Pro și contra de autentificare cu doi factori - securitatea informațiilor, cu doi factori
Svetlana Konyavska, candidat de Științe Filologice, SAPR OKB
Vă puteți imagina o situație în care o soluție fiabilă la întrebarea, de exemplu, privind accesul - suficient pentru a identifica, cu alte cuvinte, line-up. Așa că ne lipsește în apartament de prieteni, ajungand sa le cunosc prin „ochiul“ (ID - un aspect familiar).
Dacă identificați „ochi“ nu funcționează, atunci cere un alt ID - „Cine e acolo?“. Audierea, de exemplu, ca răspuns - „Poliția“, se poate lăsa imediat un străin (fără autentificare), și poate necesita o confirmare - arata documentul. Autentificarea (dovada de afiliere semn subiect), în acest caz, este necesar deoarece trebuie să conectăm semnul „polițist“ cu picioare reale înainte de omul ușii, care, în același mod ca și cea a unui vârcolac în uniformă, au un cap, picioare, și numele complet. Astfel, prezentarea de identificare - „polițist“, ca mijloc de autentificare - un document care să confirme obiectivul (fotografie, imprimare, precum și alte detalii) relația dintre subiect și atribut.
autentificare multifactoriale
autentificarea multifactorială numita autentificare, care utilizează diferite tipuri de caracteristici de autentificare 1.
Tipuri de caracteristici de autentificare și sunt numite factori de autentificare.
Acceptată furnizează următorii „factori“: „ceva ce știm“ (parola), „ceva ce intrinseci«(biometrie) și»ceva avem la dispoziție„(document sau obiect, caracterizat prin unele informații unice De obicei, acest factor este redus. la formularea unui „dispozitiv“, cu toate că această restricție nu este întotdeauna justificat).
Doi factori de autentificare, în conformitate cu astfel de concepte de sistem este de autentificare, care utilizează în același timp: parola dispozitivului +, + parola, datele biometrice sau datele biometrice + dispozitiv.
Ce argumente sunt de obicei date în favoarea unei astfel de autentificare, spre deosebire de un-factor?
Acest lucru este cu siguranță adevărat, dar este necesar să se încheie la acest Nefiabilitate „termen-odnofaktor“ autentificare, la toate?
Există și alte metode, cum ar fi semnătura digitală (EDS).
Indiferent de tipul de dispozitiv este format și care dispozitivul este verificat cu semnătură digitală, aceasta este doar o caracteristică. Asta înseamnă că metoda nu este de încredere?
Un alt argument mai puțin vulnerabil în favoarea unui (multi-factor) de autentificare cu doi factori este de a se asigura că mai mulți factori, cea mai mică probabilitatea de erori. Mai mult decât atât, ambele tipuri de erori - ca „coincidență“ și confirmă statutul, pe care utilizatorul nu are de fapt (accidental sau cu rea intenție, de exemplu, prin sortarea identificatori), și un eșec eronat pentru a confirma statutul juridic al oricărei defecțiuni.
Cantitatea și calitatea
Pentru autentificarea a fost într-adevăr de încredere, este important să nu numărul de tipuri de semne de cerințe și de calitate a mecanismului de implementare de interacțiune pe ambele părți - atât partea care este utilizatorul, și într-o parte situat la partea care se bazează.
În cazul în care baza de date de amprentă digitală este stocată pe hârtie în dulap, atunci caracteristica de autentificare biometrice va fi incomod și nesigure - foaia dorită poate fi pur și simplu retrasă. În mod similar, pot fi retrase (adăugat / distorsiuni) datele de utilizator de înregistrare dintr-o bază de date stocate în memoria PC-ului, și cât de mult ar exista factori implicați în procesul de autentificare, acesta nu va fi în măsură să crească nivelul de securitate.
Este important să ne gândim la întregul proces de autentificare într-un sistem dat, nu numai numărul de factori luați în considerare.
De exemplu, am conecta un dispozitiv T (primul factor) și introduceți parola (al doilea factor), iar procesorul PC compară acest „pachet“ cu datele din baza de date stocate în procesorul de același PC. Este destul de clar că acesta poate fi modificat de către baza de date, care să înlocuiască mecanismul de validare este distorsionat rezultatul acestui control, etc. Și toate acestea, indiferent dacă dispozitivul este unic și parola este corectă.
Dar poate fi destul de diferite. W dispozitiv de conectare, un utilizator cu un cod PIN este autentificat direct în aparat, procesor independent care compară un cod PIN stocat în memoria securizată de la procesorul modificarea Sh Sh apoi transmite datele către procesorul GIS autentificării instalate pe PC.
Rețineți că acest lucru nu este un cod PIN, iar datele generate și stocate direct în W, care nedostupny3 utilizator și apoi se autentifice utilizând W nu poate fi un substitut pentru prezentarea datelor din altă sursă.
Date GIS Procesorul este reconciliat cu baza stocată în GIS modificarea memoriei protejate (în loc de PC).
Cu acest algoritm, verificarea de autentificare are loc în etape: în primul rând prin „recunoscut“ dispozitiv de W, apoi dispozitivul W „recunoscut“ GIS. Toate controalele au loc într-un mediu de încredere, și toate datele critice sunt protejate de tehnologie.
În acest caz, „afară“ pentru utilizator, și apoi, și mai mult - doar „doi factor de autentificare“: utilizatorul se conectează dispozitivul (o dată) și îl introduce într-o anumită secvență de simboluri (două).
Deci, destul de previzibil, am ajuns la concluzia că ceea ce ei sunt - argumente pro și contra de autentificare cu doi factori. Minus - este riscul unei abordări formale, deoarece factorii care afectează fiabilitatea autentificarea nu este epuizată prin identificarea tipurilor de semne. Dar totul altceva - argumente pro.
Nick Komarov, director de marketing și compania de PR-comunicații Aladdin
În ciuda importanței încercării filologice și destul de succes pentru a explica lucruri complexe, într-un limbaj simplu, materialul lasă încă multe întrebări decât răspunsuri.
Nici un răspuns a fost cea mai importantă întrebare: Ce, de fapt, sunt acești factori? Esența oricărei protecție a complexității maxime a sarcinii atacator. Pentru fiecare factor, dacă parola, prezența unei chei sau a unei caracteristici biometrice, există un scenariu de compromis. Procedura de inregistrare utilizator, folosind doar un singur tip de proces de autentificare în factorii de autentificare pot fi vulnerabile. Combinația procedurii de autentificare, două sau mai multe tipuri de factori de autentificare oferă o mai mare securitate.
Din nou, fiabilitatea autentificarea prin utilizarea unui mecanism de semnătură digitală depinde în primul rând de metoda de stocare cheie semnătură privată. Dacă pe desktop-ul meu este o dischetă cu cheia privată stocată pe card, fiabilitatea acestei metode de autentificare cu un singur factor poate fi comparat doar cu opțiunea parola în sistemul de înregistrare.
1 Aici și mai jos, bazat pe conceptul definit în carte. Kurile AP Mamykin VP Asigurarea de afaceri de securitate a informațiilor. S. 291-294.
3 Ei nu au nevoie de ea și pentru că a implicat numai în interacțiunea dintre mijloace tehnice.