Többtényezős hitelesítés

Többtényezős hitelesítés ( MFA , angolul  többtényezős hitelesítés , MFA ) - fejlett hitelesítés , a valamihez ( számítógéphez , webhelyhez stb.) való hozzáférés szabályozásának módszere, amelyben a felhasználónak egynél több bizonyítékot kell bemutatnia a hitelesítési mechanizmusról " hogy hozzáférjen az információkhoz .

Az ilyen bizonyítékok kategóriái a következők:

• A tudás olyan információ, amelyet az alany ismer. Például jelszó , PIN kód , kód , vezérlőszó és így tovább.
• A birtoklás az alany által birtokolt dolog. Például egy elektronikus vagy mágneses kártya, token, flash memória.
• Olyan ingatlan, amellyel egy entitás rendelkezik. Például biometrikus adatok, természetes egyedi különbségek: arc, ujjlenyomatok (papilláris minták), írisz, DNS-szekvencia.

Hitelesítési tényezők

Fő cikk: Hitelesítés

Már a számítógépek megjelenése előtt is használták a téma különféle jellegzetességeit, jellemzőit. Most a rendszer egyik vagy másik jellemzőjének használata a szükséges megbízhatóságtól, biztonságtól és a megvalósítás költségétől függ. Három hitelesítési tényező létezik:

• A tudástényező: valami, amit tudunk, az a jelszó . Ez olyan titkos információ, amellyel csak az arra jogosult alany rendelkezhet. A jelszó lehet beszédszó, szövegszó, zár kombinációja vagy személyi azonosító szám ( PIN ). A jelszómechanizmus meglehetősen egyszerűen megvalósítható és alacsony költséggel jár. Ennek azonban vannak jelentős hátrányai: sokszor nehéz titokban tartani a jelszót, a támadók folyamatosan új módszerekkel rukkolnak elő a jelszó ellopására, feltörésére és kitalálására (lásd bandita cryptanalysis , brute force method ). Ez gyengén biztonságossá teszi a jelszómechanizmust. Sok titkos kérdés, mint például a „Hol születtél?”, a tudásfaktor elemi példája, mert széles körben megismerhetik vagy kutathatók.
• Tulajdonosi tényező: Van egy hitelesítő eszközünk . Itt fontos az a körülmény, hogy az alany valamilyen egyedi tárgyat birtokol. Ez lehet személyes pecsét, zár kulcsa , számítógép számára jellemzőt tartalmazó adatállomány. A funkció gyakran egy adott hitelesítési eszközbe van beépítve, például műanyag kártyába , intelligens kártyába . A támadónak nehezebb egy ilyen eszközhöz jutni, mint feltörni egy jelszót, és az alany azonnal jelentheti, ha az eszközt ellopták. Ez biztonságosabbá teszi ezt a módszert, mint a jelszómechanizmust, de egy ilyen rendszer költsége magasabb.
• Jellemző tényező: valami, ami a mi részünk – biometrikus adatok . A jellemző az alany fizikai jellemzője. Ez lehet portré, ujjlenyomat vagy tenyérlenyomat , hang vagy a szem jellemzője . A téma szempontjából ez a módszer a legegyszerűbb: nem kell emlékeznie a jelszóra, és nem kell magával vinnie hitelesítő eszközt. A biometrikus rendszernek azonban nagyon érzékenynek kell lennie ahhoz, hogy megerősítse a jogosult felhasználót, de visszautasítsa a hasonló biometrikus paraméterekkel rendelkező támadókat. Ezenkívül egy ilyen rendszer költsége meglehetősen magas. De hiányosságai ellenére a biometrikus adatok továbbra is nagyon ígéretes tényező.

Biztonság

Szakértők szerint a többtényezős azonosítás drasztikusan csökkenti az online személyazonosság-lopás lehetőségét, ugyanis a csaláshoz nem elegendő az áldozat jelszavának ismerete. Számos többtényezős hitelesítési megközelítés azonban továbbra is sebezhető az adathalászattal , a böngészőben tartózkodó és a középső támadásokkal szemben .

Fő cikk: Hitelesítés

A rendszer hitelesítésének egyik vagy másik tényezője, módszere kiválasztásakor mindenekelőtt a szükséges biztonsági fokra, a rendszer kiépítésének költségére és az alany mobilitásának biztosítására kell építeni.

Itt van egy összehasonlító táblázat:

Jogszabályok és szabályozás

A Payment Card Industry (PCI) adatbiztonsági szabványának 8.3-as követelménye megköveteli MFA használatát a kártyaadatkörnyezet (CDE) hálózaton kívüli távoli hálózati eléréséhez. [1] A PCI-DSS 3.2-es verziójától kezdődően az MFA használata szükséges a CDE-hez való bármely adminisztrátori hozzáféréshez, még akkor is, ha a felhasználó megbízható hálózaton van.

Kéttényezős hitelesítés

A kéttényezős hitelesítés ( DFA , angolul  kétfaktoros hitelesítés , más néven kétlépcsős hitelesítés ) a többtényezős hitelesítés egy fajtája. A DFA egy olyan technológia, amely két különböző összetevő kombinációján keresztül biztosítja a felhasználó azonosítását.

A kéttényezős hitelesítés példái a Google és a Microsoft engedélyezése . Amikor egy felhasználó bejelentkezik egy új eszközről, a felhasználónév-jelszó hitelesítés mellett egy hatjegyű (Google) vagy nyolcjegyű (Microsoft) ellenőrző kódot is meg kell adnia. Az előfizető SMS -ben, telefonhívással kaphatja meg , a visszaigazoló kód levehető egy előre összeállított egyszeri kódnyilvántartásból, vagy a hitelesítő alkalmazás röviden generálhat egy új egyszeri jelszót. időszakok . A módszert a Google vagy a Microsoft fiók beállításaiban kell kiválasztani.

A mobileszközön keresztüli kéttényezős hitelesítés előnyei:

• Nincs szükség további tokenekre , mert a mobileszköz mindig kéznél van.
• A megerősítő kód folyamatosan változik, ami biztonságosabb, mint az egytényezős bejelentkezési jelszó.

A mobileszközön keresztüli kéttényezős hitelesítés hátrányai:

• A mobiltelefonnak fel kell fognia a hálózatot a hitelesítés során, különben a jelszót tartalmazó üzenet egyszerűen nem érkezik meg.
• Szükséges egy mobiltelefonszám megadása, amely például a jövőben spamet okozhat.
• Szöveges üzenetek (SMS), amelyek mobiltelefonra érkezve lehallgathatók [2] [3] .
• A szöveges üzenetek némi késéssel érkeznek meg, mivel a hitelesítés némi időt vesz igénybe.
• A modern okostelefonokat e-mailek és SMS-ek fogadására is használják. A mobiltelefonon az e-mail általában mindig be van kapcsolva. Így minden olyan fiók feltörhető, amelyhez a levelezés a kulcsa (az első tényező). Mobileszköz (második tényező). Következtetés: az okostelefon két tényezőt kever össze.

Most már számos nagy szolgáltatás, mint például a Microsoft, a Google, a Dropbox, a Facebook, már lehetővé teszi a kétfaktoros hitelesítés használatát. És mindegyikhez egyetlen hitelesítő alkalmazást használhat , amely megfelel bizonyos szabványoknak, mint például a Google Authenticator, a Microsoft Authentificator, az Authy vagy a FreeOTP.

Gyakorlati megvalósítás

Számos többtényezős hitelesítési termék megköveteli a felhasználótól, hogy rendelkezzen ügyfélszoftverrel a többtényezős hitelesítési rendszer működéséhez. Egyes fejlesztők külön telepítőcsomagokat hoztak létre a hálózati bejelentkezéshez, a webes hozzáférési hitelesítő adatokhoz és a VPN-kapcsolathoz. Token vagy intelligens kártya használatához ezekkel a termékekkel négy vagy öt speciális szoftvercsomagot kell telepítenie a számítógépére. Ezek lehetnek verzióvezérlő csomagok vagy olyan csomagok, amelyek az üzleti alkalmazásokkal való ütközést ellenőrzik. Ha a hozzáférés weboldalakról is elérhető, akkor nincsenek váratlan költségek. Más többtényezős hitelesítési szoftvermegoldásoknál, mint például a "virtuális" tokenek vagy egyes hardveres tokenek, a szoftverek egyikét sem telepíthetik a közvetlen felhasználók.

A többtényezős hitelesítés nincs szabványosítva. Különféle megvalósítási formák léteznek. Ezért a probléma az interakciós képességében rejlik. Számos folyamatot és szempontot kell figyelembe venni a teljes biztonsági identitáskezelő rendszer kiválasztásakor, fejlesztése, tesztelése, megvalósítása és karbantartása során, beleértve az összes releváns hitelesítési mechanizmust és kapcsolódó technológiát: ezeket Brent Williams az „Identity” kontextusában írja le. Életciklus" [1]

A többtényezős hitelesítésnek számos hátránya van, amelyek megakadályozzák a terjesztését. Különösen nehéz azoknak a személyeknek, akik nem értik ezt a területet, követni a hardveres tokenek vagy USB-kulcsok fejlődését. Sok felhasználó nem tud saját maga telepíteni tanúsított kliensszoftvert, mert nem rendelkezik a megfelelő műszaki ismeretekkel. A többtényezős megoldások általában további telepítési és üzemeltetési költségeket igényelnek. Számos tokenen alapuló hardverkomplexum szabadalmaztatott, és egyes fejlesztők éves díjat számítanak fel a felhasználóknak. Logisztikai szempontból nehéz a hardver tokenek elhelyezése, mivel azok megsérülhetnek vagy elveszhetnek. Szabályozni kell a tokenek kibocsátását olyan nagy szervezetekben, mint a bankok és más nagyvállalatok. A többtényezős hitelesítés telepítési költsége mellett jelentős összeget kell fizetni a karbantartásért is. 2008-ban a Credit Union Journal fő médiaforrás felmérést végzett több mint 120 amerikai hitelszövetkezet körében. A felmérés célja, hogy bemutassa a kéttényezős hitelesítéshez kapcsolódó karbantartási költségeket. Végül kiderült, hogy a szoftvertanúsítás és az eszköztárhoz való hozzáférés a legmagasabb költséggel jár.

Szabadalmak

2013-ban, a Dotcom, Kim azt állította, hogy feltalálta a 2000-ben szabadalmaztatott kéttényezős hitelesítést, [4] és rövid időre azzal fenyegetőzött, hogy minden nagyobb webszolgáltatást beperel. Az Európai Szabadalmi Hivatal azonban visszavonta szabadalmát [5] egy korábbi, 1998-as, az AT&T birtokában lévő amerikai szabadalom fényében. [6]

Lásd még

• Hitelesítés
• Jelképes
• intelligens kártya
• HOTP / TOTP

Jegyzetek

1. ↑ Hivatalos PCI-biztonsági szabványok tanácsi webhelye – Ellenőrizze a PCI-megfelelőséget, töltse le az adatbiztonsági és hitelkártya-biztonsági szabványokat . www.pcisecuritystandards.org . Letöltve: 2016. július 25. Az eredetiből archiválva : 2021. december 27. (határozatlan)
2. ↑ A NIST felkészül az SMS-alapú bejelentkezési biztonsági kódok fokozatos megszüntetésére. Fogy az idő ehhez a népszerű online biztonsági technikához  (angolul) , Fortune (2016. július 26.). Az eredetiből archiválva : 2018. április 20. Letöltve: 2016. augusztus 13.  „Az SMS-üzenetek elfogásának vagy átirányításának kockázata miatt az új rendszerek megvalósítóinak gondosan mérlegelniük kell az alternatív hitelesítőket” – a NIST.
3. ↑ Durov bejelentette, hogy különleges szolgálatokat vesz részt az ellenzéki távirat feltörésében . RosBusinessConsulting (2016. május 2., 20:18). - „... péntek este az MTS technológiai biztonsági osztálya kikapcsolta számára (Oleg Kozlovsky) az SMS-kézbesítő szolgáltatást, ami után 15 perccel később valaki a Unix konzolról az egyik Tor anonimizáló szerver IP-címén. elküldte a Telegramnak egy új eszköz engedélyezésére vonatkozó kérést Kozlovsky telefonszámával. SMS-t küldtek neki egy kóddal, amit azért nem kézbesítettek, mert a szolgáltatás le van tiltva számára. A támadó ezután beírt egy engedélyezési kódot, és hozzáfért az aktivista Telegram-fiókjához. „A fő kérdés az, hogy ismeretlenek hogyan jutottak hozzá az SMS-ben elküldött, de át nem adott kódhoz. Sajnos csak egy verzióm van: a SORM rendszeren keresztül, vagy közvetlenül az MTS műszaki biztonsági osztályán keresztül (például az „illetékes hatóságok” felhívásával)” – hangsúlyozta az aktivista. Letöltve: 2017. május 11. Az eredetiből archiválva : 2018. június 17. (Orosz)
4. ↑ Schmitz, Kim, "Az engedélyezési módszer adatátviteli rendszerekben", US 6078908
5. ↑ Brodkin, Jon Kim Dotcom azt állítja, hogy ő találta fel a kéttényezős hitelesítést – de nem ő volt az első (html). Ars Technica (2013. május 23.). Letöltve: 2019. július 25. Az eredetiből archiválva : 2019. július 9..  (határozatlan)
6. ↑ Blonder et al., "Tranzakció engedélyezése és riasztási rendszer", US 5708422

Linkek

• Eric Grosse, Mayank Upadhyay, Scale hitelesítés. IEEE Security and Privacy, 2013. január/február , IEEE Computer and Reliability Societies. (Angol)
• DRAFT NIST Különkiadvány 800-63B. Digitális hitelesítési irányelv. Hitelesítés és életciklus-kezelés // NIST, 2016  (eng.)
• Többtényezős hitelesítés egyszerű szavakkal