소프트웨어 토큰은 다단계 보안의 유효한 두 번째 요소입니까?

Question

직장에서 원격 로그인 보안 프로세스를 변경하고 있는데, 새 시스템에서 보안을 사용하지 않는 것이 걱정됩니다. 다단계 인증 예전처럼.(저희는 RSA 열쇠고리를 사용하고 있었는데 비용 문제로 교체하고 있습니다.) 새로운 시스템은 이중 인증 시스템으로 오해되었던 피싱 방지 이미지 시스템입니다.우리는 현재 사용자에게 하드웨어 장치를 발급하지 않고 계속해서 다단계 보안을 제공할 수 있는 방법을 모색하고 있습니다.

다중 요소 인증 시스템에서 진정한 두 번째 요소를 구성하는 소프트웨어 기반 토큰 시스템을 작성하여 사용자 PC에 설치할 수 있습니까?이것이 "사용자가 가지고 있는 것"으로 간주됩니까, 아니면 단순히 "사용자가 알고 있는 것"의 또 다른 형태입니까?

편집하다: 괴물 쿠키에 대해 좋은 점을 지적합니다.이 질문에 대해 쿠키는 충분히 안전하지 않기 때문에 제외되었다고 가정합니다.

Answer 1

나는 "아니요"라고 말할 것입니다.최종 사용자가 가지고 다닐 수 있는 것을 발행하지 않고서는 다중 요소 인증의 "당신이 가지고 있는 것" 부분을 실제로 얻을 수 없다고 생각합니다.무언가를 "가지고 있다"는 것은 그것이 손실될 수 있음을 의미합니다. 전체 데스크톱 컴퓨터를 잃는 사용자는 많지 않습니다.결국 "당신이 가지고 있는 것"의 보안은 다음에서 비롯됩니다.

• 당신은 그것을 가지고 있지 않을 때 알게 될 것입니다 - 보안이 손상되었다는 명확한 표시
• 1명만 가질 수 있어요.그러니 당신이 그렇게 해도 다른 사람은 그렇지 않습니다.

소프트웨어 토큰은 동일한 보장을 제공하지 않으며, 나는 이를 사용자가 "가지고 있는" 것으로 분류하지 않을 것입니다.

Answer 2

이것이 "유효한" 두 번째 요소인지는 확실하지 않지만 많은 웹사이트에서는 한동안 이러한 유형의 프로세스를 사용해 왔습니다.쿠키.거의 안전하지 않지만 설명하는 항목 유형입니다.

"사용자가 가지고 있는 것"과 "사용자가 알고 있는 것"에 관해, 그것이 사용자 PC에 상주하는 것(예: 요청 시 정보를 제공하지만 사용자에게 아무것도 요구하지 않는 백그라운드 앱)이라면 아래에 파일을 보관할 것입니다. "사용자가 가지고 있는 것".어떤 필드에 암호를 입력한 다음 다른 암호를 입력하여 PC에 저장되어 있는 정보의 잠금을 해제하는 경우 이는 "사용자가 알고 있는 것"입니다.

이미 존재하는 상용 솔루션과 관련하여:우리는 BigFix라는 Windows용 제품을 사용합니다.기본적으로 원격 구성 및 규정 준수 제품이지만 원격/VPN 상황을 위한 다중 요소 시스템의 일부로 작동하는 모듈이 있습니다.

Answer 3

소프트웨어 토큰은 두 번째 요소이지만 아마도 RSA 전자시계만큼 좋은 선택은 아닐 것입니다.사용자의 컴퓨터가 손상된 경우 공격자는 도난당한 흔적을 남기지 않고 소프트웨어 토큰을 자동으로 복사할 수 있습니다. (RSA 전자시계와 달리 전자시계 자체를 가져가야 하므로 사용자는 전자시계가 없어진 것을 알 수 있습니다.)

Answer 4

이미지가 사용자에 대한 다단계 인증의 일부가 아니라는 @freespace의 의견에 동의합니다.말씀하신 대로 이미지는 피싱 방지 계획의 일부입니다.이미지는 실제로 사용자에 대한 시스템의 약한 인증이라고 생각합니다.이미지는 사용자에게 해당 웹사이트가 유효하고 가짜 피싱 사이트가 아니라는 인증을 제공합니다.

다중 요소 인증 시스템에서 진정한 두 번째 요소를 구성하는 소프트웨어 기반 토큰 시스템을 작성하여 사용자 PC에 설치할 수 있습니까?

소프트웨어 기반 토큰 시스템은 Kerberos 프로토콜을 조사하고 싶은 것처럼 들립니다. http://en.wikipedia.org/wiki/Kerberos_(프로토콜).하지만 이것이 다단계 인증으로 간주되는지는 확실하지 않습니다.

Answer 5

당신이 묘사하는 것은 뭔가입니다 컴퓨터 사용자가 아닙니다.따라서 (구현에 따라) 그것이 컴퓨터라는 것을 확신할 수 있지만 사용자에 대해서는 확신할 수 없습니다...

자, 원격 로그인에 대해 이야기하고 있으니 아마도 개인용 노트북이 아닐까요?어떤 경우에는, 노트북 당신이 가지고 있는 것이고, 물론 그것에 대한 비밀번호도 당신이 알고 있는 것입니다...그러면 남은 것은 안전한 구현뿐이며 이는 제대로 작동할 수 있습니다.

Answer 6

보안은 항상 절충에 관한 것입니다.하드웨어 토큰은 훔치기가 더 어려울 수 있지만 네트워크 기반 MITM 공격에 대한 보호 기능을 제공하지 않습니다.이것이 웹 기반 솔루션이라면(이미지 기반 시스템 중 하나를 사용하고 있기 때문에 그렇다고 가정합니다) 상호 https 인증을 제공하는 것을 고려해야 합니다.그러면 수많은 DNS 공격과 Wi-Fi 기반 공격으로부터 보호받을 수 있습니다.

여기에서 자세한 내용을 확인할 수 있습니다.http://www.wikidsystems.com/learn-more/technology/mutual_authentication그리고http://en.wikipedia.org/wiki/Mutual_authentication피싱을 방지하기 위해 상호 인증을 설정하는 방법은 다음과 같습니다.http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.

이미지 기반 시스템은 상호 인증을 내세우고 있는 것 같은데, 암호화 원리를 기반으로 하지 않기 때문에 꽤 취약합니다.MITM이 이미지를 표시하는 것을 막는 방법은 무엇입니까?사용자 친화적인 IMO도 아닙니다.