Un jeton logiciel est-il un second facteur valable dans la sécurité multi-facteurs?

Question

Nous sommes en train de modifier notre processus de sécurité de connexion à distance sur mon lieu de travail et nous craignons que le nouveau système n'utilise pas authentification multifactorielle à l’instar de l’ancienne. (Nous utilisions des porte-clés RSA, mais ils ont été remplacés en raison de leur coût.) Le nouveau système est un système d'image anti-phishing qui a été mal compris comme étant un système d'authentification à deux facteurs. Nous explorons maintenant les moyens de continuer à fournir une sécurité multi-facteurs sans attribuer de périphériques matériels aux utilisateurs.

Est-il possible d'écrire un système de jetons logiciel à installer sur les ordinateurs de l'utilisateur, qui constituerait un véritable deuxième facteur dans un système d'authentification à plusieurs facteurs? Cela serait-il considéré comme "quelque chose que l'utilisateur possède", ou s'agirait-il simplement d'une autre forme de "quelque chose que l'utilisateur connaît"?

Modifier: phreakre insiste sur les cookies. Pour répondre à cette question, supposons que les cookies aient été exclus car ils ne sont pas suffisamment sécurisés.

Answer 1

Je dirais "non". Je ne pense pas que vous puissiez vraiment obtenir le "quelque chose que vous avez". partie de l’authentification multi-facteurs sans émettre quelque chose que l’utilisateur final peut emporter avec eux. Si vous avez " ont " quelque chose, cela implique que cela peut être perdu - peu d'utilisateurs perdent leurs ordinateurs de bureau entiers. La sécurité de "quelque chose que vous avez", après tout, provient de ce qui suit:

• vous remarquerez que vous ne l'avez pas - une indication claire que la sécurité a été compromise
• 1 personne seulement peut l'avoir. Donc, si vous le faites, quelqu'un d'autre ne

Les jetons logiciels n'offrent pas les mêmes garanties et je ne le qualifierais pas, en toute conscience, à quelque chose que l'utilisateur "a".

Answer 2

Bien que je ne sois pas sûr que ce soit un "valide" Deuxièmement, de nombreux sites Web utilisent ce type de processus depuis un certain temps: les cookies. À peine sécurisé, mais c'est le type d'élément que vous décrivez.

En ce qui concerne " quelque chose que l'utilisateur a " vs "quelque chose que l’utilisateur sait", s’il s’agit de quelque chose qui réside sur le PC de l’utilisateur [comme une application d’arrière-plan fournissant des informations lorsque demandé mais ne demandant pas à l’utilisateur de faire quoi que ce soit], je le classerais sous "ce que l’utilisateur a". S'ils tapent un mot de passe dans un champ puis saisissent un autre mot de passe pour déverrouiller les informations que vous stockez sur leur PC, c'est alors "quelque chose que l'utilisateur sait".

En ce qui concerne les solutions commerciales existantes: nous utilisons un produit pour fenêtres appelé BigFix. Bien qu’il s’agisse avant tout d’un produit de configuration et de conformité à distance, nous avons un module qui fonctionne dans le cadre de notre système multi-facteurs pour les situations à distance / VPN.

Answer 3

Un jeton logiciel est un deuxième facteur, mais ce n’est probablement pas un choix aussi judicieux qu’un fob RSA. Si l'ordinateur de l'utilisateur est compromis, l'attaquant peut copier en mode silencieux le jeton logiciel sans laisser aucune trace de son vol (contrairement à un fob RSA où il devrait prendre le fob lui-même, afin que l'utilisateur puisse le remarquer manquant).

Answer 4

Je conviens avec @freespace que l'image ne fait pas partie de l'authentification multifacteur pour l'utilisateur. Comme vous le dites, l'image fait partie du système anti-phishing. Je pense que l'image est en réalité une authentification faible du système auprès de l'utilisateur. L’image garantit à l’utilisateur que le site Web est valide et non un faux site de phishing.

  

Est-il possible d'écrire un système de jetons logiciel à installer sur les ordinateurs de l'utilisateur, qui constituerait un véritable deuxième facteur dans un système d'authentification à plusieurs facteurs?

Le système de jetons basé sur le logiciel donne l’impression que vous souhaitiez étudier le protocole Kerberos, http: //en.wikipedia.org/wiki/Kerberos_(protocol) . Je ne sais pas si cela compterait comme une authentification multi-facteurs, cependant.

Answer 5

Ce que vous décrivez est un élément de l'ordinateur et non de l'utilisateur. Donc, vous pouvez supposément (selon l’implémentation) être assuré que c’est l’ordinateur, mais pas d’assurance quant à l’utilisateur ...

Maintenant, puisque nous parlons de connexion à distance, peut-être que la situation est celle des ordinateurs portables personnels? Dans ce cas, l'ordinateur portable est ce que vous avez et bien sûr, le mot de passe correspondant est connu de tous les autres ... Il ne reste alors qu'une mise en œuvre sécurisée, qui peut fonctionner correctement.

Answer 6

La sécurité est toujours une question de compromis. Les jetons matériels peuvent être plus difficiles à voler, mais ils n'offrent aucune protection contre les attaques MITM basées sur le réseau. S'il s'agit d'une solution Web (je suppose que c'est le cas, puisque vous utilisez l'un des systèmes à base d'images), vous devez envisager une solution offrant une authentification mutuelle https. Ensuite, vous bénéficiez d'une protection contre les nombreuses attaques DNS et les attaques basées sur le wi-fi.

Vous pouvez en savoir plus ici: http://www.wikidsystems.com/learn-more/technology/mutual_authentication et http://en.wikipedia.org/wiki/Mutual_authentication et voici un tutoriel sur la configuration de l'authentification mutuelle afin d'éviter le phishing: http://www.howtoforge.net/prevent_phishing_with_mutual_authentication .

Le système à base d'image est présenté comme une authentification mutuelle, ce qui, je suppose, est vrai, mais comme il n'est pas basé sur des principes cryptographiques, il est plutôt faible. Qu'est-ce qui empêche un MITM de présenter l'image également? C’est également moins que l’OMI conviviale.