Multi-faktor autentisering

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 20 november 2019; kontroller kräver 11 redigeringar .

Multi-factor authentication ( MFA , engelsk multi-factor authentication , MFA ) - avancerad autentisering , en metod för att kontrollera åtkomst till något ( dator , webbplats och så vidare) där användaren måste presentera mer än ett "bevis på autentiseringsmekanismen" " för att få tillgång till information .

Kategorier av sådana bevis inkluderar:

Kunskap är information som försökspersonen känner till. Till exempel lösenord , PIN-kod , kod , kontrollord och så vidare.
Besittning är en sak som subjektet besitter. Till exempel ett elektroniskt eller magnetiskt kort, token, flashminne.
En egenskap som en enhet har. Till exempel biometri, naturliga unika skillnader: ansikte, fingeravtryck (papillära mönster), iris, DNA-sekvens.

Autentiseringsfaktorer

Huvudartikel: Autentisering

Redan före tillkomsten av datorer användes olika särdrag hos ämnet, dess egenskaper. Nu beror användningen av en eller annan egenskap i systemet på den erforderliga tillförlitligheten, säkerheten och kostnaden för implementering. Det finns tre autentiseringsfaktorer:

Kunskapsfaktorn: något vi vet är ett lösenord . Detta är hemlig information som endast en auktoriserad försöksperson ska ha. Lösenordet kan vara ett talord, ett textord, en kombination för ett lås eller ett personligt identifieringsnummer ( PIN ). Lösenordsmekanismen kan implementeras ganska enkelt och har en låg kostnad. Det har dock betydande nackdelar: det är ofta svårt att hålla lösenordet hemligt, angripare kommer hela tiden på nya sätt att stjäla, knäcka och gissa lösenordet (se bandit cryptanalysis , brute force method ). Detta gör lösenordsmekanismen svagt säker. Många hemliga frågor, som "Var föddes du?", är elementära exempel på kunskapsfaktorn eftersom de kan vara kända för en bred grupp människor eller forskas i.
Ägarskapsfaktor: Det vi har är en autentiseringsenhet . Här är omständigheten att subjektet äger något unikt föremål viktig. Det kan vara ett personligt sigill, en nyckel till ett lås , för en dator är det en datafil som innehåller en egenskap. Funktionen är ofta inbyggd i en specifik autentiseringsenhet, till exempel ett plastkort , smartkort . Det är svårare för en angripare att få tag i en sådan enhet än att knäcka ett lösenord, och försökspersonen kan omedelbart rapportera om enheten blir stulen. Detta gör denna metod säkrare än lösenordsmekanismen, men kostnaden för ett sådant system är högre.
Funktionsfaktor: något som är en del av oss - biometri . En egenskap är en fysisk egenskap hos ett ämne. Det kan vara ett porträtt, ett fingeravtryck eller en handflata , en röst eller ett särdrag i ögat . Ur ämnets synvinkel är denna metod den enklaste: du behöver inte komma ihåg lösenordet eller ha med dig en autentiseringsenhet. Det biometriska systemet måste dock vara mycket känsligt för att bekräfta en auktoriserad användare, men avvisa en angripare med liknande biometriska parametrar. Dessutom är kostnaden för ett sådant system ganska hög. Men trots sina brister är biometri fortfarande en ganska lovande faktor.

Säkerhet

Enligt experter minskar multifaktorautentisering drastiskt risken för identitetsstöld online, eftersom det inte räcker att känna till offrets lösenord för att begå bedrägeri. Men många flerfaktorsautentiseringsmetoder är fortfarande sårbara för nätfiske , man-i-webbläsaren och man-i- mitt-attacker .

Huvudartikel: Autentisering

När man väljer en eller annan faktor eller metod för autentisering för systemet är det först och främst nödvändigt att bygga på den erforderliga graden av säkerhet, kostnaden för att bygga systemet och säkerställa ämnets rörlighet.

Här är en jämförelsetabell:

Risknivå	Systemkrav	Autentiseringsteknik	Applikationsexempel
Kort	Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer inte att få betydande konsekvenser	Det rekommenderade minimikravet är användningen av återanvändbara lösenord.	Registrering på portalen på Internet
Medel	Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer att orsaka liten skada	Det rekommenderade minimikravet är användningen av engångslösenord	Att bedriva bankverksamhet av ämnet
Hög	Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer att orsaka betydande skada	Rekommenderat minimikrav - Använd multifaktorautentisering	Utföra större interbanktransaktioner av ledningspersonalen

Lagstiftning och reglering

Payment Card Industry (PCI) Datasäkerhetsstandard, krav 8.3, kräver användning av en MFA för all fjärrnätverksåtkomst utanför nätverket till Card Data Environment (CDE). [1] Från och med PCI-DSS version 3.2 krävs användning av MFA för all administrativ åtkomst till CDE, även om användaren är på ett pålitligt nätverk.

Tvåfaktorsautentisering

Tvåfaktorsautentisering ( DFA , engelsk tvåfaktorsautentisering , även känd som tvåstegsverifiering ) är en typ av multifaktorautentisering. DFA är en teknik som ger användaridentifiering genom en kombination av två olika komponenter.

Exempel på tvåfaktorsautentisering är Google- och Microsoft -auktorisering . När en användare loggar in från en ny enhet, utöver autentisering av användarnamn och lösenord, uppmanas de att ange en sexsiffrig (Google) eller åttasiffrig (Microsoft) verifieringskod. Abonnenten kan ta emot det via SMS , med hjälp av ett röstsamtal till sin telefon, bekräftelsekoden kan hämtas från ett förkompilerat register av engångskoder, eller ett nytt engångslösenord kan kort och gott genereras av autentiseringsapplikationen tidsperioder . Metoden väljs i Google- respektive Microsoft-kontoinställningarna.

Fördelen med tvåfaktorsautentisering via en mobil enhet:

Inga ytterligare tokens behövs eftersom den mobila enheten alltid finns till hands.
Bekräftelsekoden ändras ständigt, vilket är säkrare än ett enfaktors inloggningslösenord.

Nackdelar med tvåfaktorsautentisering via en mobil enhet:

Mobiltelefonen måste fånga upp nätverket när autentisering sker, annars kommer meddelandet med lösenordet helt enkelt inte fram.
Det är nödvändigt att ange ett mobilnummer, vilket till exempel kan orsaka skräppost i framtiden.
Textmeddelanden (SMS), som när de tas emot av en mobiltelefon kan avlyssnas [2] [3] .
SMS kommer med viss fördröjning eftersom det tar lite tid att autentisera.
Moderna smartphones används för att ta emot både post och SMS. Som regel är e-post på en mobiltelefon alltid på. Därmed kan alla konton där e-post är nyckeln hackas (den första faktorn). Mobil enhet (andra faktorn). Slutsats: smartphonen blandar två faktorer till en.

Nu ger många stora tjänster, som Microsoft, Google, Dropbox, Facebook, redan möjligheten att använda tvåfaktorsautentisering. Och för dem alla kan du använda ett enda autentiseringsprogram som uppfyller vissa standarder, som Google Authenticator, Microsoft Authenticator, Authy eller FreeOTP.

Praktisk implementering

Många multifaktorautentiseringsprodukter kräver att användaren har klientprogramvara för att multifaktorautentiseringssystemet ska fungera. Vissa utvecklare har skapat separata installationspaket för nätverksinloggning, webbåtkomstuppgifter och VPN-anslutning. För att använda en token eller ett smartkort med dessa produkter måste du installera fyra eller fem speciella programvarupaket på din PC. Dessa kan vara versionskontrollpaket eller paket för att leta efter konflikter med affärsapplikationer. Om åtkomst kan göras med hjälp av webbsidor finns det inga oväntade kostnader. Med andra programvarulösningar för multifaktorautentisering, såsom "virtuella" tokens eller vissa hårdvarutokens, kan ingen av mjukvaran installeras av direkta användare.

Multifaktorautentisering är inte standardiserad. Det finns olika former av dess genomförande. Därför ligger problemet i dess förmåga att interagera. Det finns många processer och aspekter som måste beaktas när man väljer, utvecklar, testar, implementerar och underhåller ett komplett säkerhetsidentitetshanteringssystem, inklusive alla relevanta autentiseringsmekanismer och relaterade teknologier: dessa beskrivs alla av Brent Williams i sammanhanget "Identity" Livscykel" [1]

Flerfaktorsautentisering har ett antal nackdelar som förhindrar distributionen. I synnerhet är det svårt för en person som inte förstår detta område att följa utvecklingen av hårdvarutokens eller USB-nycklar. Många användare kan inte själva installera certifierad klientprogramvara eftersom de inte har lämpliga tekniska kunskaper. I allmänhet kräver multifaktorlösningar ytterligare installations- och driftskostnader. Många hårdvarukomplex baserade på tokens är patenterade, och vissa utvecklare tar ut en årlig avgift för användare. Ur logistisk synvinkel är det svårt att placera hårdvarutokens, eftersom de kan skadas eller gå förlorade. Utgivning av tokens i stora organisationer som banker och andra stora företag bör regleras. Utöver kostnaden för att installera multifaktorautentisering betalas även en betydande summa för underhåll. Under 2008 genomförde den stora mediaresursen Credit Union Journal en undersökning bland mer än 120 amerikanska kreditföreningar. Syftet med undersökningen är att visa underhållskostnaden förknippad med tvåfaktorsautentisering. Till slut visade det sig att programvarucertifiering och tillgång till verktygsfältet har den högsta kostnaden.

Patent

2013 hävdade Dotcom, Kim att han uppfann tvåfaktorsautentisering som patenterades 2000, [4] och hotade kort med att stämma alla större webbtjänster. Emellertid återkallade Europeiska patentverket hans patent [5] i ljuset av ett tidigare amerikanskt patent från 1998 som innehas av AT&T. [6]

Se även

Anteckningar

↑ Officiell webbplats för PCI Security Standards Council - Verifiera PCI-efterlevnad, ladda ner datasäkerhet och kreditkortssäkerhetsstandarder . www.pcisecuritystandards.org . Hämtad 25 juli 2016. Arkiverad från originalet 27 december 2021. (obestämd)
↑ NIST förbereder sig för att fasa ut SMS-baserade säkerhetskoder för inloggning. Tiden rinner ut för denna populära onlinesäkerhetsteknik (engelska) , Fortune (26 juli 2016). Arkiverad från originalet den 20 april 2018. Hämtad 13 augusti 2016. "På grund av risken att SMS-meddelanden kan fångas upp eller omdirigeras bör implementerare av nya system noggrant överväga alternativa autentiseringsanordningar," NIST.
↑ Durov tillkännagav inblandning av specialtjänster i att hacka oppositionens telegram . RosBusinessConsulting (2 maj 2016, 20:18). - "... på fredagskvällen stängde MTS tekniska säkerhetsavdelning av SMS-leveranstjänsten för honom (Oleg Kozlovsky), varefter, 15 minuter senare, någon från Unix-konsolen på IP-adressen på en av Tor anonymizer-servrarna skickade den till Telegrams begäran om auktorisering av en ny enhet med Kozlovskys telefonnummer. Han fick ett sms med en kod som inte levererades eftersom tjänsten var inaktiverad för honom. Angriparen skrev sedan in en auktoriseringskod och fick tillgång till aktivistens Telegram-konto. ”Huvudfrågan är hur okända personer fick tillgång till koden som skickats med SMS, men som inte levererats. Tyvärr har jag bara en version: genom SORM-systemet eller direkt via MTS tekniska säkerhetsavdelning (till exempel genom ett samtal från de "behöriga myndigheterna")", betonade aktivisten. Hämtad 11 maj 2017. Arkiverad från originalet 17 juni 2018. (ryska)
↑ Schmitz, Kim, "Metod för auktorisering i dataöverföringssystem", US 6078908
↑ Brodkin, Jon Kim Dotcom hävdar att han uppfann tvåfaktorsautentisering – men han var inte först (html). Ars Technica (23 maj 2013). Hämtad 25 juli 2019. Arkiverad från originalet 9 juli 2019. (obestämd)
↑ Blonder et al., "Transaction Authorization and Alert System", US 5708422

Länkar

Eric Grosse, Mayank Upadhyay, Autentisering i skala. IEEE Security and Privacy, januari/februari 2013 , IEEE Computer and Reliability Societies. (Engelsk)
DRAFT NIST Special Publication 800-63B. Riktlinjer för digital autentisering. Autentisering och livscykelhantering // NIST, 2016 (eng.)
Multi-faktor autentisering i enkla ord