Frage:
Vier-Faktor-Authentifizierung
rink.attendant.6
2014-09-23 19:52:33 UTC
view on stackexchange narkive permalink

Ich bin sicher, Sie haben alle von Zwei-Faktor- / Multi-Faktor-Authentifizierung gehört. Grundsätzlich kommt es auf folgende Faktoren an:

  • Wissen - etwas, das Sie kennen (z. B. Passwort, PIN, Muster)
  • Besitz - etwas, das Sie haben (z. B. Mobiltelefon, Kreditkarte) , Schlüssel)
  • Existenz - etwas, das Sie sind (z. B. Fingerabdruck)

Meine Frage lautet: Gibt es einen vierten Authentifizierungsfaktor?

Eine schnelle Suche bei Google brachte keine interessanten Ergebnisse außer einem Patentdokument, das ich nicht durchgelesen habe. Könnte irgendwo Sie als vierter Faktor angesehen werden?

Technisch gesehen ist "Existenz" eine Teilmenge von "Besitz". Sicher, es ist "in deinen Körper eingebettet", aber es ist immer noch "etwas, das du hast". Fingerabdruck? Sie können dir den Finger schneiden: Jetzt haben sie es.
@Lohoris Die Begriffe sind anfangs ziemlich unscharf - das gleiche gilt für das Passwort, es ist Besitz wie alles andere, was kopiert werden kann - vgl. [Gummischlauch-Kryptoanalyse] (http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis).
@Lohoris Nun, ich würde behaupten, eines der wichtigen Merkmale der Kategorie "etwas, das Sie haben" ist, dass Sie es zu Hause lassen können (oder in einem Safe, bei einem vertrauenswürdigen Freund usw.), wenn Sie es nicht brauchen es. In diesem Sinne würde ich die Existenz nicht als Teilmenge betrachten.
Mögliches Duplikat von [Wie viele Authentifizierungsfaktoren gibt es?] (http://security.stackexchange.com/questions/10434/how-many-authentication-factors-are-there)
@ThomasW. Da diese Frage weitaus umfassendere Antworten enthält, ist es besser, umgekehrt zu schließen.
Alte Frage, aber mir wurde klar, dass ein neuer Faktor aufgetaucht ist!Etwas, das du trägst.Ein bemerkenswertes Beispiel ist Apple Pay auf der Apple Watch.Wenn die Uhr entsperrt ist und die Person sie weiterhin trägt, kann sie tippen, um zu bezahlen.Wenn sie es jedoch abnehmen, verriegelt sich die Uhr und sie müssen die PIN erneut eingeben.
Sechs antworten:
Polynomial
2014-09-23 21:04:41 UTC
view on stackexchange narkive permalink

Wie Sie bemerkt haben, sind die drei wichtigsten:

  • Etwas, das Sie wissen
  • Etwas, das Sie haben
  • Etwas, das Sie sind

Ich würde argumentieren, dass es andere gibt:

  • Etwas, das Sie kann , z genaue Wiedergabe einer Signatur.
  • Etwas, das Sie ausstellen , z. ein bestimmtes Persönlichkeitsmerkmal oder sogar ein neurologisches Verhalten, das von einem fMRT gelesen werden könnte. Dies sind keine strengen "Are" -Funktionen, da sie flüssiger sind.
  • Jemand , den Sie kennen, z. Authentifizierung durch Vertrauenskette.
  • Irgendwo sind Sie (oder haben Zugriff darauf), z. Sperren einer Sitzung an eine IP oder Senden einer Bestätigungs-PIN an Ihre Adresse. Dieser ist etwas schwierig, da er als Authentifizierungsfaktor bezeichnet wird, aber es ist immer noch nützlich, ihn zu beachten.
Ich wollte das ** irgendwo ** hinzufügen, das du bist, aber nicht nur digital-physisch. Ähnlich wie bei Merkmalen, die Sie aufweisen, kann ein Algorithmus bei zweimaliger Authentifizierung an zwei verschiedenen Orten schnell feststellen, ob Sie sich an beiden Orten befinden - kombiniert mit anderen. Dies ist eine leistungsstarke Authentifizierung.
All dies ist Teil der ersten 3: * kann * ist so ziemlich * wissen * oder * haben *, vielleicht * sind *; * ausstellen * ist * haben *; * jemand * (Beziehung) ist * weiß * oder * hat *, * irgendwo * ist * hat *, maaaaybe * weiß *.
Sie scheinen "Authentifizierung" mit "Autorisierung" und einigen anderen zu verwechseln. Vertrauenskette ist keine Form der Authentifizierung, sondern der Mechanismus zur Verbreitung der Identität durch gegenseitiges Bürgen. Die ersten beiden sind, wie @trysis sagte, Teil der anderen Faktoren.
Ich mag "Irgendwo bist du" in Bezug auf physische Verkaufsstellen wie Benzinpumpen und Ihre Neigung, diese Tankstelle zu besuchen. Man könnte sogar ein zeitliches Stück hinzufügen, wie in Ihrem Timing-Muster bei Besuchen eine Variation des Kreditkartenalarmauslösers für den Test der gestohlenen Karte der Zapfsäule, gefolgt vom Kauf von Turnschuhen. Dies deutet darauf hin, dass Ihre Aktivität in Bezug auf Zeit und Ort möglicherweise auch funktioniert. +1 für unkonventionelles (langweiliges und eingeschränktes) Denken.
@trysis: Was Sie * wissen * könnten durchgesickert sein, was Sie * haben * könnten gestohlen werden, was Sie * tun * können, ist nicht so einfach nachzuahmen. Wenn Sie einen Schritt weiter gehen, könnten Sie argumentieren, dass es nur * have * gibt, denn im Internet spielt es keine Rolle, ob Sie das, was Sie * wissen *, manuell eingegeben oder von einem Gerät erhalten haben, das Sie * haben *.
Guter Punkt. Sogar was Sie * haben * und was Sie * sind *, ist durcheinander, weil das, was Sie * beweisen können * (was die Authentifizierung sowieso ist), durch * das Gerät, das Sie * haben, und dieses Gerät (oder besser Software darauf) begrenzt ist ) * im Wesentlichen * bist * du im Internet. Dann wird dies weiter eingeschränkt durch Entscheidungen, die Sie getroffen haben, Geld, das Sie verwendet haben, wer Ihre Eltern sind usw., also mit anderen Worten, * wer Sie * als Person sind.
Tolles Beispiel für "etwas, was Sie tun können": http://www.funnyjunk.com/funny_pictures/688935/Korean/
@AviD Wenn sich ein Nutzer über sein zugehöriges Google-Konto bei meinem Dienst anmeldet, wäre dies nicht ein Beispiel für die Idee der Authentifizierung durch eine Vertrauenskette? Ich verstehe das ursprünglich als Benutzername / Passwort "Etwas, das Sie wissen", aber für meine Website würde ich das nicht sehen, ich hätte nur die Behauptung von Google, dass diese Person so ist, wie sie sagt, dass sie ist.
Wenn Sie hinzufügen möchten, wer (Vertrauen), was (viele von ihnen), wie (etwas, das Sie tun können) und wo, sollten Sie die Liste wahrscheinlich mit wann (Sie können dies nur während der ___ Zeit tun) vervollständigen und eine finden Weg, um zu drücken, warum dort drin (vielleicht durch Persönlichkeitsmerkmale ausgeübt?)
@Blackhawk ja und nein - Google authentifiziert den Benutzer (z. B. über ein Passwort oder was auch immer). * Sie * authentifizieren den Nutzer * überhaupt nicht * - Sie verlassen sich nur auf die Behauptung von Google. Dies ist ein perfektes Beispiel dafür, warum ich sagte, dass "Vertrauenskette" eine Methode zum Teilen der Behauptung ist und kein Authentifizierungsfaktor.
paj28
2014-09-23 20:07:26 UTC
view on stackexchange narkive permalink

Absolut!

Irgendwo, wo Sie sich befinden ist in der Unternehmens-IT weit verbreitet. In vielen Umgebungen können Sie sich in einem Büronetzwerk nur mit einem Kennwort anmelden. Wenn Sie jedoch nicht im Büro sind, müssen Sie einen zusätzlichen Faktor verwenden, normalerweise ein Token.

The Die aktuelle Zeit ist wohl ein weiterer Authentifizierungsfaktor. Ein klassisches Beispiel ist eine zeitverzögerte Sicherheit. Bürotürausweise sind häufig nur zu bestimmten Tageszeiten gültig.

Kontaktierbarkeit wird manchmal als ein weiterer Faktor angesehen, z. Der Empfang eines Briefes an einer bekannten Adresse (oder einer E-Mail, eines Telefonanrufs) beweist die Identität. Obwohl dies normalerweise auf einen der bereits erwähnten Faktoren zurückzuführen ist, z. Wenn Sie einen Brief erhalten, haben Sie den Schlüssel zu dieser Adresse.

Wenn Sie mehr darüber nachdenken, stellen Sie fest, dass die Unterscheidung zwischen Faktoren ziemlich verschwommen ist - insbesondere zwischen "etwas, das Sie wissen" und "etwas, das Sie haben". . Wenn Sie ein Passwort aufschreiben, wird dieses Stück Papier zu "etwas, das Sie haben"? Sie erwähnen, dass ein Schlüssel "etwas ist, das Sie haben" - aber wenn ein Schlosser das Muster kennt, kann er einen neuen Schlüssel erstellen. Ein Schlüssel ist also wirklich "etwas, das Sie wissen".

Die Zeit ist kein Authentifizierungsfaktor. Es ist immer noch eine Sicherheitskontrolle, hat aber nichts mit der Authentifizierung selbst zu tun, da es keinen Beweis dafür liefert, dass etwas oder jemand * authentisch * ist.
@Polynomial, es hängt von einem Büro ab, dass die Zeit ein Authentifizierungsfaktor ist, da in normalen Bürozeiten oft davon ausgegangen werden kann, dass kein Mitarbeiter nicht in der Lage ist, an einem Computer zu sitzen. Alle Wetten sind jedoch außerhalb der normalen Geschäftszeiten im Büro.
Um fair zu Ihnen beiden zu sein, ist paj28 insofern richtig, als die Linien zu verschwimmen beginnen. YubiKey generiert beispielsweise eindeutige OTPs für die 2. Faktorauthentifizierung, von denen ein Teil einen Datums- / Zeitwert und einen inkrementellen Zähler enthält, um Wiederholungsangriffe zu verhindern.
@IanRingrose, Ich würde argumentieren, dass Ihr "irgendwo, wo Sie sind" und "Kontaktierbarkeit" miteinander verbunden sind, da beide bedeuten, dass Sie auf einen bestimmten Ort zugreifen können (das Büro oder die Adresse, an die die Post zugestellt wird). Von dort aus hängt die "Kontaktierbarkeit" von dem Faktor ab, den ein anderer Standort verwendet (für einen an Sie gesendeten Brief geht es zurück in den * Besitz * Ihres Hausschlüssels). In Ihrem Beispiel für Unternehmensnetzwerke fällt dies unter die Vertrauenskette von Polynomial, da jemand anderes Ihnen genug vertraut hat, um Sie in das Gebäude zu lassen. Daher geht es wieder auf den Faktor zurück, der dafür verwendet wird.
@Polynomial Wenn jemand behauptet, George Washington zu sein, würde die (heutige) Zeit eine solche Behauptung ungültig machen.
@user2813274 Außer, dass das Konto von George Washington lange geschlossen und gesperrt wäre und Ihr Beispiel in diesem Zusammenhang nichts mit Zeitsperren zu tun hat.
ioo
2014-09-24 01:35:36 UTC
view on stackexchange narkive permalink

Nein. Dort sind drei. Alle anderen hier erwähnten:

  • können auf eine der drei kanonischen reduziert werden (z. B. "etwas, das Sie tun können" ist ein persönliches Merkmal, das als "etwas, das Sie sind" klassifiziert wird; "jemand, den Sie kennen "bedeutet, dass Sie jemandem einen Verbindungsnachweis vorlegen können - das ist" etwas, das Sie haben "!)
  • sind nicht Teil der Authentifizierung , sondern der Autorisierung ( Zeit, Netzwerk oder physischer Standort beweisen Ihre Identität nicht, können jedoch verwendet werden, um Ihnen den Zugriff zu ermöglichen oder nicht. Klassisches Beispiel mit Bürozugriff nur während der Bürozeiten - während der Nacht verlieren die meisten von uns nicht ihre Identität, wir dürfen nur nicht auf das Büro zugreifen (es gibt immer noch einige Hauptbenutzer, die mit derselben Berechtigung rund um die Uhr auf das Büro zugreifen können wie tagsüber, oder?)
Aber können die kanonischen drei nicht auf 1 reduziert werden? Ihr Fingerabdruck ist etwas, das Sie sind, aber ich kann Ihren Finger abschneiden und es wird etwas, das ich habe. Ihr Passwort ist etwas, das Sie kennen, aber wenn Sie es aufschreiben und ich es stehle, habe ich es.
PwdRsch
2014-09-23 23:10:20 UTC
view on stackexchange narkive permalink

Während wir Authentifikatoren in drei allgemeine Kategorien einteilen, ist es wichtig zu beachten, dass diese Kategorien etwas lose definiert sind. Passwörter werden normalerweise als "Was Sie wissen" -Authentifikatoren betrachtet. Wenn Sie sie jedoch aufschreiben und sich auf das Papier anstatt auf den Speicher beziehen, wird es zu einem "Was Sie haben" -Faktor. Wenn sich ein System mithilfe der Tastaturdynamik zur Überwachung des Rhythmus und der Geschwindigkeit Ihrer Eingabe authentifiziert, hängt dies davon ab, was Sie sind oder was Sie wissen? Bei der Entscheidung, wie bestimmte Authentifikatoren klassifiziert werden sollen, kann es zu vernünftigen Meinungsverschiedenheiten kommen.

Der Standort scheint zunächst ein vierter Faktor zu sein, aber ist er es wirklich? Woher kennt ein System Ihren Standort? Es basiert wahrscheinlich auf Koordinaten oder Adressdaten (entweder physisch oder IP), die von einem Gerät bereitgestellt werden. Sind diese Daten dann "was Sie wissen", da jemand anderes mit denselben Daten diesen Faktor auf seinem eigenen Gerät duplizieren kann? Ist es das, was Sie haben, da das System auf die Vertrauenswürdigkeit eines Geräts angewiesen ist, um legitime Daten bereitzustellen? Wir müssen entscheiden, ob der Standort eindeutig genug ist, um als eigene unabhängige Faktorkategorie betrachtet zu werden.

Ich denke, es ist wichtig, zu unterscheiden, was einen Faktor ausmacht, da wir Begriffe wie „Multi-Faktor-Authentifizierung“ verwenden ”, Um die Vorteile bestimmter Systeme anzuzeigen. Ist es ein Multi-Faktor, wenn Sie sich mit einem Kennwort von einer IP-Adresse, die mit früheren Anmeldungen verknüpft ist, bei einem System anmelden? Wenn wir den Standort als vierten Faktor betrachten, lautet die Antwort ja. Ich habe jedoch nicht viele Leute gesehen, die dies als Multi-Faktor-Authentifizierungssystem charakterisieren.

In dem Artikel CASA: Context-Aware Scalable Authentication stimmen die Autoren darin überein, dass Standortdaten als Faktor für den Authentifizierungsprozess dienen können, sie jedoch speziell als „passiven“ Faktor definieren. Sie unterscheiden zwischen "passiven" Faktoren und "aktiven" Faktoren, die eine Benutzerinteraktion erfordern (z. B. Passwörter, Fingerabdruckscans usw.). Dies scheint eine gute Möglichkeit zu sein, echte Authentifizierungsfaktoren von anderen Daten zu trennen, die zur Entscheidungsfindung bei der Authentifizierung verwendet werden können.

Meiner Meinung nach sollten Standortdaten nicht als vierter Faktor betrachtet werden, aber das verhindert nicht, dass es während des Authentifizierungsprozesses nützlich ist.

Ich würde den Standort als eindeutiges Attribut betrachten, wenn die Mechanismen zur Überprüfung des Standorts unter der Kontrolle des für die Authentifizierung verantwortlichen Agenten stehen. Wenn die Tür zu einem Raum während einer Zeit geschlossen ist, in der Gewichts- und Bewegungssensoren bestätigen können, dass sich nur eine Person im Raum befindet und jemand im Raum zwei Aktionen ausführt, bedeutet die Tatsache, dass beide Aktionen im Raum ausgeführt wurden, dass alles, was ist Bekannt über die Identität der Person, die das erste tut, gilt dies auch für die Identität der Person, die das zweite tut, und umgekehrt.
Selbst wenn eine zufällige Person von der Straße gebeten würde, in den Raum zu gehen und beide Aktionen auszuführen, wäre bekannt, dass die Identität der Person, die die zweite Aktion ausführt, mit der der Person übereinstimmt, die die erste Aktion ausgeführt hat. Die Person würde nichts wirklich "wissen" oder "haben". Ich nehme an, dass die Tatsache, dass die Person den Sensoren als ein Individuum und nicht als zwei erscheint, ein "etwas, das er ist" darstellt, aber im Verhältnis zur Stärke der Zusicherungen hinsichtlich der Identität des zweiten Akteurs sehr schwach erscheint.
John Deters
2014-09-23 20:57:29 UTC
view on stackexchange narkive permalink

Wie alles andere, was mit Sicherheit zu tun hat, erfordert es Vertrauen, um festzustellen, wo Sie sich befinden. Wenn Sie Ihre PIN auf dem 10-Tastenfeld eingeben müssen, das an der Tür der sicheren Einrichtung angebracht ist, woher wissen Sie, dass die Netzwerkverbindung vom Rechenzentrum zur Tür nicht auf ein falsches PIN-Feld umgeleitet wurde, das an einer anderen Stelle angebracht ist? Woher wissen Sie, dass kein Proxy vorhanden ist, der die Schlüssel im Auftrag einer anderen Person manipuliert?

Oder denken Sie für ein weit verbreitetes Beispiel daran, dass ( viele) Apps für iPhones verfügbar sind, mit denen der Benutzer einen Ort seiner Wahl für Location Services angeben kann. Ein einfacher Anwendungsfall könnte sein, dass jemand vorgibt, bei der Arbeit zu sein, während er sich tatsächlich auf dem Golfplatz befindet. Sie könnten jedoch Ihren Standort fälschen, um sich für ansonsten eingeschränkte Vorteile zu qualifizieren: Stellen Sie sich ein E-Book mit einem Geofence vor, das es nur in einer öffentlichen Bibliothek lesen kann. Und wenn Sie sich darauf verlassen, dass das Telefon den Standort selbst meldet, um die Verwendung eines sicheren Tokens zu vermeiden, könnte ein Angreifer dies verwenden, um die Sicherheit auf etwas zu verschlechtern, das leichter beschädigt werden kann.

Sie können dies mit Sicherheit Fügen Sie einem Sicherheitssystem einen Standort hinzu, aber Sie müssen auch Maßnahmen in Betracht ziehen, um sicherzustellen, dass es nicht besiegt wird.

Obwohl diese Antwort wahr sein mag, sehe ich nicht wirklich, wie sie die Frage beantwortet, ob es eine vierte Klasse von Authentifizierungsfaktoren gibt. Möchten Sie diesen Teil näher erläutern?
Ich ging auf seine letzte Frage ein: "Kann ich * wo * jemand als vierten Faktor verwenden?"
Adam
2014-11-10 06:57:27 UTC
view on stackexchange narkive permalink

Der vierte Faktor wäre etwas, das die einzelnen hat , (dynamische Biometrie). Beispiele hierfür sind die Erkennung anhand des Sprachmusters, der Handschrift und des Tipprhythmus.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...