Autentificación de dos pasos frente a dos factores: ¿hay alguna diferencia?

La autenticación de dos factores se refiere específicamente y exclusivamente a los mecanismos de autenticación en los que los dos elementos de autenticación se encuentran en diferentes categorías con respecto a "algo que tienes", "algo que eres" y "algo que sabes".

Un esquema de autenticación de múltiples pasos que requiere dos claves físicas, dos contraseñas o dos formas de identificación biométrica no es un factor doble, pero los dos pasos pueden ser valiosos.

Un buen ejemplo de esto es la autenticación de dos pasos requerida por Gmail. Después de proporcionar la contraseña que ha memorizado, también debe proporcionar la contraseña de un solo uso que se muestra en su teléfono. Si bien el teléfono puede parecer "algo que tienes", desde una perspectiva de seguridad, sigue siendo "algo que sabes". Esto se debe a que la clave de la autenticación no es el dispositivo en sí, sino la información almacenada en el dispositivo, que en teoría podría ser copiado por un atacante. Por lo tanto, al copiar tanto la contraseña memorizada como la configuración de OTP, un atacante podría suplantarlo sin robar nada físico.

El punto a la autenticación de múltiples factores, y la razón de la distinción estricta, es que el atacante debe sacar con éxito dos tipos diferentes de robo para hacerse pasar por usted: debe adquirir su conocimiento y Su dispositivo físico, por ejemplo. En el caso de pasos múltiples (pero no de factores múltiples), el atacante solo necesita sacar un tipo de robo, solo varias veces. Entonces, por ejemplo, necesita robar dos piezas de información, pero no objetos físicos.

El tipo de autenticación de pasos múltiples que proporciona Google, Facebook o Twitter sigue siendo lo suficientemente fuerte como para frustrar a la mayoría de los atacantes, pero desde un punto de vista purista, técnicamente no es una autenticación de múltiples factores.

Aquí hay un diagrama de flujo que explica las diferencias.

Fuente: enlace

Realmente no clasificaría los "dos pasos" como una distinción. Es un mecanismo de un factor que puede o no ser algo que usted sabe. Por ejemplo, si el código se envía a un teléfono celular, entonces es realmente algo que sabes (contraseña) y algo que tienes (teléfono celular). Si se envía a un correo electrónico, en realidad sigue siendo un factor único, ya que tanto el correo electrónico como la cuenta son (lo más probable) derivados de la contraseña.

Ciertamente sigue siendo un mecanismo de validación en el sentido del correo electrónico, pero no agrega más que pedir una segunda contraseña en términos de autenticación.

Puede decir simplemente que cada autenticación de dos factores es una autenticación de dos pasos, pero no al revés.

Cuando, ingrese mi contraseña y escaneo mi huella dactilar, estoy realizando una autenticación de dos pasos y uso un factor doble (algo que sabes, algo que eres)

Sin embargo, cuando ingresé la contraseña de mi cuenta regular y una contraseña de un solo uso, estoy haciendo dos pasos pero solo uso One-Factor (algo que sé)

EDITAR (15/5/2015): la respuesta de Paul Moore parece ser más sólida técnicamente que la mía (upvoted it)

Me faltan fuentes de buena reputación en las respuestas actuales, por lo que me referiré a Schneier y a las propias páginas de ayuda de Google para argumentar que "dos pasos" es solo un nombre fácil de usar para la autenticación de dos factores:

Schneier:

  

Recientemente, he visto ejemplos de autenticación de dos factores usando dos   Diferentes rutas de comunicación: llámelo "autenticación de dos canales".   Un banco envía un desafío al teléfono celular del usuario a través de SMS y   espera una respuesta a través de SMS. Si usted asume que todos los clientes del banco   tener teléfonos celulares, entonces esto resulta en una autenticación de dos factores   proceso sin hardware extra. Y aún mejor, el segundo.   pieza de autenticación pasa por un canal de comunicaciones diferente al   el primero; espiar es mucho más difícil.

asistencia de Google (y otras que no puedo publicar por falta de reputación): Solo note cómo los usan indistintamente, en lugar de recurrir al "factor" cuando la cosa se vuelve técnica.

La diferencia es la suma frente a la multiplicación.

Dos pasos es un proceso aditivo: se autentica una vez con una credencial independiente (una contraseña) y luego otra vez con otra credencial independiente (una OTP, ya sea entregada por SMS, teléfono o en alguna aplicación generadora). Te has autenticado dos veces.

Dos factores son multiplicativos: está combinando una credencial independiente (un PIN o clave secreta o biomarcador) con otra (un certificado o un código de token criptográfico) para obtener una credencial única más sólida que cada credencial independiente.

Asignando números completamente arbitrarios y convenientes a los tipos de credenciales (1 = ninguna, 2 = contraseña [cualquier tipo: autodefinida, OTP, etc.], 3 = credencial de criptografía [certificado, código de token]), puedo demostrar que la contraseña es más segura que ninguna contraseña (2 > 1); La autenticación en dos pasos es más fuerte que una contraseña única ((2 + 2 = 4) > 2) o una credencial de criptografía ((2 + 2 = 4) > 3) de forma independiente, pero siempre más débil que cualquier esquema multifactor ((2 + 2 = 4) < (2 * 3 = 6)).

Desde el punto de vista de la teoría de la información, no hay ninguna diferencia entre ellos. Es por esto que el enredo no permite la transmisión de datos por FTL , es como si anotara la información en un pedazo de papel y caminó una milla, y luego lo abrió. La información no fue transmitida a través del tiempo, estuvo ahí todo el tiempo. Perceptualmente es diferente para nosotros, pero todo está encadenado a la "información que conoces" preexistente.

Dicho esto, hay implicaciones de seguridad entre los dos. Para descifrar un token determinista generalmente se requiere ingeniería social o ataques basados en manguera de goma . Si el hombre se pone en contacto con usted y sabe que usted depende de la autenticación de dos pasos, pueden monitorear la señal de fuera de banda y correlacionar sus actividades. Digamos, por ejemplo, que opera .onion site en la red TOR que requiere un mensaje de texto para el segundo paso fuera de banda. Si usted es 1/100 de personas en una lista de posibles sospechosos, podrían consultar los sellos de tiempo en todos sus mensajes de texto y correlacionar los cambios en el sitio.

Sus definiciones están un poco apagadas. La verificación en dos pasos (supongo que estás pensando en Google) también puede usar tokens, y la autenticación de dos factores podría usar códigos, biometría, o cualquier cosa que te ofrezca dos o más de las categorías: lo que sabes, lo que tienes. , o lo que eres.

Lo que distingue la verificación de dos pasos de Google de la autenticación de dos factores adecuada es que no siempre se requiere que use el segundo factor para autenticarse. Solo le pide que lo use para verificar su identidad cuando haya dudas o cuando la cookie que configuró en su navegador caduque.

En cuanto al estado de un teléfono o cuenta de correo electrónico como factor, lo clasificaría como algo que usted tiene. Es tanto lo que tienes como un token de software. Seguro que conoce la contraseña de la cuenta de correo electrónico, pero también puede conocer los datos de inicialización para volver a crear un token de software.

Por lo general, dos factores significan que sabes algo (como una contraseña) y que posees o tienes algo como un token o un teléfono móvil.

Por lo tanto, dos pasos significa que la autenticación se realiza en dos pasos, uno tras otro. Ya sea que use dos pasos solo con saber algo como dos contraseñas o que use tokens no importa.

Bruce Schneier incluso difiere entre la autenticación de dos pasos y dos canales. La autenticación de dos canales es más o menos si tiene dos canales con los que se comunica. Por ejemplo, si inicia una autenticación en su computadora de escritorio pero necesita finalizar la autenticación con su teléfono inteligente significa que ambos se usan tanto en la autenticación de dos pasos como en la de dos factores, pero ambos usan canales diferentes.