Autentificación de tres factores para Windows

Supongo que te refieres al inicio de sesión (o desbloqueo).

Creo que tres factores se admiten de forma nativa en Windows 7 con:

• Servicio biométrico de Windows (requiere dispositivo conectado)
• tarjeta inteligente compatible con PIV (requiere dispositivo conectado)
• Contraseña (Kerberos V5 para AD y NTLMv2 para local)

Windows Vista y Windows 7 tienen la misma arquitectura de inicio de sesión interactiva. Utilizan un administrador de credenciales que se conecta con los proveedores de credenciales.

El Administrador de credenciales puede admitir cuatro tipos de credenciales:

• "nombre de usuario y contraseña" (algo basado en el teclado que sabes)
• Certificado (algo que tienes)
• Tarjeta inteligente con PIN (algo que tienes + algo que sabes)
• biométrico (algo que eres)

Windows XP y Windows 2000 comparten una arquitectura de inicio de sesión ligeramente diferente. Utilizan un módulo de identificación y autenticación gráfica (GINA). El módulo es responsable de recopilar las credenciales y autenticar las credenciales. Microsoft proporciona un módulo estándar: MSGINA.DLL. Microsoft proporciona tres formas de modificar el comportamiento del módulo GINA y también permite el reemplazo con un GINA de terceros. Los tres métodos de modificación son: preprocesamiento o postprocesamiento, conexión y configuración de registro. El GINA estándar proporcionado por Microsoft admite tarjetas inteligentes con inicio de sesión de PIN. Para la autenticación biométrica, parece común que un administrador instale un módulo GINA de terceros. Me parece que esta arquitectura admitiría la autenticación de tres factores.

También encontré evidencia de que Windows NT admite la autenticación de tres factores.

"Windows NT admite la autenticación de dos y tres factores, incluidos tokens, tarjetas inteligentes y datos biométricos". Stephen Cobb

No he configurado esto, pero creo que, en teoría, podrías hacer que esto funcione con lo que te concederé, no es la configuración más hermosa que existe.

Como puede ver aquí ( así como en otros miles de lugares), puede configurar bitlocker en una máquina con o sin TPM. La mayoría de la gente configura BitLocker usando TPM con el pin TPM +. Pero también puede configurarlo con una memoria USB que tenga la clave. Creo que esta configuración le permite colocar la clave de bitlocker en una unidad de memoria USB (que satisface algo que tiene) y protegiéndola con una clave (algo que ya sabe). Un poco más de búsqueda encontró este enlace que parece incluir paso a paso por hacer solo esto (TPM + llave de inicio USB + pin).

Una vez que la máquina arranca, se inicia el inicio de sesión normal de Windows, y usted podría hacer el inicio de sesión de huellas dactilares en el sistema operativo (algo que usted es).

Dicho esto, no estoy convencido de que el modelo de amenaza sea totalmente compatible con que sea el mejor camino ... tomaría un montón de pensamiento. Pero podría ser. :)

En Linux, PAM brinda la capacidad de configurar su política de autenticación. Puede configurar PAM para que requiera dos factores o, si lo desea, que requiera tres factores. Puede leer la documentación de PAM para obtener más información sobre cómo hacer esto.

Descargo de responsabilidad: no puedo imaginar que la autenticación de tres factores tenga sentido para la mayoría de las implementaciones. Me preguntaría si la compensación entre seguridad y conveniencia tendrá sentido. Debe pensar detenidamente sobre lo que sucederá cuando el usuario se bloquee. Lo más probable es que el enlace más débil en su sistema no sea el mecanismo de autenticación: será el protocolo para manejar a los usuarios que fueron bloqueados, o ataques de ingeniería social a los usuarios autorizados del sistema, o serán las puertas traseras que los usuarios configuren para que puedan realizar el trabajo sin ser molestados por la molesta autenticación de tres factores (p. ej., la contraseña en blanco que el usuario configura para que el inicio de sesión sea más rápido o la llave USB que el usuario deja conectada al dispositivo) ), o algún otro punto débil.

De todos modos, creo que la necesidad de autenticación de tres factores va a ser un caso tan raro que no creo que tenga sentido proporcionar una receta que pueda cortar y pegar: creo que cualquier tienda que realmente necesite La autenticación de tres factores puede ir a leer los manuales de PAM y averiguar cómo hacerlo.

Sensipass proporciona autenticación de 3 factores al facilitar las interacciones personales con imágenes biométricas, como un escaneo facial. Funciona bien en teléfonos inteligentes y computadoras portátiles con cámaras. Están creando extensiones de navegador, ya que actualmente es un producto IDaaS, pero todavía no hay una implementación nativa de Windows por lo que puedo ver. ¡Aunque muy innovador!