È un token software un valido secondo fattore multi-fattore di protezione?
https://stackoverflow.com/questions/72540
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Stiamo cambiando il nostro registro remoto-nel processo di protezione al mio posto di lavoro, e siamo preoccupati che il nuovo sistema non fa uso di l'autenticazione multi-factor come la vecchia.(Stiamo utilizzando chiave RSA-fobs, ma vengono sostituiti a causa del costo.) Il nuovo sistema è un anti-phishing immagine di sistema che è stato frainteso da una autenticazione a due fattori del sistema.Stiamo esplorando modi per continuare a fornire multi-fattore di sicurezza senza l'emissione di dispositivi hardware per gli utenti.
È possibile scrivere un software basato su sistema token per essere installato sul Pc dell'utente che potrebbe costituire un vero secondo fattore in un multi-factor authentication system?Questo sarebbe considerato "qualcosa che l'utente possiede", oppure potrebbe essere semplicemente un'altra forma di "qualcosa che l'utente conosce"?
Edit: phreakre rende un buon punto sui cookie.Per il bene di questa domanda, si supponga che i cookie sono state escluse in quanto non sono abbastanza sicuro.
Soluzione
Mi verrebbe da dire "no".Non credo che si può ottenere "qualcosa" la parte di autenticazione multi-factor senza l'emissione di qualcosa che l'utente finale può portare con sé.Se si "hanno" qualcosa, non implica che non può essere persa, che non molti utenti perdono la loro intera macchine desktop.La sicurezza di "qualcosa", dopo tutto, viene dal seguente:
- si nota quando non hai una chiara indicazione di sicurezza è stata compromessa
- solo 1 persona può avere.Quindi, se si fa, qualcun altro non
I token Software non offre le stesse garanzie, ed io non posso in buona coscienza di classe come qualcosa che l'utente "ha".
Altri suggerimenti
Mentre io non sono sicuro che sia un "valido" secondo fattore, molti siti web sono state usando questo tipo di processo per un po':i cookie.Quasi sicuro, ma non è il tipo di elemento che si sta descrivendo.
Nella misura in cui in materia di "qualcosa che l'utente ha" vs "qualcosa che l'utente conosce", se si tratta di qualcosa residente sul PC dell'utente [come sfondo app che fornisce informazioni quando è stato chiesto, ma non richiedono all'utente di fare qualsiasi cosa], vorrei file nella sezione "cose che l'utente ha".Se si digita una password in qualche campo e quindi digitare una password per sbloccare le informazioni da memorizzare sul proprio PC, quindi è "qualcosa che l'utente conosce".
Per quanto riguarda le soluzioni commerciali già esistenti:Usiamo un prodotto per windows chiamato BigFix.Mentre è principalmente una configurazione remota e la conformità del prodotto, abbiamo un modulo che funziona come parte del nostro multi-fattore di sistema remoto e VPN di situazioni.
Un token software è un secondo fattore, ma probabilmente non è una buona scelta a scelta come RSA fob.Se il computer dell'utente è compromessa, l'utente malintenzionato potrebbe silenziosamente copiare il software token senza lasciare traccia è stato rubato (a differenza di una RSA fob dove avrebbero dovuto prendere il telecomando stesso, in modo che l'utente ha la possibilità di notare è mancante).
Sono d'accordo con @freespace che l'immagine non è parte di una multi-fattore di autenticazione per l'utente.Come è stato l'immagine fa parte di anti-schema di phishing.Penso che l'immagine è in realtà una autenticazione debole del sistema per l'utente.L'immagine fornisce l'autenticazione per l'utente che il sito è valido e non un falso sito di phishing.
È possibile scrivere un software basato su sistema token per essere installato sul Pc dell'utente che potrebbe costituire un vero secondo fattore in un multi-factor authentication system?
Il software basato su token suoni di sistema, come si potrebbe desiderare di indagare il protocollo Kerberos, http://en.wikipedia.org/wiki/Kerberos_(protocollo).Io non sono sicuro se questo potrebbe valere come una autenticazione multi-fattore, però.
Quello che stai descrivendo è qualcosa che il computer ha, non l'utente.Così si può presumibilmente (a seconda di attuazione) essere certi che è il computer, ma nessuna certezza per quanto riguarda l'utente...
Ora, poiché stiamo parlando di un login remoto, forse la situazione è di personal computer portatili?In questo caso, il portatile è qualcosa di cui si dispone e, naturalmente, la password ad esso come qualcosa che si sa...Quindi tutto ciò che rimane è sicuro di attuazione, e che può funzionare bene.
La sicurezza è sempre la trade-off.I token Hardware può essere più difficile da rubare, ma essi non offrono alcuna protezione contro la rete basata su attacchi MITM.Se questa è una soluzione web-based (suppongo che sia, dal momento che si sta utilizzando uno di image-based systems), si dovrebbe prendere in considerazione qualcosa che offrono reciproco https autenticazione.Quindi si ottiene la protezione dai numerosi attacchi DNS e internet wi-fi gratuita a base di attacchi.
Potete trovare ulteriori informazioni qui:http://www.wikidsystems.com/learn-more/technology/mutual_authentication e http://en.wikipedia.org/wiki/Mutual_authentication e qui c'è un tutorial su come impostare l'autenticazione reciproca per prevenire il phishing:http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.
L'immagine-sistema di base è lanciato come l'autenticazione reciproca, di cui credo di si, ma dal momento che non si basa su principi di crittografia, è piuttosto debole.Cosa fare per impedire a un MITM da presentare l'immagine troppo?È meno user-friendly IMO troppo.
