題:
四因素認證
rink.attendant.6
2014-09-23 19:52:33 UTC
view on stackexchange narkive permalink

我確定您都聽說過兩因素/多因素身份驗證。基本上可以歸結為以下因素:

  • 知識-您知道的東西(例如密碼,PIN,圖案)
  • 擁有-您擁有的東西(例如手機,信用卡) ,密鑰)
  • 存在-您的身份(例如指紋)

我的問題是:是否存在第四種身份驗證因素?

在Google上進行的快速搜索沒有帶來任何有趣的結果,除了我不介意閱讀的專利文件。 某處可以認為您是第四個因素嗎?

從技術上講,“存在”是“擁有”的子集。當然,它“嵌入在您的體內”,但仍然是“您擁有的東西”。指紋?他們可以割傷您的手指:現在,有了它。
@Lohoris術語開頭很模糊-密碼也一樣,它像其他任何東西一樣可以復制-c.f. [橡膠軟管加密分析](http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis)。
@Lohoris很好,我認為“您擁有的東西”類別的重要特徵之一是,您可以在不需要時將其放在家裡(或放在保管箱中,與可信賴的朋友等)。它。從這個意義上講,我不會將存在視為一個子集。
可能重複的[有多少個認證因素?](http://security.stackexchange.com/questions/10434/how-many-authentication-factors-are-there)
@ThomasW。由於這個問題的答案要完整得多,因此最好反過來結束。
舊問題,但我意識到出現了一個新因素!您穿的東西。一個著名的例子是Apple Watch上的Apple Pay。如果手錶已解鎖並且該人繼續佩戴手錶,則可以點擊付款。但是,如果將它們取下,手錶將鎖定,並且必須重新輸入PIN。
六 答案:
Polynomial
2014-09-23 21:04:41 UTC
view on stackexchange narkive permalink

您已經註意到,主要的三個是:

  • 知道
  • 擁有的

我認為還有其他人:

  • 您在某事>可以做,例如
  • 展示的某些內容,例如fMRI可以讀取的特定人格特徵甚至神經行為。這些並不是嚴格意義上的“都是”功能,因為它們更加靈活。
  • 有人,例如通過信任鏈進行身份驗證。
  • 某個地方,例如,您正在(或有權使用)將會話鎖定到IP,或將確認密碼發送到您的地址。就被稱為 authentication 而言,這一點有些微不足道,但仍需注意。
我要添加的是您在某個地方的**,而不僅僅是數字物理的。與您展示的特徵類似,如果您嘗試從兩個不同的位置進行兩次身份驗證,則算法可以快速確定您在兩個地方的“可行性”-與其他地方相結合,這是一種強大的身份驗證。
所有這些都是前三個部分的一部分:*能做*幾乎*知道*或*擁有*,也許*是*; *展覽*為*擁有*; *某人*(關係)是*知道*或*已經*,*某處*是*擁有*,maaaaybe *知道*。
您似乎將“身份驗證”與“授權”和其他一些混淆。信任鏈不是身份驗證的一種形式,它是通過互相擔保來傳播身份的機制。正如@trysis所說,前兩個是其他因素的一部分。
就實體銷售點(例如汽油泵)和您訪問該加油站的意願而言,我喜歡“您在哪裡”。有人甚至可以按照您的時間安排來添加臨時性物品,例如在訪問信用卡警報觸發器以進行氣泵被盜卡測試並隨後購買運動鞋時進行變化。這表明您相對於時間和地點的活動也可能有效。 +1(無聊和有限的使用)思維。
@trysis:您“知道”的內容可能會被洩露,您“擁有”的內容可能會被盜,您“能夠”執行的操作*很難被模仿。如果您更進一步,您可能會爭辯說只有* have *,因為在Internet上,您手動輸入*知道*或通過*您擁有*的設備都沒關係。
好點子。即使您擁有和所擁有的東西也被弄混了,因為您可以證明自己擁有的東西(無論如何,這就是身份驗證)受到您擁有的設備以及該設備(或設備上的軟件)的限制。 )本質上*是*您在互聯網上。然後,這進一步受到您所做的選擇,您所用的錢,您的父母是誰等的限制,換句話說,*您是誰*。
“您可以做的事”的絕佳範例:http://www.funnyjunk.com/funny_pictures/688935/Korean/
@AviD如果用戶通過其關聯的Google帳戶登錄到我的服務,這不是通過信任鏈進行身份驗證的示例嗎?我最初得到的是用戶名/密碼,“您知道的事”,但是對於我的網站,我看不到,我只是想讓Google斷言這個人就是他們所說的那個人。
如果您要添加誰(信任),什麼(很多),如何(可以做什麼)以及在哪裡添加,則可能應該在何時(您只能在___時間完成此操作)完成列表,並找到一個為何要擠在那裡(也許是通過人格特質行使的)?
@Blackhawk是和否-Google正在驗證用戶身份(例如,通過密碼或其他方式)。 *您*根本沒有*對用戶進行身份驗證-您僅依靠Google的主張。這是一個很好的例子,說明了為什麼我說“信任鏈”是一種共享斷言的方法,而不是一種認證因素。
paj28
2014-09-23 20:07:26 UTC
view on stackexchange narkive permalink

絕對!

您所處的地方在公司IT中已得到廣泛使用。在許多環境中,如果您在辦公室網絡中,則只能使用密碼登錄,但是如果您不在辦公室中,則必須使用其他因素,通常是令牌。

當前時間可以說是另一個認證因素,一個典型的例子是延時安全。辦公門通行證通常僅在一天的特定時間有效。

接觸性有時被視為另一個因素,例如在已知地址(或電子郵件,電話)收到信件證明身份。儘管通常這歸結為您已經提到的因素之一,例如收到一封信後,便表明您擁有該地址的鑰匙。 。如果您寫下密碼,那張紙會變成“您擁有的東西”嗎?您提到的鑰匙是“您擁有的東西”-但是如果鎖匠知道該樣式,他們可以製作一個新鑰匙。因此,可以說一個關鍵就是真正的“您知道的東西”。

時間不是驗證因素。它仍然是一個安全控件,但與身份驗證本身無關,因為它沒有提供證據表明某物或某人是“真實的”。
@Polynomial,,這取決於辦公室中的時間,這是身份驗證的因素,因為在正常的辦公時間中,通常會假設沒有工作人員將無法坐在計算機旁。但是所有賭注都是在正常工作時間以外進行的。
公平地說,paj28的正確之處在於線條開始模糊。 YubiKey作為示例,會為第二因素身份驗證生成唯一的OTP,其中一部分包括日期/時間值和增量計數器以防止重放攻擊。
@IanRingrose,我認為您的“您身在何處”和“可聯繫性”是鏈接在一起的,因為它們都涉及到您能夠訪問某個位置(辦公室或郵件傳遞地址)。從那裡開始,“可聯繫性”將演變為其他位置使用的任何因素(對於發給您的一封信,它又回到了您的房主鑰匙的“擁有” *)。在您的公司網絡示例中,它屬於Polynomial的信任鏈,因為其他人對您的信任足以允許您進入建築物,因此,它又又回到了用於此目的的任何因素。
-1
@user2813274除了George Washington的帳戶將長期關閉並鎖定外,在這種情況下,您的示例與時間鎖定無關。
ioo
2014-09-24 01:35:36 UTC
view on stackexchange narkive permalink

不。有三種。此處提及的所有其他人:

  • 可以簡化為標準的三者之一(例如“您可以做的事”是個人特徵,因此分類為“您是某事”;“您認識的人” “表示您可以提供與某人的連接證明-那就是“您擁有的東西!”)
  • 不是身份驗證的一部分,而是授權(時間,網絡或實際位置無法證明您的身份,但可用於允許您訪問或不訪問)。僅在辦公時間內可以訪問辦公室的經典示例-在晚上,我們大多數人都不會丟失我們的身份,只是不允許我們訪問辦公室(仍然有一些高級用戶,他們可以使用相同的身份驗證來24/7辦公就像白天一樣,對吧?)
但是不能將規範的三個減少到1。您的指紋就是您的本意,但是我可以割斷您的手指,它就成為我所擁有的。您知道密碼,但是如果您將其寫下來卻被我竊取,那是我擁有的。
PwdRsch
2014-09-23 23:10:20 UTC
view on stackexchange narkive permalink

儘管我們將身份驗證器分為三個常見類別,但請務必記住,這些類別的定義有些鬆散。密碼通常被認為是“您所知道的”身份驗證者,但是如果您寫下密碼並參考論文而不是內存,它會成為“您所擁有的”要素嗎?如果系統使用鍵盤動力學進行驗證來監控鍵入的節奏和速度,是依靠“您是什麼”還是“您知道什麼”?在決定如何對特定的身份驗證器進行分類時,可能會有一些合理的分歧。

位置最初看起來可能是第四個因素,但確實如此嗎?系統如何知道您的位置?它可能依賴於設備提供的坐標或地址(物理或IP)數據。這些數據是否是“您所知道的”,因為擁有相同數據的其他人可以在自己的設備上複製該因素?由於系統依賴設備提供合法數據的可信賴性,這是“您擁有的東西”嗎?我們必須確定位置是否足夠明顯,以至於不能將其視為自己的獨立因素類別。

我確實認為區分因素的構成很重要,因為我們使用的是“多因素身份驗證” ”表示某些系統的好處。如果您使用與過去的登錄相關聯的IP地址中的密碼登錄系統,是否有多種原因?如果我們認為位置是第四個因素,那麼答案是肯定的。但是,我還沒有看到很多人將其描述為多因素身份驗證系統。

在論文 CASA:上下文感知可擴展身份驗證中,作者同意位置數據可以用作身份驗證過程中的一個因素,但專門將其定義為“被動”因素。它們區分了需要用戶交互的“被動”因素和“主動”因素(例如密碼,指紋掃描等)。看來這是從其他數據中分離出真正的身份驗證因素的好方法,可以用來幫助做出身份驗證決策。

在我看來,位置數據不應被認為是第四個因素,但這不會阻止它在身份驗證過程中有用。

如果將用於驗證位置的機制視為在負責身份驗證的代理的控制下,則我會將位置視為一個獨特的屬性。如果在重量和運動傳感器可以確認室內只有一個人並且房間裡有人進行兩個動作的時間內關閉了房間的門,則這兩個動作都是在房間內完成的,這意味著關於做第一者的身份的已知知識也適用於做第二者的身份,反之亦然。
即使要求街上有一個隨機的人進入房間並執行這兩個動作,也知道第二個動作的人的身份與第一個動作的人的身份相匹配。這個人不會真正“知道”任何東西或“擁有”任何東西。我猜想這樣一個事實,一個人在傳感器上看起來像是一個人而不是兩個人,可能構成“他是某物”,但是相對於關於第二個演員身份的保證,這似乎是一個非常薄弱的​​事實。
John Deters
2014-09-23 20:57:29 UTC
view on stackexchange narkive permalink

就像其他所有與安全性有關的事情一樣,確定您的身份需要信任。如果必須在安裝在安全設施門上的10鍵鍵盤上輸入PIN,您如何知道從數據中心到門的網絡連接尚未轉移到安裝在其他位置的假PIN碼板上?您怎麼知道沒有代理人代表其他人操縱鑰匙?

或者舉一個廣泛使用的示例,請考慮iPhone有(許多)個可用的應用程序,這些應用程序允許用戶向“位置服務”指定其選擇的位置。一個簡單的用例可能是某人在實際在高爾夫球場上時假裝上班。但是,您可以偽造您的位置以獲取其他受限制利益的條件:想像一下帶有地理圍欄的電子書,該電子書只有在公共圖書館內才能被閱讀。而且,如果您依靠手機自行報告位置以消除使用安全令牌的需要,則攻擊者可以使用它來將安全性降低到更容易破壞的水平。

您當然可以在安全系統中添加位置,但您還必須考慮採取措施以確保它不會被擊敗。

雖然這個答案可能是正確的,但我並沒有真正看到它如何回答是否存在第四類身份驗證因素的問題。願意[編輯]對此部分進行詳細說明嗎?
我正在解決他的最後一個問題:“我可以使用*某人在哪裡*是第四因素嗎?”
Adam
2014-11-10 06:57:27 UTC
view on stackexchange narkive permalink

第四個因素是個人做的事情(動態生物識別技術)。例子包括通過語音模式識別,手寫特徵和鍵入節奏。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...