Является ли программный токен допустимым вторым фактором многофакторной безопасности?
https://stackoverflow.com/questions/72540
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мы меняем наш процесс безопасности удаленного входа в систему на моем рабочем месте и обеспокоены тем, что новая система не использует многофакторная аутентификация как это делал прежний.(Мы использовали брелоки RSA, но их заменяют из-за дороговизны.) Новая система представляет собой систему защиты изображений от фишинга, которая была неправильно понята как система двухфакторной аутентификации.Сейчас мы изучаем способы дальнейшего обеспечения многофакторной безопасности без предоставления пользователям аппаратных устройств.
Возможно ли написать программную систему токенов для установки на ПК пользователя, которая была бы настоящим вторым фактором в системе многофакторной аутентификации?Будет ли это считаться "чем-то, что есть у пользователя", или это будет просто другая форма "чего-то, что пользователь знает"?
Редактировать: фрикр это хорошее замечание о файлах cookie.Исходя из этого вопроса, предположим, что файлы cookie были исключены, поскольку они недостаточно безопасны.
Решение
Я бы сказал "нет".Я не думаю, что вы действительно можете получить "то, что у вас есть" в рамках многофакторной аутентификации, не выдавая ничего, что конечный пользователь может унести с собой.Если у вас что-то "есть", это подразумевает, что это может быть потеряно - не многие пользователи теряют все свои настольные компьютеры целиком.В конце концов, безопасность "того, что у вас есть", проистекает из следующего:
- вы бы заметили, если бы у вас его не было - явный признак того, что безопасность была нарушена
- он может быть только у 1 человека.Так что, если вы это сделаете, кто-то другой этого не сделает
Программные токены не предлагают таких гарантий, и я бы с чистой совестью не стал классифицировать их как нечто, что пользователь "имеет".
Другие советы
Хотя я не уверен, что это "действительный" второй фактор, многие веб-сайты уже некоторое время используют этот тип процесса:файлы cookie.Вряд ли это безопасно, но это именно тот тип товара, который вы описываете.
Что касается "чего-то, что есть у пользователя" или "чего-то, что пользователь знает", если это что-то постоянное на КОМПЬЮТЕРЕ пользователя [например, фоновое приложение, предоставляющее информацию по запросу, но не требующее от пользователя каких-либо действий], я бы подал это в раздел "что есть у пользователя".Если они вводят пароль в какое-то поле, а затем вводят другой пароль, чтобы разблокировать информацию, которую вы храните на их компьютере, то это "то, что пользователь знает".
Что касается коммерческих решений, которые уже существуют:Мы используем продукт для Windows под названием BigFix.Хотя это в первую очередь продукт для удаленной настройки и обеспечения соответствия требованиям, у нас есть модуль для него, который работает как часть нашей многофакторной системы для удаленных ситуаций / VPN.
Программный токен - это второй фактор, но он, вероятно, не такой хороший выбор, как брелок RSA.Если компьютер пользователя скомпрометирован, злоумышленник может незаметно скопировать программный токен, не оставляя никаких следов того, что он был украден (в отличие от брелока RSA, где им пришлось бы забрать сам брелок, чтобы у пользователя был шанс заметить его отсутствие).
Я согласен с @freespace в том, что изображение не является частью многофакторной аутентификации для пользователя.Как вы утверждаете, изображение является частью антифишинговой схемы.Я думаю, что изображение на самом деле является слабой аутентификацией системы для пользователя.Изображение обеспечивает пользователю подтверждение того, что веб-сайт является действительным, а не поддельным фишинговым сайтом.
Возможно ли написать программную систему токенов для установки на ПК пользователя, которая была бы настоящим вторым фактором в системе многофакторной аутентификации?
Программная система токенов звучит так, будто вы, возможно, захотите изучить протокол Kerberos, http://en.wikipedia.org/wiki/Kerberos_(protocol).Однако я не уверен, будет ли это считаться многофакторной аутентификацией.
То, что вы описываете, - это нечто такое, что компьютер имеет, а не пользователь.Таким образом, вы предположительно можете (в зависимости от реализации) быть уверены, что это компьютер, но никакой уверенности в отношении пользователя...
Теперь, поскольку мы говорим об удаленном входе в систему, возможно, речь идет о персональных ноутбуках?В таком случае, ноутбук это то, что у вас есть, и, конечно, пароль к нему как к чему-то, что вы знаете...Тогда все, что остается, - это безопасная реализация, и это может работать нормально.
Безопасность - это всегда компромиссы.Аппаратные токены, возможно, сложнее украсть, но они не обеспечивают защиты от сетевых MITM-атак.Если это веб-решение (я предполагаю, что это так, поскольку вы используете одну из систем на основе изображений), вам следует рассмотреть что-то, предлагающее взаимную аутентификацию https.Тогда вы получаете защиту от многочисленных DNS-атак и атак на основе Wi-Fi.
Вы можете узнать больше здесь:http://www.wikidsystems.com/learn-more/technology/mutual_authentication и http://en.wikipedia.org/wiki/Mutual_authentication а вот руководство по настройке взаимной аутентификации для предотвращения фишинга:http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.
Система, основанная на изображениях, представлена как взаимная аутентификация, что, я думаю, так и есть, но поскольку она не основана на криптографических принципах, она довольно слабая.Что помешает MITM тоже представить изображение?Это тоже не очень удобно для пользователя IMO.
