Multi-faktor autentificering

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 20. november 2019; checks kræver 11 redigeringer .

Multi-factor authentication ( MFA , engelsk multi-factor authentication , MFA ) - avanceret godkendelse , en metode til at kontrollere adgang til noget ( computer , websted og så videre), hvor brugeren skal fremvise mere end ét "bevis for godkendelsesmekanismen " for at få adgang til information .

Kategorier af sådanne beviser omfatter:

Viden er information, som forsøgspersonen kender. For eksempel adgangskode , PIN-kode , kode , kontrolord og så videre.
Besiddelse er en ting, som subjektet besidder. For eksempel et elektronisk eller magnetisk kort, token, flash-hukommelse.
En ejendom, som en enhed har. For eksempel biometri, naturlige unikke forskelle: ansigt, fingeraftryk (papillære mønstre), iris, DNA-sekvens.

Godkendelsesfaktorer

Hovedartikel: Autentificering

Allerede før fremkomsten af computere blev forskellige karakteristiske træk ved emnet, dets egenskaber, brugt. Nu afhænger brugen af en eller anden egenskab i systemet af den nødvendige pålidelighed, sikkerhed og omkostninger ved implementering. Der er tre godkendelsesfaktorer:

Videnfaktoren: noget vi ved er et kodeord . Dette er hemmelige oplysninger, som kun en autoriseret forsøgsperson bør have. Adgangskoden kan være et taleord, et tekstord, en kombination til en lås eller et personligt identifikationsnummer ( PIN ). Adgangskodemekanismen kan implementeres ganske let og har en lav pris. Det har dog betydelige ulemper: det er ofte svært at holde adgangskoden hemmelig, angribere kommer hele tiden på nye måder at stjæle, knække og gætte adgangskoden på (se banditkryptanalyse , brute force-metoden ). Dette gør adgangskodemekanismen svagt sikker. Mange hemmelige spørgsmål, såsom "Hvor blev du født?", er elementære eksempler på vidensfaktoren, fordi de kan kendes af en bred gruppe mennesker eller forskes i.
Ejerskabsfaktor: Det, vi har, er en godkendelsesenhed . Her er omstændighederne omkring subjektets besiddelse af en eller anden unik genstand vigtig. Det kan være et personligt segl, en nøgle til en lås , for en computer er det en datafil, der indeholder en egenskab. Funktionen er ofte indbygget i en specifik godkendelsesenhed, såsom et plastikkort , smartkort . Det er sværere for en angriber at få fat i sådan en enhed end at knække en adgangskode, og forsøgspersonen kan straks melde fra, hvis enheden bliver stjålet. Dette gør denne metode mere sikker end adgangskodemekanismen, men omkostningerne ved et sådant system er højere.
Featurefaktor: noget, der er en del af os - biometri . En karakteristik er et fysisk træk ved et emne. Det kan være et portræt, et fingeraftryk eller håndfladeaftryk , en stemme eller et træk ved øjet . Fra emnets synspunkt er denne metode den enkleste: du behøver ikke at huske adgangskoden eller have en godkendelsesenhed med dig. Det biometriske system skal dog være meget følsomt for at bekræfte en autoriseret bruger, men afvise en angriber med lignende biometriske parametre. Også omkostningerne ved et sådant system er ret høje. Men på trods af dens mangler er biometri stadig en ret lovende faktor.

Sikkerhed

Ifølge eksperter reducerer multi-faktor autentificering drastisk muligheden for online identitetstyveri, da det ikke er nok at kende ofrets adgangskode til at begå bedrageri. Mange multi-faktor-godkendelsestilgange er dog fortsat sårbare over for phishing , mand-i-browseren og mand-i- midten-angreb .

Hovedartikel: Autentificering

Når man vælger en eller anden faktor eller metode til autentificering af systemet, er det først og fremmest nødvendigt at bygge videre på den nødvendige grad af sikkerhed, omkostningerne ved at bygge systemet og sikre emnets mobilitet.

Her er en sammenligningstabel:

Risikoniveau	Systemkrav	Autentificeringsteknologi	Anvendelseseksempler
Kort	Der kræves godkendelse for at få adgang til systemet, og tyveri, hacking, videregivelse af fortrolige oplysninger vil ikke have væsentlige konsekvenser	Det anbefalede minimumskrav er brugen af genbrugelige adgangskoder.	Tilmelding på portalen på internettet
Gennemsnit	Autentificering er påkrævet for at få adgang til systemet, og tyveri, hacking, videregivelse af fortrolige oplysninger vil kun forårsage ringe skade	Det anbefalede minimumskrav er brugen af engangsadgangskoder	Udførelse af banktransaktioner af faget
Høj	Der kræves godkendelse for at få adgang til systemet, og tyveri, hacking, videregivelse af fortrolige oplysninger vil forårsage betydelig skade	Anbefalet minimumskrav - Brug multifaktorgodkendelse	Udførelse af større interbanktransaktioner af ledelsespersonalet

Lovgivning og regulering

Payment Card Industry (PCI) datasikkerhedsstandard, krav 8.3, kræver brug af en MFA for al ekstern fjernnetværksadgang til Card Data Environment (CDE). [1] Fra og med PCI-DSS version 3.2 er brugen af MFA påkrævet for enhver administrativ adgang til CDE, selvom brugeren er på et betroet netværk.

To-faktor-godkendelse

To-faktor-godkendelse ( DFA , engelsk to-faktor-godkendelse , også kendt som to-trins verifikation ) er en type multi-faktor-godkendelse. DFA er en teknologi, der giver brugeridentifikation gennem en kombination af to forskellige komponenter.

Eksempler på to-faktor-godkendelse er Google- og Microsoft -autorisation . Når en bruger logger på fra en ny enhed, udover brugernavn-adgangskode-godkendelse, bliver de bedt om at indtaste en sekscifret (Google) eller ottecifret (Microsoft) bekræftelseskode. Abonnenten kan modtage det via SMS , ved hjælp af et taleopkald til sin telefon, bekræftelseskoden kan tages fra et prækompileret register af engangskoder, eller et nyt engangskodeord kan kort sagt genereres af autentificeringsapplikationen perioder . Metoden vælges i henholdsvis Google- eller Microsoft-kontoindstillingerne.

Fordelen ved to-faktor-godkendelse via en mobilenhed:

Ingen yderligere tokens er nødvendige , fordi den mobile enhed altid er ved hånden.
Bekræftelseskoden ændrer sig konstant, hvilket er mere sikkert end en en-faktor login-adgangskode.

Ulemper ved to-faktor-godkendelse via en mobilenhed:

Mobiltelefonen skal fange netværket, når der sker autentificering, ellers når beskeden med adgangskoden simpelthen ikke frem.
Det er nødvendigt at oplyse et mobiltelefonnummer, som for eksempel kan forårsage spam i fremtiden.
Tekstbeskeder (SMS), som, når de modtages af en mobiltelefon, kan opsnappes [2] [3] .
Tekstbeskeder ankommer med en vis forsinkelse, da det tager noget tid at godkende.
Moderne smartphones bruges til at modtage både mail og SMS. Som regel er e-mail på en mobiltelefon altid tændt. Således kan alle konti, hvor mail er nøglen, hackes (den første faktor). Mobil enhed (anden faktor). Konklusion: smartphonen blander to faktorer til én.

Nu giver mange store tjenester, såsom Microsoft, Google, Dropbox, Facebook, allerede muligheden for at bruge to-faktor-godkendelse. Og for dem alle kan du bruge et enkelt autentificeringsprogram , der opfylder visse standarder, såsom Google Authenticator, Microsoft Authenticator, Authy eller FreeOTP.

Praktisk implementering

Mange multifaktorgodkendelsesprodukter kræver, at brugeren har klientsoftware, for at multifaktorautentificeringssystemet kan fungere. Nogle udviklere har oprettet separate installationspakker til netværkslogin, webadgangsoplysninger og VPN-forbindelse. For at bruge et token eller et smart card med disse produkter skal du installere fire eller fem specielle softwarepakker på din pc. Disse kan være versionskontrolpakker eller pakker til at kontrollere for konflikter med forretningsapplikationer. Hvis adgang kan ske ved hjælp af websider, så er der ingen uventede omkostninger. Med andre multi-faktor autentificeringssoftwareløsninger, såsom "virtuelle" tokens eller nogle hardwaretokens, kan ingen af softwaren installeres af direkte brugere.

Multifaktorgodkendelse er ikke standardiseret. Der er forskellige former for dens gennemførelse. Derfor ligger problemet i dens evne til at interagere. Der er mange processer og aspekter, der skal tages i betragtning, når man vælger, udvikler, tester, implementerer og vedligeholder et komplet sikkerhedsidentitetsstyringssystem, herunder alle relevante autentificeringsmekanismer og relaterede teknologier: disse er alle beskrevet af Brent Williams i sammenhæng med "Identity". Livscyklus" [1]

Multi-faktor autentificering har en række ulemper, der forhindrer dens distribution. Især er det svært for en person, der ikke forstår dette område, at følge udviklingen af hardware-tokens eller USB-nøgler. Mange brugere er ikke i stand til selv at installere certificeret klientsoftware, fordi de ikke har de relevante tekniske færdigheder. Generelt kræver multifaktorløsninger yderligere installations- og driftsomkostninger. Mange hardwarekomplekser baseret på tokens er patenterede, og nogle udviklere opkræver brugere et årligt gebyr. Fra et logistisk synspunkt er det svært at placere hardware-tokens, da de kan blive beskadiget eller mistet. Udstedelse af tokens i store organisationer som banker og andre store virksomheder bør reguleres. Udover omkostningerne ved installation af multifaktorautentificering betales der også et betydeligt beløb til vedligeholdelse. I 2008 gennemførte den store medie-ressource Credit Union Journal en undersøgelse blandt mere end 120 amerikanske kreditforeninger. Formålet med undersøgelsen er at vise vedligeholdelsesomkostningerne forbundet med to-faktor autentificering. Til sidst viste det sig, at softwarecertificering og adgang til værktøjslinjen har de højeste omkostninger.

Patenter

I 2013 hævdede Dotcom, Kim at have opfundet to-faktor autentificering patenteret i 2000, [4] og truede kort med at sagsøge alle større webtjenester. Den Europæiske Patentmyndighed tilbagekaldte dog hans patent [5] i lyset af et tidligere amerikansk patent fra 1998, som AT&T havde. [6]

Se også

Noter

↑ Officielt websted for PCI Security Standards Council - Bekræft PCI-overensstemmelse, download datasikkerhed og kreditkortsikkerhedsstandarder . www.pcisecuritystandards.org . Hentet 25. juli 2016. Arkiveret fra originalen 27. december 2021. (ubestemt)
↑ NIST forbereder sig på at udfase SMS-baserede login-sikkerhedskoder. Tiden er ved at løbe ud til denne populære onlinesikkerhedsteknik (engelsk) , Fortune (26. juli 2016). Arkiveret fra originalen den 20. april 2018. Hentet 13. august 2016. "På grund af risikoen for, at SMS-beskeder kan blive opsnappet eller omdirigeret, bør implementere af nye systemer nøje overveje alternative godkendelsesmidler," NIST.
↑ Durov annoncerede involveringen af særlige tjenester i at hacke oppositionens Telegram . RosBusinessConsulting (2. maj 2016, 20:18). - "... fredag aften slukkede MTS' teknologiske sikkerhedsafdeling SMS-leveringstjenesten for ham (Oleg Kozlovsky), hvorefter 15 minutter senere en person fra Unix-konsollen på IP-adressen på en af Tor anonymizer-serverne sendte det til Telegram-anmodning om godkendelse af en ny enhed med Kozlovskys telefonnummer. Han fik tilsendt en sms med en kode, der ikke blev leveret, fordi tjenesten var deaktiveret for ham. Angriberen indtastede derefter en autorisationskode og fik adgang til aktivistens Telegram-konto. ”Hovedspørgsmålet er, hvordan ukendte personer fik adgang til koden, der blev sendt på sms, men ikke leveret. Desværre har jeg kun én version: gennem SORM-systemet eller direkte gennem MTS tekniske sikkerhedsafdeling (for eksempel ved et opkald fra de "kompetente myndigheder")," understregede aktivisten. Hentet 11. maj 2017. Arkiveret fra originalen 17. juni 2018. (Russisk)
↑ Schmitz, Kim, "Method for authorizing in data transmission systems", US 6078908
↑ Brodkin, Jon Kim Dotcom hævder, at han opfandt to-faktor-autentificering - men han var ikke den første (html). Ars Technica (23. maj 2013). Hentet 25. juli 2019. Arkiveret fra originalen 9. juli 2019. (ubestemt)
↑ Blonder, et al., "Transaction Authorization and Alert System", US 5708422