Ist eine Software einen gültigen zweiten Faktors in Multi-Faktor-Sicherheits-Token?
https://stackoverflow.com/questions/72540
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir ändern unsere Remote-Login-Sicherheitsprozess an meinem Arbeitsplatz, und wir sind besorgt darüber, dass das neue System nicht verwendet Multi-Faktor-Authentifizierung wie die alte tat. (Wir hatten gewesen RSA-Schlüssel-fobs verwenden, aber sie werden auf Kosten ersetzt durch.) Das neue System ist ein Anti-Phishing-Bildsystem, das falsch verstanden wurde ein Zwei-Faktor-Authentifizierungssystem zu sein. Wir untersuchen nun Möglichkeiten, Multi-Faktor-Sicherheit weiterhin die Bereitstellung ohne die Benutzer Hardware-Geräte ausgegeben wird.
Ist es möglich, ein Software-basierte Token-System zu schreiben, auf der Benutzer-PC installiert werden, die einen echten zweiten Faktor in einem Multi-Faktor-Authentifizierungssystem darstellen würde? Würde dies in Betracht gezogen werden „etwas hat der Benutzer“, oder wäre es einfach eine andere Form sein „etwas, was der Benutzer weiß“?
Edit: phreakre macht einen guten Punkt über Cookies. Im Interesse dieser Frage annimmt, dass Cookies ausgeschlossen wurde, da sie nicht sicher genug sind.
Lösung
Ich würde sagen „nein“. Ich glaube nicht, dass Sie wirklich die „etwas, das Sie haben“ bekommen kann ein Teil der Multi-Faktor-Authentifizierung ohne mit ihnen tragen kann etwas der Endbenutzer ausgibt. Wenn Sie etwas „haben“, bedeutet dies, sie verloren gehen kann - nicht viele Benutzer verlieren ihre gesamten Desktop-Maschinen. Die Sicherheit von „etwas, das man hat“, immerhin kommt die folgenden Optionen:
- Sie würden feststellen, wenn Sie es nicht haben - ein klarer Hinweis Sicherheit kompromittiert wurde
- nur 1 Person kann es haben. Also, wenn Sie das tun, jemand anderes tut nicht
Software-Token bieten nicht die gleichen Garantien, und ich würde es als etwas der Benutzer nicht mit gutem Gewissen Klasse „hat“.
Andere Tipps
Während ich bin nicht sicher, es ist ein „gültig“ zweiter Faktor, haben viele Websites für eine Weile gewesen, diese Art von Verfahren: Cookies. Kaum sichern, aber es ist die Art von Nachricht, die Sie beschreiben.
Sofern „etwas, das der Benutzer hat“, wie er in Bezug auf vs „etwas, was der Benutzer weiß“, wenn es etwas resident auf dem Benutzer-PC ist [wie ein Hintergrund App Informationen offen zu legen, aber nicht die Nutzer zwingen, etwas zu tun], würde ich Datei unter „Dinge der Benutzer hat“. Wenn sie ein Passwort in ein Feld eingeben und dann ein anderes Passwort eingeben, die Informationen entsperren Sie auf ihrem PC speichern, dann ist es „etwas, was der Benutzer weiß“.
Im Hinblick auf die kommerziellen Lösungen gibt bereits bestanden: Wir verwenden ein Produkt für Fenster namens BigFix. Während es in erster Linie eine Remote-Konfiguration und Compliance-Produkt ist, haben wir ein Modul für die es für die Fern / VPN Situationen im Rahmen unserer Multi-Faktor-System funktioniert.
Eine Software-Token ist ein zweiter Faktor, aber es ist wahrscheinlich nicht so gute Wahl eine Wahl als RSA fob. Wenn der Computer des Benutzers wird den Angreifer kompromittiert leise die Software-Token ohne Spuren kopieren könnte es gestohlen worden ist (im Gegensatz zu einem RSA fob, wo sie die fob nehmen haben würden sich, so hat der Benutzer die Möglichkeit, zu bemerken, es fehlt).
Ich bin mit @freespace, dass die das Bild nicht Teil der Multi-Faktor-Authentifizierung für den Benutzer ist. Wie Sie das Bild angeben, ist ein Teil des Anti-Phishing-Schemas. Ich denke, dass das Bild tatsächlich eine schwache Authentifizierung des Systems für den Benutzer ist. Das Bild stellt die Authentifizierung für den Benutzer, dass die Website gültig ist und nicht eine gefälschte Phishing-Seite.
Ist es möglich, ein Software-basierte Token-System zu schreiben, auf der Benutzer-PC installiert werden, die einen echten zweiten Faktor in einem Multi-Faktor-Authentifizierungssystem darstellen würde?
Die Software-basierte Token-System klingt wie Sie das Kerberos-Protokoll untersuchen möchten, http: //en.wikipedia.org/wiki/Kerberos_(protocol) . Ich bin nicht sicher, ob dies als Multi-Faktor-Authentifizierung zählen würde, wenn.
Was Sie beschreiben, ist etwas, das Computer hat, nicht der Benutzer. So kann man angeblich (je nach Ausführung) sicher sein, dass es der Computer ist, aber keine Sicherheit in Bezug auf die Benutzer ...
Jetzt, da wir über Remote-Login sprechen sind, vielleicht ist die Situation persönliche Laptops? In diesem Fall der Laptop ist das etwas, das Sie haben, und natürlich das Passwort, um es als etwas, das Sie wissen ... all dann ist die sichere Implementierung bleibt, und das kann gut funktionieren.
Die Sicherheit ist immer über Kompromisse. Hardware-Token können schwieriger zu stehlen, aber sie bieten keinen Schutz vor netzwerkbasierten MITM-Angriffen. Wenn dies eine web-basierte Lösung ist (ich nehme an es ist, da Sie eine der bildbasierten Systemen verwendet wird), sollten Sie etwas, das bieten die gegenseitige https-Authentifizierung in Betracht ziehen. Dann erhalten Sie Schutz vor den zahlreichen DNS-Angriffen und Wi-Fi-basierte Angriffe.
Sie können mehr erfahren Sie hier: http://www.wikidsystems.com/learn-more/technology/mutual_authentication und http://en.wikipedia.org/wiki/Mutual_authentication und hier ist ein Tutorial über die gegenseitige Authentifizierung einrichten, um Phishing zu verhindern: http://www.howtoforge.net/prevent_phishing_with_mutual_authentication .
Das bildbasierte System wird als gegenseitige Authentifizierung aufgeschlagen, was ich denke, es ist, aber da es nicht auf kryptographische Prinzipien basiert, es ist ziemlich schwach. Was ist von der Vorlage des Bildes zu einem MITM zu stoppen? Es ist weniger als benutzerfreundlich IMO zu.
