¿Cómo se define típicamente “algo que usted tiene” para la autenticación de “dos factores”?

Navega tus respuestas
30

Una amplia gama de productos pretende ofrecer "autenticación de dos factores" (cv autenticación de dos factores - Wikipedia ). La mayoría se implementan como "algo que tienes" para usar, además de una contraseña normal ("algo que sabes"). Algunos de estos "segundos factores" son tan simples como proporcionar un pedazo de papel con contraseñas de un solo uso o información necesaria para responder a un simple protocolo de desafío-respuesta. Otros van hasta tokens criptográficos "duros" que no se pueden copiar fácilmente. El último es, por ejemplo, requerido para el NIST 800-63 (Pauta de autenticación electrónica) "Nivel de aseguramiento 4 "(también conocido como LOA 4).

Por ejemplo, ¿una contraseña de un solo uso a través del papel cumple con los requisitos de "LOA 3" de NIST? ¿Qué hay de las diversas recomendaciones para la banca (por ejemplo, FFIEC), o los requisitos relacionados de otras entidades?

    
pregunta nealmcb 13.05.2011 - 23:58
fuente

4 respuestas

10

Comencé a hacer esta pregunta para obtener información antes de descubrir la. A la luz del juicio recomendado por un juez de primera instancia sobre PATCO v. People's United (lo que implica una teoría horrible con respecto a la autenticación multifactorial), defino algo que tienes como esto:

Lo que tienes solo debe ser comprometido por un atacante que tenga acceso físico a lo que tienes. Esto excluye:

  • Una contraseña escrita en un pedazo de papel (una vez que alguien la ve, la conoce)
  • Una cookie almacenada en su computadora
  • "Preguntas de seguridad" (son solo otra contraseña)
  • Su clave PGP se guarda en una unidad de disco USB si la conecta a una máquina que tiene acceso a la red

Dicho esto, consideraría que una lista en papel de 100 contraseñas que no tienen ninguna relación y que se usen solo una vez se consideraría algo que usted tiene. Una lista de papel de 100 contraseñas que se podrían solicitar más de una vez no calificaría como un atacante que podría pretender tener acceso a esa credencial al monitorear.

Algo que tengas debe ser algo cuya integridad puede ser asegurada por el control físico. Los ataques al otro lado del canal, como robar su base de datos de autenticación o romper un protocolo criptográfico no cuentan. Si puede ser comprometido sin la interferencia física de un atacante (o romper un algoritmo de cifrado, ya que son parte integral para demostrar la posesión de forma remota), no es algo que tenga. Las tarjetas de cajeros automáticos están un poco borrosas de esa manera: un cajero automático comprometido podría proporcionar todos los datos de seguimiento, aunque lo que generalmente vemos son skimmers (acceso físico). Los tokens RSA son otra cosa que consideraría algo que tienes.

Me gustan más las tarjetas inteligentes porque colocarlas en un lector no expondrá sus secretos, ni comprometerá la base de datos de autenticación.

    
respondido por el Jeff Ferland 08.06.2011 - 21:06
fuente
8

Re. La pregunta sobre si una solución OTP basada en papel podría cumplir el requisito del Nivel 3 de NIST 800-63:

De la fuente "...

La autenticación requiere que el reclamante pruebe a través de un protocolo de autenticación seguro que él o ella controle el token, y primero debe desbloquearlo con una contraseña o biométrico, o también debe usar una contraseña en un protocolo de autenticación seguro, para establecer  Autenticación de dos factores. ... "

- > la respuesta es: no! Otoh, esto también descarta las soluciones basadas en SMS, porque nadie puede garantizar que no se pueda ver el token de una sola vez sin ingresar un PIN ...

Hmm, supongo que habrá muchos compromisos de falta para el cumplimiento del nivel 3 ... :)

    
respondido por el kindofwhat 15.05.2011 - 16:56
fuente
5

La autenticación de dos factores es parte de la familia más grande de autenticación de múltiples factores . Este es el enfoque de defensa en profundidad de "Seguridad en capas" aplicado a la autenticación.

La autenticación de dos factores no solo es "algo que tienes". La elección de dos de estas tres categorías de autenticación sería de dos factores:

  • Algo que el usuario sabe (por ejemplo, contraseña, PIN, SSN);

  • Algo que el usuario tiene (por ejemplo, ATM tarjeta, tarjeta inteligente, llavero, RFID); y

  • Algo que el usuario es (por ejemplo, característica biométrica, como una huella dactilar, escaneo del iris).

La autenticación de dos factores también es común en el mundo no técnico. Como tener que mostrar su identificación con una compra con tarjeta de crédito. La tarjeta de crédito es lo que tiene y otra persona puede vincular el nombre de la tarjeta a la cara en la licencia de unidades con el comprador.

    
respondido por el rook 14.05.2011 - 01:28
fuente
-2

Mi propia opinión, pero creo que "algo que tienes" debería tener las siguientes características:

  • el usuario puede detectar fácil e inmediatamente su ausencia
  • la autoridad emisora puede dejarlo sin efecto sin necesidad de posesión
  • la posesión prueba identidad

Un token de hardware cumpliría con estos requisitos, una contraseña de un solo uso no.

    
respondido por el Ben 15.05.2011 - 03:22
fuente

Lea otras preguntas en las etiquetas

Cómo explicar a un cliente que los filtros de spam no detectan todo ¿Puede un sitio HTTPS ser malicioso o inseguro?