Autenticación por etapas

6

¿Alguien conocería la terminología para usar la "autenticación de múltiples etapas", donde cada etapa otorga un nivel específico de autorización?

El concepto es que usted, por ejemplo, navega por una página web, no se identifica y autentica y tiene un Nivel 0 en autorización.

En algún momento desea realizar una acción que necesita autorización, por lo tanto, se autentica con un nombre de usuario y una contraseña (o un token de OAuth o algo similar), y ahora tiene el nivel de autorización 1.

Ahora desea realizar una acción privilegiada, que en este sitio en particular requiere que realice una autenticación de 2 factores. Solicita la acción y un mecanismo de autenticación le solicita que ingrese, que otorga y ahora se encuentra en el nivel de autorización 2.

Si esto se aplica solo a la acción o si su perfil de autorización para la sesión ahora está alterado para el resto de las interacciones es intrascendente, a esta pregunta. (Si tiene una buena idea de lo que sería mejor / más fácil / más seguro, no dude en responder también)

¿Cómo se llama esta "autenticación de múltiples etapas"? ¿Alguien sabe de una terminología real para esto? Es posible que haya fallado mis clases de Google, pero ¿podría alguien lanzarme una terminología válida y aceptada para una aplicación similar?

- Entonces, para agregar algunas de las respuestas que mencioné en parte en los comentarios: OASIS Trust Elevation y autenticación Step-up de IBM de la respuesta aceptada

    
pregunta RLFP 09.12.2016 - 11:12
fuente

3 respuestas

5

Esto se denomina autenticación incremental ; No puedo encontrar referencias que no sean de IBM, pero se ha discutido en varias ocasiones en las reuniones del grupo de trabajo de Grupo de dirección del ecosistema de identidad . He estado menos involucrado el año pasado, pero este fue uno de esos temas que todos reconocemos como valiosos, pero no urgentes. (Así que, por favor, trabaje en esto, investigue y presente una solución).

Yo pensé Recordé la mención de esto en NIST 800-63, pero no puedo encontrarlo ahora mismo. Muy relacionado con su pregunta, es lo que el NIST llama "autenticación multi-token" cuando se usan múltiples tokens independientes en conjunto para lograr un mayor nivel de seguridad.

  

El reclamante presenta autenticadores de tokens generados por dos o más tokens para demostrar su identidad al verificador. La combinación de tokens se caracteriza por la combinación de factores utilizados por los tokens (ambos inherentes a la manifestación de los tokens y los utilizados para activar los tokens). Un verificador que requiere que un reclamante ingrese una contraseña y use un dispositivo criptográfico de factor único es un ejemplo de autenticación multi-token. La combinación se considera multifactor, ya que la contraseña es algo que usted conoce y el dispositivo criptográfico es algo que tiene. NIST 800-63

Si no puede encontrar nada en la autenticación incremental, puede buscar personas que estén trabajando en la autenticación multi-token.

Yo pienso También escuché que esto se conoce como autenticación dinámica, pero parece que Visa ha absorbido ese término para una técnica patentada, por lo que lo descartaría como un término de búsqueda.

    
respondido por el Mark C. Wallace 09.12.2016 - 13:15
fuente
3

Nunca he oído hablar de terminología específica y generalmente aceptada para él, pero es una aplicación del principio de privilegio mínimo .

He visto aplicaciones que hacen esto por varios términos:

  • Linux: sudo / su
  • Windows: Control de cuentas de usuario (UAC)
  • Atlassian JIRA: sesión de administrador websudo / segura
  • Github: modo Sudo
respondido por el Lie Ryan 09.12.2016 - 11:41
fuente
1

De acuerdo con la respuesta de Mark C. Wallace, quería agregar otra fuente de referencia que use la terminología autenticación incremental para esta situación precisa.

La página de documentación de Auth0 Step-Up Authentication se refiere a esto y también muestra un posible enfoque sobre cómo para resolverlo aprovechando lo que está definido dentro de la especificación OpenID Connect , más específicamente, las siguientes afirmaciones:

  
  • acr - Referencia de clase de contexto de autenticación: es una cadena que se usa para especificar la 'clase' de autenticación que se realizó en la sesión actual.
  •   
  • amr - Referencias de métodos de autenticación: es una lista de cadenas sensibles a mayúsculas y minúsculas JSON de los métodos que se utilizaron para autenticar la sesión actual.
  •   
  • acr_values : esta es una cadena separada por espacios que especifica los valores acr que se ha solicitado usar para procesar la solicitud, con los valores que aparecen en orden de preferencia. Esto se puede usar para solicitar la clase de acr anterior cuando se va a realizar la autenticación.
  •   
    
respondido por el João Angelo 15.12.2016 - 14:22
fuente

Lea otras preguntas en las etiquetas