Während wir Authentifikatoren in drei allgemeine Kategorien einteilen, ist es wichtig zu beachten, dass diese Kategorien etwas lose definiert sind. Passwörter werden normalerweise als "Was Sie wissen" -Authentifikatoren betrachtet. Wenn Sie sie jedoch aufschreiben und sich auf das Papier anstatt auf den Speicher beziehen, wird es zu einem "Was Sie haben" -Faktor. Wenn sich ein System mithilfe der Tastaturdynamik zur Überwachung des Rhythmus und der Geschwindigkeit Ihrer Eingabe authentifiziert, hängt dies davon ab, was Sie sind oder was Sie wissen? Bei der Entscheidung, wie bestimmte Authentifikatoren klassifiziert werden sollen, kann es zu vernünftigen Meinungsverschiedenheiten kommen.
Der Standort scheint zunächst ein vierter Faktor zu sein, aber ist er es wirklich? Woher kennt ein System Ihren Standort? Es basiert wahrscheinlich auf Koordinaten oder Adressdaten (entweder physisch oder IP), die von einem Gerät bereitgestellt werden. Sind diese Daten dann "was Sie wissen", da jemand anderes mit denselben Daten diesen Faktor auf seinem eigenen Gerät duplizieren kann? Ist es das, was Sie haben, da das System auf die Vertrauenswürdigkeit eines Geräts angewiesen ist, um legitime Daten bereitzustellen? Wir müssen entscheiden, ob der Standort eindeutig genug ist, um als eigene unabhängige Faktorkategorie betrachtet zu werden.
Ich denke, es ist wichtig, zu unterscheiden, was einen Faktor ausmacht, da wir Begriffe wie „Multi-Faktor-Authentifizierung“ verwenden ”, Um die Vorteile bestimmter Systeme anzuzeigen. Ist es ein Multi-Faktor, wenn Sie sich mit einem Kennwort von einer IP-Adresse, die mit früheren Anmeldungen verknüpft ist, bei einem System anmelden? Wenn wir den Standort als vierten Faktor betrachten, lautet die Antwort ja. Ich habe jedoch nicht viele Leute gesehen, die dies als Multi-Faktor-Authentifizierungssystem charakterisieren.
In dem Artikel CASA: Context-Aware Scalable Authentication stimmen die Autoren darin überein, dass Standortdaten als Faktor für den Authentifizierungsprozess dienen können, sie jedoch speziell als „passiven“ Faktor definieren. Sie unterscheiden zwischen "passiven" Faktoren und "aktiven" Faktoren, die eine Benutzerinteraktion erfordern (z. B. Passwörter, Fingerabdruckscans usw.). Dies scheint eine gute Möglichkeit zu sein, echte Authentifizierungsfaktoren von anderen Daten zu trennen, die zur Entscheidungsfindung bei der Authentifizierung verwendet werden können.
Meiner Meinung nach sollten Standortdaten nicht als vierter Faktor betrachtet werden, aber das verhindert nicht, dass es während des Authentifizierungsprozesses nützlich ist.