¿Es una credencial de Windows AD combinada con la autenticación de 2 miembros del grupo AD?

Navega tus respuestas
0

Tenemos un requisito de autenticación de 2 factores para nuestros SSID WiFi internos. Actualmente usamos PEAP con MS-CHAPv2 para pasar credenciales de Windows a través del AP a un servidor RADIUS (un controlador de dominio que ejecuta NPS). Esto ha sido acusado recientemente de no ser una autenticación de 2 factores porque solo proporciona "algo que sabes" en forma de tus credenciales de Windows ...

Sin embargo, en el servidor NPS tienen que ser miembros de uno de los dos grupos en AD también para poder acceder, por lo que en mi libro sería "algo que eres". Haciendo que sea de dos factores ... Por lo tanto, nuestra configuración actual es realmente de dos factores o no. Gracias de antemano!

    
pregunta A L 31.07.2014 - 21:25
fuente

2 respuestas

5

La noción de "autenticación de dos factores" no es una noción matemática estrictamente definida. Sin embargo, generalmente , se relaciona con tener factores para autenticación .

El segundo término es importante: está intentando autenticar a un usuario, es decir, para asegurarse de que el usuario se encuentre en el otro extremo de la línea. Ahora mismo. Al buscar la membresía de la cuenta en el servidor de AD, no está verificando si el usuario humano está allí o no. De hecho, la cuenta de usuario es todavía un miembro de los grupos, incluso cuando el usuario no está allí en absoluto. Por lo tanto, verificar la pertenencia a un grupo no es autenticación en absoluto. Nada en el AD te dirá: "sí, estás hablando con Bob en este momento". En el mejor de los casos, el AD le dirá: "existe un usuario conocido como Bob".

Las pertenencias a grupos de AD no son autenticación. Como tales, no pueden ser un factor de autenticación. Lo que se relaciona con la pertenencia a un grupo de AD es autorización , un concepto completamente distinto.

    
respondido por el Tom Leek 31.07.2014 - 21:38
fuente
1

Los factores son:

  1. Algo que sabes, por ejemplo, una contraseña
  2. Algo que tienes, por ejemplo, una tarjeta inteligente o token
  3. Algo que eres: un biométrico

La autenticación de dos factores requiere dos de los anteriores de diferentes conjuntos. Por ejemplo, un pin y una contraseña son factores únicos ya que son dos elementos "algo que sabes".

Un certificado, aunque esté clasificado técnicamente como algo que usted tiene, a menudo puede ser robado digitalmente. Esto significa que si un usuario final está infectado, a menudo se pueden extraer mi malware como Zeus, tanto sus credenciales como sus certificados, lo que permite el compromiso de la cuenta. Si el certificado se almacena en un módulo de seguridad de hardware o TPM, puede ser muy seguro.

Del mismo modo, algunos esquemas basados en el teléfono se pueden considerar como un verdadero "algo que tienes en cuenta", aunque de nuevo se debe tener cuidado.

Su membresía en el grupo AD es autorización no autenticación.

    
respondido por el Andy Boura 01.08.2014 - 14:23
fuente

Lea otras preguntas en las etiquetas

¿El uso de Unicode o (at) realmente detiene a los spambots? Descargar Torrents en la red de la Universidad sin detección [cerrado]