 giorni su 7 con la stessa autenticazione come durante il giorno, giusto?)
Ma i tre canonici non possono essere ridotti a 1. La tua impronta digitale è qualcosa che sei, ma posso tagliarti il ​​dito e diventa qualcosa che ho. La tua password è qualcosa che conosci, ma se la scrivi e io la rubo, è qualcosa che ho.
PwdRsch
2014-09-23 23:10:20 UTC
view on stackexchange narkive permalink

Anche se assegniamo gli autenticatori a tre categorie comuni, è importante tenere presente che queste categorie sono definite in modo piuttosto approssimativo. Le password sono normalmente considerate autenticatori "quello che sai", ma se le scrivi e fai riferimento al foglio invece che alla memoria, diventa un fattore "quello che hai"? Se un sistema esegue l'autenticazione utilizzando le dinamiche della tastiera per monitorare il ritmo e la velocità della tua digitazione, è quello che fa affidamento su "ciò che sei" o su "ciò che sai"? Ci può essere un ragionevole disaccordo quando si decide come classificare specifici autenticatori.

La posizione inizialmente sembra che potrebbe essere un quarto fattore, ma lo è davvero? Come fa un sistema a conoscere la tua posizione? Probabilmente si basa su coordinate o dati di indirizzo (fisici o IP) forniti da un dispositivo. Quei dati sono quindi "quello che sai" poiché qualcun altro con gli stessi dati può duplicare quel fattore sul proprio dispositivo? È "quello che hai" dal momento che il sistema si basa sull'affidabilità di un dispositivo per fornire dati legittimi? Dobbiamo decidere se la posizione è sufficientemente distinta da essere considerata la propria categoria di fattori indipendenti.

Penso che sia importante fare una distinzione su ciò che costituisce un fattore poiché utilizziamo termini come "autenticazione a più fattori "Per indicare i vantaggi di determinati sistemi. È multifattoriale se accedi a un sistema con una password da un indirizzo IP associato ad accessi passati? Se consideriamo la posizione un quarto fattore, la risposta è sì. Tuttavia, non ho visto molte persone definire questo come un sistema di autenticazione a più fattori.

Nel documento CASA: Context-Aware Scalable Authentication gli autori concordano sul fatto che i dati sulla posizione possono servire come fattore nel processo di autenticazione, ma specificatamente lo definiscono come un fattore "passivo". Distinguono tra fattori "passivi" e fattori "attivi" che richiedono l'interazione dell'utente (ad es. Password, scansioni di impronte digitali, ecc.). Questo sembra un buon modo per separare i veri fattori di autenticazione da altri dati che possono essere utilizzati per aiutare a prendere decisioni di autenticazione.

Secondo me i dati sulla posizione non dovrebbero essere considerati un quarto fattore, ma non impedisce che sia utile durante il processo di autenticazione.

Considererei la posizione come un attributo distinto se i meccanismi di verifica della posizione sono considerati sotto il controllo dell'agente responsabile dell'autenticazione. Se la porta di una stanza viene chiusa durante un periodo in cui i sensori di peso e movimento possono confermare che c'è solo una persona all'interno e qualcuno nella stanza compie due azioni, il fatto che entrambe le azioni siano state eseguite all'interno della stanza implica che tutto ciò che è conosciuto circa l'identità della persona che fa il primo vale anche per l'identità della persona che fa il secondo, e viceversa.
Anche se a una persona a caso fuori strada venisse chiesto di entrare nella stanza ed eseguire entrambe le azioni, si saprebbe che l'identità della persona che esegue la seconda azione corrisponderebbe a quella della persona che ha eseguito la prima. La persona non "saprebbe" né "avrebbe" niente. Suppongo che il fatto che la persona appaia ai sensori come un individuo anziché due potrebbe costituire un "qualcosa che è", ma sembrerebbe molto debole rispetto alla forza delle assicurazioni riguardanti l'identità del secondo attore.
John Deters
2014-09-23 20:57:29 UTC
view on stackexchange narkive permalink

Come ogni altra cosa relativa alla sicurezza, determinare dove ti trovi richiede fiducia. Se devi inserire il tuo PIN sulla tastiera 10 montata sulla porta della struttura protetta, come fai a sapere che la connessione di rete dal data center alla porta non è stata deviata a una tastiera PIN fasulla montata altrove? Come fai a sapere che non esiste un proxy che manipola le chiavi per conto di qualcun altro?

Oppure, per un esempio ampiamente utilizzato, considera che sono disponibili ( molte) app per iPhone che consentono all'utente di specificare una posizione di sua scelta ai servizi di localizzazione. Un semplice caso d'uso potrebbe essere che qualcuno finga di essere al lavoro mentre è effettivamente sul campo da golf. Tuttavia, potresti falsificare la tua posizione per qualificarti per vantaggi altrimenti limitati: immagina un e-book con un recinto virtuale che ne consenta la lettura solo all'interno di una biblioteca pubblica. E se ti affidassi al telefono per segnalare autonomamente la posizione al fine di eliminare la necessità di utilizzare un token sicuro, un utente malintenzionato potrebbe utilizzarlo per ridurre la sicurezza a qualcosa di più facilmente infranto.

Puoi certamente aggiungi la posizione a un sistema di sicurezza, ma devi anche prendere in considerazione misure per assicurarti che non venga sconfitto.

Sebbene questa risposta possa essere vera, non vedo davvero come risponda alla domanda se esiste una quarta classe di fattori di autenticazione. Ti interessa [modificare] per approfondire quella parte?
Stavo affrontando la sua ultima domanda di "posso usare * dove * qualcuno è come quarto fattore?"
Adam
2014-11-10 06:57:27 UTC
view on stackexchange narkive permalink

Il quarto fattore sarebbe qualcosa che l'individuo fa (biometria dinamica). Gli esempi includono il riconoscimento in base allo schema vocale, alle caratteristiche della scrittura e al ritmo di battitura.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...