autenticación de cuatro factores

Navega tus respuestas
65

Estoy seguro de que todos han oído hablar de la autenticación de dos factores / múltiples factores. Básicamente todo se reduce a estos factores:

  • Conocimiento: algo que sabes (por ejemplo, contraseña, PIN, patrón)
  • Posesión: algo que tienes (por ejemplo, teléfono móvil, tarjeta de crédito, clave)
  • Existencia: algo que eres (por ejemplo, huella digital)

Mi pregunta es: ¿Existe un cuarto factor de autenticación?

Una búsqueda rápida en Google no produjo ningún resultado interesante más que un documento de patente que no me molesté en leer. ¿Podría en algún lugar ser considerado un cuarto factor?

    
pregunta rink.attendant.6 23.09.2014 - 16:52
fuente

6 respuestas

87

Como mencionaste, los tres principales son:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres

Yo diría que hay otros:

  • Algo que puede hacer , por ejemplo. Reproducción precisa de una firma.
  • Algo que exhibes , por ejemplo. un rasgo particular de la personalidad, o incluso un comportamiento neurológico que podría ser leído por un fMRI. Estas no son características estrictamente "son", ya que son más fluidas.
  • Alguien que conoces, por ejemplo, autenticación por cadena de confianza.
  • En algún lugar usted está (o tiene acceso a), por ejemplo. bloquear una sesión a una IP, o enviar un pin de confirmación a su dirección. Este es un poco tenue en términos de ser llamado un factor de autenticación , pero aún así es útil tenerlo en cuenta.
respondido por el Polynomial 23.09.2014 - 18:04
fuente
35

¡Absolutamente!

En algún lugar donde se encuentre se usa ampliamente en TI corporativa. En muchos entornos, si está en una red de oficina, puede iniciar sesión utilizando solo una contraseña, pero si está fuera de la oficina, debe usar un factor adicional, generalmente un token.

La hora actual es posiblemente otro factor de autenticación, un ejemplo clásico es un retardo seguro. Los pases de las puertas de las oficinas a menudo son válidos solo en momentos específicos del día.

Capacidad de contacto se ve a veces como otro factor, por ejemplo. recibir una carta en una dirección conocida (o un correo electrónico, una llamada telefónica) demuestra la identidad. Aunque por lo general esto se reduce a uno de los factores que ya mencionó, por ejemplo, recibir una carta indica que tiene la clave de esa dirección.

A medida que piensa más sobre esto, se da cuenta de que la distinción entre factores es bastante borrosa, particularmente entre "algo que sabe" y "algo que tiene". Si escribes una contraseña, ¿ese pedazo de papel se convierte en "algo que tienes"? Mencionas que una clave es "algo que tienes", pero si un cerrajero conoce el patrón, puede crear una nueva clave. Entonces, podría decirse que una clave es realmente "algo que sabes".

    
respondido por el paj28 23.09.2014 - 17:07
fuente
26

No. Hay tres. Todos los demás mencionados aquí tampoco:

  • se puede reducir a uno de los tres canónicos (por ejemplo, "algo que puedes hacer" es una característica personal, por lo que se clasifica como "algo que eres"; "alguien que conoces" significa que puedes presentar una prueba de conexión con alguien, eso es "algo que tienes"!)
  • no son parte de autenticación , pero autorización (el tiempo, la red o la ubicación física no prueban su identidad, pero pueden usarse para permitirle el acceso o no). Ejemplo clásico con acceso a la oficina solo durante el horario de oficina: durante la noche, la mayoría de nosotros no perdemos nuestra identidad, simplemente no podemos acceder a la oficina (todavía hay algunos usuarios avanzados que pueden acceder a la oficina 24/7 con la misma autorización). como durante el día, ¿verdad?
respondido por el ioo 23.09.2014 - 22:35
fuente
5

Si bien asignamos autenticadores en tres categorías comunes, es importante tener en cuenta que estas categorías están un tanto definidas. Las contraseñas normalmente se consideran autenticadores de "lo que usted sabe", pero si las escribe y se refiere al papel en lugar de a la memoria, ¿se convierte en un factor de "lo que tiene"? Si un sistema se autentica utilizando la dinámica del teclado para controlar el ritmo y la velocidad de su escritura, ¿se basa en "lo que es" o "lo que sabe"? Puede haber un desacuerdo razonable al decidir cómo clasificar autenticadores específicos.

La ubicación inicialmente parece que podría ser un cuarto factor, pero ¿es realmente así? ¿Cómo un sistema conoce su ubicación? Es probable que se base en datos de coordenadas o direcciones (ya sean físicos o IP) proporcionados por un dispositivo. ¿Es esa información entonces "lo que sabes" ya que otra persona con esa misma información puede duplicar ese factor en su propio dispositivo? ¿Es "lo que tiene" ya que el sistema se basa en la confiabilidad de un dispositivo para proporcionar datos legítimos? Tenemos que decidir si la ubicación es lo suficientemente distinta para ser considerada como su propia categoría de factor independiente.

Creo que es importante hacer una distinción sobre lo que constituye un factor ya que usamos términos como "autenticación multifactor" para indicar los beneficios de ciertos sistemas. ¿Es multifactorial si inicia sesión en un sistema con una contraseña de una dirección IP asociada con inicios de sesión anteriores? Si consideramos la ubicación como un cuarto factor, entonces la respuesta es sí. Sin embargo, no he visto a muchas personas caracterizar esto como un sistema de autenticación de múltiples factores.

En el documento CASA: Autenticación escalable basada en contexto los autores aceptan que los datos de ubicación pueden servir como un factor en el Proceso de autenticación, pero específicamente lo define como un factor "pasivo". Distinguen entre factores "pasivos" y factores "activos" que requieren la interacción del usuario (por ejemplo, contraseñas, escaneo de huellas dactilares, etc.). Esto parece ser una buena manera de separar cuáles son los verdaderos factores de autenticación de otros datos que pueden usarse para ayudar a tomar decisiones de autenticación.

En mi opinión, los datos de ubicación no deben considerarse un cuarto factor, pero eso no impide que sean útiles durante el proceso de autenticación.

    
respondido por el PwdRsch 23.09.2014 - 20:10
fuente
1

Al igual que todo lo relacionado con la seguridad, determinar dónde se encuentra requiere confianza. Si tiene que ingresar su PIN en el teclado de 10 teclas montado en la puerta de la instalación segura, ¿cómo sabe que la conexión de red desde el centro de datos a la puerta no se ha desviado a un teclado de PIN falso montado en otro lugar? ¿Cómo sabe que no hay un proxy en su lugar, manipulando las claves en nombre de otra persona?

O para un ejemplo ampliamente utilizado, considere que hay ( many ) aplicaciones disponibles para iPhones que permiten al usuario especificar una ubicación de su elección para Servicios de ubicación. Un caso de uso simple podría ser que alguien pretenda estar en el trabajo mientras está en el campo de golf. Sin embargo, podría falsificar su ubicación para calificar para obtener beneficios restringidos: imagine un libro electrónico con un geofence que le permita leerlo solo dentro de una biblioteca pública. Y si confiaba en que el teléfono se auto-reportara para eliminar la necesidad de usar un token seguro, un atacante podría usar esto para degradar la seguridad a algo que se rompe más fácilmente.

Ciertamente, puedes agregar ubicación a un sistema de seguridad, pero también debes considerar medidas para asegurarte de que no se derrote.

    
respondido por el John Deters 23.09.2014 - 17:57
fuente
1

El cuarto factor sería algo que el individuo hace , (biometría dinámica). Los ejemplos incluyen el reconocimiento por patrón de voz, las características de escritura a mano y el ritmo de escritura.

    
respondido por el Adam 10.11.2014 - 01:57
fuente

Lea otras preguntas en las etiquetas

El servicio web HTTPS cambió a HTTP. ¿Qué puede ir mal? ¿Por qué es más seguro usar una clave SSH que usar contraseñas? [duplicar]