web-dev-qa-db-fra.com

Authentification en deux étapes ou authentification à deux facteurs - Y a-t-il une différence?

De nos jours, il existe à peu près trois formes d'authentification généralement utilisées sur le Web:

  • Authentification à facteur unique, par exemple: PIN ou mot de passe.
  • Authentification à deux facteurs, par exemple: à facteur unique plus un code de jeton généré par logiciel ou matériel, ou une carte à puce.
  • Authentification "en deux étapes", par exemple: Facteur unique plus un code envoyé à l'utilisateur hors bande.

Habituellement, la deuxième étape de l'authentification en deux étapes implique que l'utilisateur reçoive un code par e-mail ou SMS et l'entre avec (ou après) son code PIN/mot de passe sur le site Web/l'application utilisé) . La boîte de réception ou le téléphone de réception peut être considéré comme "quelque chose que vous avez", qualifiant ainsi cela d'authentification à deux facteurs. Cependant, le code qui est réellement utilisé (et les informations d'identification utilisées pour accéder au compte/appareil qui reçoit le code) dans la deuxième étape est toujours un "quelque chose que vous savez".

Alors, l'authentification en deux étapes est-elle une nouvelle forme d'authentification à deux facteurs? Ou s'agit-il vraiment d'une authentification à plusieurs facteurs?

58
Iszi

L'authentification à deux facteurs se réfère spécifiquement et exclusivement aux mécanismes d'authentification où les deux éléments d'authentification entrent dans des catégories différentes en ce qui concerne "quelque chose que vous avez", "quelque chose que vous êtes" et "quelque chose que vous savez".

Un schéma d'authentification en plusieurs étapes qui nécessite deux clés physiques, ou deux mots de passe, ou deux formes d'identification biométrique n'est pas à deux facteurs, mais les deux étapes peuvent néanmoins être utiles.

Un bon exemple de cela est l'authentification en deux étapes requise par Gmail. Après avoir fourni le mot de passe que vous avez mémorisé, vous devez également fournir le mot de passe à usage unique affiché sur votre téléphone. Bien que le téléphone puisse sembler être "quelque chose que vous avez", du point de vue de la sécurité, c'est toujours "quelque chose que vous savez". En effet, la clé de l'authentification n'est pas le périphérique lui-même, mais plutôt les informations stockées on le périphérique qui pourrait en théorie être copié par un attaquant. Ainsi, en copiant à la fois votre mot de passe mémorisé et la configuration OTP, un attaquant pourrait réussir à vous usurper votre identité sans vraiment voler quoi que ce soit de physique.

Le point de l'authentification multifacteur, et la raison de la distinction stricte, est que l'attaquant doit réussir avec succès deux types de vol pour vous usurper l'identité: il doit acquérir à la fois vos connaissances et votre appareil physique , par exemple. Dans le cas de plusieurs étapes (mais pas de plusieurs facteurs), l'attaquant n'a qu'à effectuer un seul type de vol, juste plusieurs fois. Ainsi, par exemple, il a besoin de voler deux informations, mais pas d'objets physiques.

Le type d'authentification à plusieurs étapes fourni par Google, Facebook ou Twitter est encore assez fort pour contrecarrer la plupart des attaquants, mais d'un point de vue puriste, il ne s'agit pas techniquement d'une authentification à plusieurs facteurs.

77
tylerl
14
Paul Moore

Je ne classerais pas vraiment le "deux étapes" comme une distinction. C'est un mécanisme d'un facteur qui peut ou non encore être quelque chose que vous connaissez. Par exemple, si le code est envoyé à un téléphone portable, c'est vraiment quelque chose que vous connaissez (mot de passe) et quelque chose que vous avez (téléphone portable). S'il est envoyé à un e-mail, c'est toujours un facteur unique, car l'e-mail et le compte sont (très probablement) dérivés d'un mot de passe.

C'est certainement encore un mécanisme de validation au sens du courrier électronique, mais cela n'ajoute rien de plus que la demande d'un deuxième mot de passe ne le ferait en termes d'authentification.

9
AJ Henderson

Vous pouvez simplement dire que chaque authentification à deux facteurs est une authentification à deux étapes, mais pas l'inverse.

Lorsque j'entre mon mot de passe et scanne mon empreinte digitale, je fais une authentification en deux étapes et j'utilise un facteur à deux facteurs (quelque chose que vous savez, quelque chose que vous êtes)

Cependant, lorsque j'ai entré le mot de passe de mon compte habituel et un mot de passe à usage unique, je fais en deux étapes mais n'utilise qu'un facteur (quelque chose que je sais)

8
Ubaidah

EDIT (15/5/2015): La réponse de Paul Moore semble plus solide techniquement que la mienne (l'a voté)


Je ne trouve aucune source fiable dans les réponses actuelles, je vais donc me référer à Schneier et aux propres pages d'aide de Google pour affirmer que "deux étapes" n'est qu'un nom convivial pour l'authentification à deux facteurs:

Schneier:

Récemment, j'ai vu des exemples d'authentification à deux facteurs utilisant deux voies de communication différentes: appelez-la "authentification à deux canaux". Une banque envoie un défi au téléphone portable de l'utilisateur via SMS et attend une réponse via SMS. Si vous supposez que tous les clients de la banque ont des téléphones portables, cela se traduit par un processus d'authentification à deux facteurs sans matériel supplémentaire. Et encore mieux, le deuxième élément d'authentification passe par un canal de communication différent du premier; l'écoute est beaucoup plus difficile.

Assistance Google (et d'autres que je ne peux pas publier en raison du manque de réputation): remarquez simplement comment ils les utilisent de manière interchangeable, plutôt en retombant sur le "facteur" lorsque la chose devient technique.

3

La différence est l'addition contre la multiplication.

Deux étapes est un processus additif: vous vous authentifiez une fois avec un identifiant indépendant (un mot de passe), puis à nouveau avec un autre identifiant indépendant (un OTP, soit via SMS, téléphone ou dans une application de générateur). Vous vous êtes authentifié deux fois.

Deux facteurs sont multiplicatifs: vous combinez un identifiant indépendant (un PIN ou clé secrète ou biomarqueur) avec un autre (un certificat ou un code de jeton cryptographique) pour dériver un identifiant unique plus fort que chaque diplôme indépendant.

Attribuer des numéros complètement arbitraires et pratiques aux types d'informations d'identification (1 = aucun, 2 = mot de passe [tout type: auto-défini, OTP, etc.], 3 = informations d'identification cryptographiques [cert, code de jeton]), je peux démontrer qu'un mot de passe est plus fort que pas de mot de passe (2> 1); cette authentification en deux étapes est plus forte qu'un mot de passe unique ((2 + 2 = 4)> 2) ou un justificatif cryptographique ((2 + 2 = 4)> 3) indépendamment, mais toujours plus faible que tout schéma multifacteur (( 2 + 2 = 4) <(2 * 3 = 6)).

3
trs80

Du point de vue de la théorie de l'information, il n'y a aucune différence entre eux. C'est pourquoi l'intrication ne permet pas la transmission FTL des données , c'est comme si vous notiez les informations sur un morceau de papier et parcouriez un mile, puis l'ouvriez. L'information n'a pas été transmise au fil du temps, elle était là tout le temps. Perceptuellement, c'est différent pour nous, mais tout est enchaîné à des "informations que vous connaissez" préexistantes.

Cela étant dit, il y a des implications de sécurité entre les deux. Cracker un jeton déterministe nécessite généralement une ingénierie sociale ou des attaques basées sur tuyau flexible . Si l'homme est là pour vous chercher et qu'il sait que vous dépendez de l'authentification en deux étapes, il peut surveiller le signal hors bande et corréler vos activités. Disons, par exemple, que vous opérez . Onion site sur le réseau TOR qui nécessite un message texte pour la deuxième étape hors bande. Si vous êtes 1/100 personnes sur une liste de suspects potentiels, ils pourraient vérifier les horodatages de tous vos messages texte et corréler les changements sur le site.

1
Indolering

Vos définitions sont un peu décalées. La vérification en deux étapes (je suppose que vous pensez à Google) peut également utiliser des jetons, et l'authentification à deux facteurs peut utiliser des codes ou des données biométriques, ou tout ce qui vous donne au moins deux catégories: ce que vous savez, ce que vous avez ou ce que vous êtes.

Ce qui distingue la vérification en deux étapes de Google de l'authentification à deux facteurs, c'est que vous n'êtes pas toujours obligé d'utiliser le deuxième facteur pour vous authentifier. Il vous demande uniquement de l'utiliser pour vérifier votre identité en cas de doute ou lorsque le cookie qu'il a défini dans votre navigateur expire.

Quant au statut d'un compte de téléphone ou de messagerie électronique en tant que facteur, je le classerais comme quelque chose que vous avez. C'est autant quelque chose que vous avez qu'un jeton logiciel. Bien sûr, vous connaissez le mot de passe du compte de messagerie, mais vous pouvez également connaître les données de départ pour recréer un jeton logiciel.

0
Rod MacPherson