Question:
Pourquoi «quelque chose que vous connaissez» est-il le facteur d'authentification le plus faible?
Ulkoma
2014-10-08 20:14:27 UTC
view on stackexchange narkive permalink

Citation du guide CompTIA Security +

Le premier facteur d'authentification ( quelque chose que vous connaissez , comme le mot de passe ou le code PIN) est le facteur le plus faible.

Pourquoi? cela a du sens quand nous disons que les humains / utilisateurs sont le facteur le plus faible de tout système du point de vue de la sécurité, car nous, les humains, oublions, commettons des erreurs et cassons facilement. Mais cela n'a aucun sens (pour moi du moins) que d'être kidnappé et torturé (afin de renoncer à mon mot de passe) soit plus susceptible de se produire que de perdre une carte à puce ou un porte-clés?

enter image description here

Pouvez-vous créer un lien vers le guide?
http://www.amazon.co.uk/CompTIA-Security-Certified-Ahead-SY0-301/dp/1463762364
Peut-être par plus faible signifie-t-il volatil?
Je pense que vous venez de dire techniquement que vous renonceriez à votre "quelque chose que vous savez" avant d'être kidnappé et torturé. Donc, dans votre cas, ce serait le facteur le plus faible.
Pas vrai, je ne révélerais pas les informations tant que vous ne me tirerez pas un couteau
... ce qui est susceptible de se produire / avant / d'être kidnappé et torturé.
C'est le plus faible parce que les gens ** choisissent ** régulièrement des mots de passe faibles. L'image montre une suite qui explique comment réduire cette faiblesse (augmenter la force).
Parce qu'il peut être "capturé" et rejoué à votre insu, alors qu'un bon jeton basé sur NFC n'est pas rejouable (vous ne pouvez pas le copier, vous devez le voler physiquement comme une carte à puce).
Je pense que la dernière phrase du boxout est bunkum - voir http://security.stackexchange.com/a/4705/9829
"Les utilisateurs devraient être forcés ..." Cela ne semble pas judicieux. De plus, le premier point n'est pas non plus un excellent conseil. (http://xkcd.com/936/ :)
Le deuxième point est vraiment, vraiment, VRAIMENT mauvais.
Cinq réponses:
#1
+44
Gene Gotimer
2014-10-08 20:25:02 UTC
view on stackexchange narkive permalink

Dans le cas typique, quelque chose que vous êtes et quelque chose que vous possédez ne peut être vrai que pour une personne à la fois. Si vous perdez votre jeton, vous savez que vous l'avez perdu.

Quelque chose que vous savez peut être copié par quelqu'un à votre insu. Si quelqu'un a votre mot de passe, vous ne pourrez peut-être pas dire qu'il exploite activement ces connaissances.

C'est une des raisons pour lesquelles vous changez régulièrement votre mot de passe. Cela raccourcit la fenêtre où une violation de mot de passe pourrait être exploitée.

Quelque chose que vous connaissez est également le plus facile à deviner ou à obtenir. Les utilisateurs peuvent toujours créer des mots de passe faibles et les réutiliser ou des variations sur eux.
Quelque chose que vous savez peut être attaqué à tout moment par n'importe qui n'importe où dans le monde. L'attaquant peut ou non avoir besoin de vous impliquer directement lorsqu'il obtient ces informations. D'un autre côté, quelque chose que vous possédez ne peut être attaqué qu'à partir d'un seul endroit sur la planète entière, et vous auriez besoin de faire une erreur importante ou de subir un énorme malheur pour qu'une telle attaque réussisse. Et bien sûr, combiner les deux formes ne fait que multiplier les probabilités de victimisation pour arriver à une probabilité de victimisation encore plus petite.
De plus, «quelque chose que vous savez» ne peut pas être enlevé. Lorsque vous souhaitez révoquer l'accès à quelqu'un, vous pouvez retirer une clé, mais vous ne pouvez pas forcer quelqu'un à oublier le mot de passe principal codé en dur.
Il ne faut pas oublier qu'il est possible de reproduire des empreintes digitales (ce que vous avez / êtes). Dans le cas du lecteur d'empreintes digitales iPhone, il a été prouvé qu'une implémentation faible (lecteur d'empreintes digitales faible) n'est pas vraiment plus forte qu'un mot de passe seul. Dans mon livre, les mots de passe sont la meilleure solution à utiliser par les humains et devraient être complétés par un deuxième facteur chaque fois que possible. Classer différents facteurs les uns par rapport aux autres ne me semble pas pertinent ...
Le point clé est «à votre insu». Vous savez si quelqu'un vole votre télécommande RSA, votre téléphone portable ou votre clavier à usage unique - vous ne savez pas si quelqu'un vole votre mot de passe ou votre code PIN.
"il est possible de reproduire les empreintes digitales" @SebastianB. ce n'est que le problème de la mise en œuvre. Un lecteur d'empreintes digitales faible est comme une boîte de mot de passe qui ne s'occupe que des N premiers caractères (oui, je l'ai rencontré une fois ...). Un bon lecteur mesure également le débit sanguin et la température pour s'assurer qu'il s'agit d'un doigt vivant et effectue quelques tests supplémentaires.
Les tests dont vous parlez sont facilement contournés en plaçant la fausse empreinte digitale sur un vrai doigt. Ce qui est pratique pour l'attaquant est beaucoup plus facile à faire que de fabriquer un faux doigt.
+1 pour "Quelque chose que vous savez peut être copié par quelqu'un à votre insu.". Les informations sont volatiles. @Mołot Amazon avait cela une fois. Cochez seulement les dix premiers caractères environ.
@GreenstoneWalker qu'en est-il du vol de Tokenseeds? Soit lorsque les jetons (graines) sont toujours en transit vers le client, soit un logiciel malveillant sur votre smartphone me permet de voler votre jeton à partir de votre «application» otp. Cela aurait le même effet si je mettais la main sur vos mots de passe. Vous ne le remarqueriez pas.
#2
+25
D.W.
2014-10-08 22:25:42 UTC
view on stackexchange narkive permalink

Les mots de passe, ou plus généralement quelque chose que vous connaissez, sont souvent relativement faibles, car les utilisateurs ne peuvent pas se souvenir des secrets à haute entropie. En conséquence, les mots de passe (ou tout ce que vous devez mémoriser) finissent généralement par être un secret à faible entropie, ce qui permet une estimation aléatoire, une recherche dans le dictionnaire hors ligne et d'autres attaques. S'il est possible de créer et de mémoriser un assez bon mot de passe, l'expérience montre que les utilisateurs ne le font pas - et qu'il est probablement déraisonnable de s'attendre à ce que les utilisateurs le fassent.

Il y a une énorme quantité de recherche universitaire et d'expérience pratique qui étaye cette déclaration. Voici quelques exemples de références:

De plus, tout secret que vous connaissez peut potentiellement faire l'objet d'un hameçonnage (c'est-à-dire que quelqu'un pourrait être en mesure de vous aider à le révéler).

Rappelez-vous la déclaration classique:

Les humains sont incapables de stocker en toute sécurité des clés cryptographiques de haute qualité, et ils ont une vitesse et une précision inacceptables lors de l'exécution d'opérations cryptographiques. (Ils sont également volumineux, coûteux à entretenir, difficiles à gérer et polluent l'environnement. Il est étonnant que ces appareils continuent d'être fabriqués et déployés. Mais ils sont suffisamment répandus pour que nous devions concevoir nos protocoles en fonction de leurs limites.)

Charlie Kaufman, Radia Perlman, Mike Speciner, Network Security: Private Communication in a Public World .

À ce stade, vous vous demandez peut-être: les mots de passe ont tellement de problèmes, pourquoi les utilisons-nous encore? Si tel est le cas, je vous recommande de jeter un œil à cette question: Pourquoi utilisons-nous même des mots de passe / phrases de passe à côté de la biométrie?.

"Il est étonnant que ces appareils continuent d'être fabriqués et déployés." Ce sont des générateurs de but. Nous ne pouvons tirer aucun utilitaire de nos autres machines sans ces composants. Mais oui, ils * sont * terriblement inefficaces. J'espère que quelqu'un travaille sur un remplacement pour cette technologie obsolète.
Il est étrange que ces «humains» faillibles aient tendance à produire des appareils si différents d'eux-mêmes. Ensuite, ils ont du mal à travailler avec eux! Peut-être auraient-ils dû continuer à ne produire que d'autres humains. Mais ils sont également problématiques pour eux-mêmes ...
#3
+8
user82913
2014-10-08 23:11:56 UTC
view on stackexchange narkive permalink

Il est possible d'avoir un "quelque chose que vous savez" que vous ne pouvez pas être obligé de divulguer. J'ai lu sur un système de connexion sécurisé qui présente une grille de 12 à 15 photos de visages, et vous avez environ 3 secondes pour toucher les 3 ou 4 que vous avez vu auparavant. Pour que cela fonctionne, il doit y avoir une base de données de plusieurs milliers de photos, et vous vous entraînez sur des centaines d'entre elles. Le système sait sur lesquels vous vous êtes entraîné. (vous donnez d'abord un nom d'utilisateur qui est supposé être "public" - non sécurisé.)

Vous ne pouvez pas transmettre cette information à une autre personne, et tout succès dans une connexion ne signifie aucun succès pour une autre. Pour que «quelque chose que vous connaissez» soit efficace, nous devons simplement utiliser des aspects de la nature humaine qui fonctionnent efficacement. La plupart des gens peuvent reconnaître les photos de visage vues précédemment - elles sont intégrées.

Que voulez-vous dire que vous ne pouvez pas transmettre cette information? L'attaquant a juste besoin de pointer un visage et de demander "est-ce l'un de vos visages?" Je pense que vous voulez dire qu'il serait difficile de décrire verbalement un visage particulier avec suffisamment de détails pour qu'un attaquant puisse identifier vos choix.
@PwdRsch: Vous auriez besoin de former l'attaquant afin qu'il puisse répondre au défi en 3 secondes lorsqu'il a été présenté. Pour cela, l'attaquant aurait besoin de toute la base de données des visages. De nouveaux visages pouvaient être constamment ajoutés sans difficulté, confondant tout effort pour «l'enseigner» à quelqu'un d'autre. De même, les visages que vous connaissez pourraient être supprimés. Si vous avez «disparu» (vraisemblablement, vous effectuez réellement un travail si vous disposez d'un identifiant de connexion aussi haute sécurité), alors votre identifiant d'utilisateur et votre ensemble de visages pourraient être marqués comme compromis, facilitant ainsi la recherche à votre place. Ce n'est tout simplement pas pratique.
Cela semble intéressant, mais je ne comprends pas. La base de données contient plusieurs milliers de visages et je m'entraîne sur des centaines d'entre eux. Je suis donc censé me souvenir de plusieurs centaines de visages et si j'oublie un visage, je ne peux pas me connecter (ou du moins je dois réessayer).
En supposant qu'on vous présente 15 visages, vous devez choisir les 4 que vous connaissez, le sujet se connecte presque tous les jours et que le système se verrouille après 3 tentatives infructueuses. Un patient attaquant pourrait raisonnablement s'attendre à effectuer la première connexion non autorisée par le biais d'essais aléatoires quotidiens dans environ 4 ans. Si l'attaquant collecte les visages, chaque tentative de connexion (échouée ou réussie) fournit à l'attaquant des informations utiles pour la prochaine tentative de connexion. Il est viable s'il y a un verrouillage en cas de défaillance répétée et que de nouveaux visages devraient être ajoutés au moins une fois par an.
concept curieux, même si, comme l'a déclaré @emory, tout ce qu'un attaquant doit faire est de se souvenir des visages présentés et après un certain temps, les plus courants sont des candidats pour une attaque très réussie
Une limitation intégrée du système est qu'après avoir vu un visage lors d'une tentative de connexion, cela peut commencer à sembler familier (les gens ne sont pas toujours doués pour discerner le contexte de la mémoire du visage - par exemple: "photo sur laquelle je me suis entraîné" vs visage simplement vu à plusieurs reprises d'une autre manière) de sorte que la connaissance «se dégrade». Mon point était seulement qu'un système a été construit où le «quelque chose que vous savez» n'est pas vraiment volable ou révélable en tant que tel. Si un tel système est possible, les autres le sont aussi. J'ai reconnu un restaurant que je n'avais pas visité depuis 30 ans à cause de l'odeur d'un morceau de nourriture. Les gens peuvent reconnaître leurs proches à l'odorat.
@NoComprende Je pense qu'un problème critique est qu'il m'est difficile de valider ce que vous savez sans que je le sache également. Avec les visages, la base de données sait sur quels visages vous vous êtes entraîné. Lorsque l'attaquant parvient à voler la base de données, le système est gravement compromis. Dans l'authentification par mot de passe classique, le système ne connaît pas votre mot de passe.
Peut-être devrions-nous ajouter une catégorie de sécurité: Quelque chose que personne ne sait :) Totalement hermétique.
#4
+8
Bruno Rohée
2014-10-09 09:09:03 UTC
view on stackexchange narkive permalink

C'est le résultat de l'excellent marketing réalisé par les fournisseurs d'authentification biométrique.

"Quelque chose que vous êtes" est parfois très facile à reproduire pour un attaquant, les empreintes digitales et la voix sont particulièrement faciles à obtenir, sans le possibilité pour les gens d'utiliser des stratégies crédibles pour l'éviter (porter des gants en tout temps et ne pas parler en public n'est pas pratique).

La plupart d'entre nous laissent probablement des dizaines d'empreintes digitales exploitables tous les jours, moi non dites mon mot de passe à voix haute presque aussi souvent.

"Quelque chose que vous avez" n'est pas non plus sans défauts, et nécessite beaucoup d'éducation des utilisateurs pour être utilisé correctement. Par exemple. dans toute entreprise RSA SecureID, une visite du bureau en révélera beaucoup sur les bureaux, le code étant visible. J'ai même vu des gens les porter autour du cou avec eux. De plus, la disparition d'un jeton d'authentification peut ne pas être remarquée tant qu'elle n'est pas nécessaire.

"quelque chose que vous êtes" est cependant plus complexe à reproduire qu'un simple mot de passe / PIN, et selon sa nature potentiellement volatile dans l'existence. Et il y a bien sûr aussi le "quelque chose que vous avez", un matériel difficile à cloner
Dans le cas des empreintes digitales, elles sont faciles à reproduire, comme dans l'atelier pour enfants trivial. Le papier de l'ours gommeux (http://cryptome.org/gummy.htm) a maintenant 12 ans et devrait être connu de tous. La plupart des autres technologies biométriques peuvent également être dupées.
À un certain moment, il peut cependant être plus facile de contourner simplement le mécanisme de balayage lui-même. Néanmoins, je suis d'accord sur le fait que la biométrie n'est pas quelque chose sur lequel on devrait s'appuyer (du moins pas exclusivement)
La biométrie est une identification, pas une authentification. Que la conjonction d'un bon marketing et de «l'innocence» de certains décideurs ait conduit à l'utilisation de la biométrie pour authentifier les gens est vraiment un échec de notre industrie.
100% d'accord
Le «quelque chose que vous êtes» est souvent sécurisé si l'on essaie de s'authentifier directement. Malheureusement, dans la plupart des applications du monde réel, il n'est pas possible pour l'entité qui connaît la personne autorisée d'examiner une personne qui demande l'accès; au lieu de cela, il est nécessaire que l'entité s'appuie sur des descriptions tierces de la personne demandant l'accès.
#5
+1
user10008
2014-10-10 21:17:16 UTC
view on stackexchange narkive permalink

Le plus gros (et le seul) problème de l'authentification par mot de passe est que sa force est définie par l'utilisateur, et il y a un compromis force-utilisabilité . En théorie, les mots de passe ont beaucoup de bonnes propriétés pour un utilisateur: ils sont difficiles à obtenir de tiers par la force, vous ne les perdez pas partout comme des données biométriques, ils peuvent être stockés sous forme de hachage contrairement aux données biométriques, les utilisateurs peuvent rester anonymes pour le service (si vous partagez votre numéro de téléphone mobile pour 2 facteurs ou leur donnez vos empreintes digitales, vous perdez cela), les utilisateurs peuvent dire le mot de passe à d'autres personnes et partager l'accès. Essayez cela avec la biométrie ou les porte-clés. Les mots de passe offrent donc plus de contrôle à l'utilisateur, ce qui peut être un avantage, mais la plupart du temps est un inconvénient.

Ensuite, il y a des problèmes de mise en œuvre. Vous devez d'abord définir un mot de passe complètement distinct pour chaque endroit où vous devez utiliser un mot de passe. C'est parce que la plupart du temps, l'autre partie obtient votre mot de passe en texte brut. Lorsque vous utilisez un schéma d'authentification forte comme SCRAM-SHA1, vous ne transmettez jamais le mot de passe à un tiers et pouvez utiliser un schéma tel que «mot de passe fort» + «nom de site Web» pour votre mot de passe. Cette utilisation des mots de passe est cependant très difficile à séparer. Vous pouvez créer un petit appareil dans lequel les utilisateurs entrent leurs mots de passe, ce qui garantit que le mot de passe ne le quitte jamais, mais l'utilisateur peut être usurpé par l'ordinateur et penser qu'il doit y entrer. Là encore, la force repose sur l'utilisateur.

L'anonymat ne devrait pas être pire avec un porte-clés qu'avec des mots de passe. Si un utilisateur peut sélectionner un vecteur d'initialisation souhaité pour n'importe quel type d'algorithme de hachage utilisé par le porte-clés, le même porte-clés pourrait servir n'importe quel nombre de comptes différents sans que les codes générés soient reconnaissables comme provenant d'un seul porte-clés. De plus, des porte-clés bien conçus pourraient offrir plus de sécurité en ce qui concerne les mots de passe, car il serait possible qu'un porte-clés donne une autre information porte-clés qu'il pourrait utiliser pour dire "Je suis Y. Voici la preuve que X a dit que Y devrait avoir accès au compte de X jusqu'au 3 mai ".
Je souhaite que plus de systèmes fournissent un moyen par lequel un utilisateur "fred" pourrait facilement demander la création d'identifiants de connexion "fred.1", "fred.2", etc. qui auraient des sous-ensembles spécifiés de capacités et des mots de passe indépendants, et qui pourrait facilement être énuméré par, et individuellement révoqué par, le propriétaire du compte "fred".


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...