Es un software token válido segundo factor en multi-factor de seguridad?
https://stackoverflow.com/questions/72540
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estamos cambiando nuestro registro remoto-en el proceso de seguridad en mi lugar de trabajo, y nos preocupa que el nuevo sistema no hace uso de multi-factor authentication como la anterior lo hizo.(Que había estado utilizando claves RSA-llavero con mando a distancia, pero están siendo reemplazados debido a su coste.) El nuevo sistema es un anti-phishing de la imagen del sistema que se ha malentendido a ser una autenticación de dos factores del sistema.Ahora estamos explorando maneras de continuar proporcionando multi-factor de seguridad sin la emisión de los dispositivos de hardware a los usuarios.
Es posible escribir un software basado en token sistema a ser instalado en el Pc de los que constituiría un verdadero segundo factor en un multi-factor authentication sistema?Esto se consideraría "algo que el usuario tiene", o es simplemente otra forma de "algo que el usuario sabe"?
Editar: phreakre hace un buen punto acerca de las cookies.Por el bien de esta pregunta, se asume que las cookies se han descartado, ya que no son lo suficientemente seguros.
Solución
Yo diría que "no".No creo que usted puede conseguir realmente el "algo que tiene" parte de multi-factor authentication sin emitir algo que el usuario final puede realizar con ellos.Si "tienes" algo, lo que implica que puede ser perdido - no muchos usuarios pierden la totalidad de sus máquinas de escritorio.La seguridad de que "algo tiene", después de todo, proviene de las siguientes:
- te darías cuenta de que cuando no se tiene una clara indicación de seguridad ha sido comprometida
- solo 1 persona puede tener.Así que, si alguien no
Software de tokens no ofrecen las mismas garantías, y no iba en la buena conciencia de clase como algo que el usuario "ha".
Otros consejos
Aunque no estoy seguro de que es un "válido" segundo factor, muchos sitios web han sido el uso de este tipo de proceso por un tiempo:las cookies.Casi seguro, pero es el tipo de artículo que usted está describiendo.
En la medida en que con respecto a "algo que el usuario tiene" vs "algo que el usuario sabe", si es que algo de residente en el PC del usuario, como el fondo de la aplicación, proporcionando información cuando se le preguntó, pero no que el usuario tenga que hacer nada], me gustaría archivo en el apartado de "cosas que el usuario tiene".Si escribe una contraseña en algún campo y, a continuación, escribiendo otra contraseña para desbloquear la información que se almacena en su PC, entonces es "algo que el usuario sabe".
Con respecto a las soluciones comerciales por ahí que ya en existencia:Utilizamos un producto para windows llamado BigFix.Aunque es principalmente una configuración remota y el cumplimiento de producto, tenemos un módulo que funciona como parte de nuestro multi-factor de sistema para el control remoto de VPN de situaciones.
Un token de software es un segundo factor, pero probablemente no sea tan buena opción de elegir RSA fob.Si el equipo del usuario se ve comprometida, el atacante podría silencio copiar el token de software sin dejar ningún rastro de que ha sido robado (a diferencia de un RSA fob donde tendrían que tomar el llavero con mando a sí mismo, por lo que el usuario tiene la oportunidad de aviso de falta).
Estoy de acuerdo con @espacio libre que el de la imagen no es parte de la multi-factor de autenticación para el usuario.Afirma que la imagen es parte de la lucha anti-esquema de phishing.Creo que la imagen es en realidad una autenticación débil del sistema para el usuario.La imagen proporciona autenticación para el usuario que el sitio web es válida y no un falso sitio de phishing.
Es posible escribir un software basado en token sistema a ser instalado en el Pc de los que constituiría un verdadero segundo factor en un multi-factor authentication sistema?
El software basado en token de sonidos del sistema, como puede que desee investigar el protocolo Kerberos, http://en.wikipedia.org/wiki/Kerberos_(protocolo).No estoy seguro de si esto contaría como un multi-factor authentication, aunque.
Lo que usted describe es algo que el equipo tiene, no el usuario.Así que, supuestamente, puede (dependiendo de la aplicación) estar seguros de que es el equipo, pero no hay garantías de que el usuario...
Ahora, ya que estamos hablando de inicio de sesión remoto, tal vez la situación personal de los ordenadores portátiles?En cuyo caso, el portátil es algo que se tiene, y por supuesto la contraseña a ella como algo que usted sabe...Entonces todo lo que queda es lograr la aplicación, y que puede funcionar bien.
La seguridad es siempre sobre los trade-offs.Los tokens de Hardware puede ser más difícil de robar, pero no ofrecen protección contra la red basada en los ataques MITM.Si esto es una solución basada en la web (supongo que es, ya que usted está utilizando uno de la imagen basada en sistemas), usted debe considerar algo que ofrecer mutuo https autenticación.Luego de obtener la protección de los numerosos ataques DNS y conexión wi-fi gratuita basada en los ataques.
Usted puede encontrar más información aquí:http://www.wikidsystems.com/learn-more/technology/mutual_authentication y http://en.wikipedia.org/wiki/Mutual_authentication y aquí hay un tutorial sobre la configuración de la autenticación mutua para prevenir el phishing:http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.
La imagen basada en el sistema se lanzó como la autenticación mutua, que supongo que lo es, pero ya no se basa en la criptográficas de los directores, es bastante débil.Lo que para detener un MITM a partir de la presentación de la imagen demasiado?Es menos amigable para el usuario de la OMI también.
