Comment "quelque chose que vous avez" typiquement défini pour l'authentification "à deux facteurs"?
Une large gamme de produits prétendent offrir une "authentification à deux facteurs" (C.V. authentification à deux facteurs - Wikipedia ). La plupart sont déployés comme "quelque chose que vous avez" à utiliser en plus d'un mot de passe normal ("quelque chose que vous savez"). Certains de ces "secondes facteurs" sont aussi simples que de fournir un morceau de papier avec des mots de passe uniques ou des informations nécessaires pour répondre à un simple protocole de réponse au défi. D'autres gèrent toutes les jetons cryptographiques "durs" qui ne peuvent pas être copiés facilement. Ce dernier est par exemple requis pour le NIST 800-63 (directive d'authentification électronique) "Niveau d'assurance 4" (AKA LOA 4).
Par exemple, un mot de passe ponctuel via Paper répondrait-il aux exigences de Nist "LOA 3"? Qu'en est-il des différentes recommandations pour la banque (par exemple FFIEC) ou des exigences connexes d'autres entités?
J'ai commencé à poser à cette question d'avoir une contribution avant de découvrir celui-ci. À la lumière d'un jugement recommandé par un juge magistrat sur PATCO c. Personnes Unies (qui implique une théorie horrible concernant l'authentification multifactorielle), je définis quelque chose que vous avez comme cela:
Ce que vous n'avez doit être compromis que par un attaquant ayant un accès physique à ce que vous avez. Cela exclut:
- Un mot de passe écrit sur un morceau de papier (une fois que quelqu'un le voit, ils le savent)
- Un cookie stocké sur votre ordinateur
- "Questions de sécurité" (ce ne sont qu'un autre mot de passe)
- Votre clé PGP conservée sur une clé USB si vous le branchez dans une machine disposant d'un accès réseau
Cela dit, je considérerais une liste de mots de passe de 100 mots de passe qui n'ont aucune relation et que chacune est utilisée qu'une seule fois serait considérée comme une chose que vous avez. Une liste de papier de 100 mots de passe pouvant être posée plus d'une fois ne serait pas admissible en tant qu'attaquant serait en mesure de prétendre avoir accès à ce titre en surveillant.
Quelque chose que vous devez être quelque chose dont l'intégrité peut être sécurisée par contrôle physique. Attaque de l'autre côté de la chaîne, telles que voler leur base de données d'authentification ou briser un protocole cryptographique, ne comptez pas. Si cela peut être compromis sans interférence physique d'un attaquant (ou enfreignant un algorithme de cryptage car ils font partie intégrante de démontrer la possession à distance), ce n'est pas quelque chose que vous avez. Les cartes de guichet automatique sont un peu floues de cette façon - un guichet automatique compromis pourrait fournir toutes les données de piste, bien que nous voyons habituellement des skimmers (accès physique). Les jetons RSA sont un autre que je considérerais quelque chose que vous avez.
J'aime mieux les cartes à puce parce que les placer dans un lecteur n'exposeront pas leurs secrets, ni un compromis de la base de données d'authentification.
Ré. La question d'une solution OTP-OTP basée sur papier pourrait remplir NIST NIST 800-63 de niveau 3:
Du source "...
L'authentification exige que le demandeur prouve à travers un protocole d'authentification sécurisé qu'il contrôle le jeton et doit d'abord déverrouiller le jeton avec un mot de passe ou une biométrique, ou doit également utiliser un mot de passe dans un protocole d'authentification sécurisé, pour établir une authentification à deux facteurs. ... "
-> La réponse est: Nope! OTOH, cela règle également des solutions basées sur SMS, car personne ne peut garantir que le jeton unique ne peut pas être vu sans entrer dans une épingle ...
Hmm, je suppose qu'il y aura de nombreux compromis fautifs pour cette conformité de niveau 3 ... :)