Question:
Authentification à quatre facteurs
rink.attendant.6
2014-09-23 19:52:33 UTC
view on stackexchange narkive permalink

Je suis sûr que vous avez tous entendu parler de l'authentification à deux facteurs / multi-facteurs. Fondamentalement, cela se résume à ces facteurs:

  • Connaissances - quelque chose que vous connaissez (par exemple, mot de passe, code PIN, schéma)
  • Possession - quelque chose que vous avez (par exemple, téléphone portable, carte de crédit , clé)
  • Existence - quelque chose que vous êtes (par exemple, empreinte digitale)

Ma question est: Existe-t-il un quatrième facteur d'authentification?

Une recherche rapide sur Google n'a apporté aucun résultat intéressant autre qu'un document de brevet que je n'ai pas pris la peine de lire. Pourriez-vous quelque part être considéré comme un quatrième facteur?

Techniquement, «l'existence» est un sous-ensemble de la «possession». Bien sûr, c'est "intégré dans votre corps", mais c'est toujours "quelque chose que vous avez". Empreinte digitale? Ils peuvent vous couper le doigt: maintenant, ils l'ont.
@Lohoris Les termes sont plutôt flous pour commencer - il en va de même pour le mot de passe, c'est la possession comme tout ce qui peut être copié - c.f. [Analyse cryptographique des tuyaux en caoutchouc] (http://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis).
@Lohoris eh bien, je dirais que l'une des caractéristiques importantes de la catégorie "quelque chose que vous avez" est que vous pouvez la laisser à la maison (ou dans un coffre-fort, avec un ami de confiance, etc.) lorsque vous n'en avez pas besoin il. En ce sens, je ne considérerais pas l'existence comme un sous-ensemble.
duplication possible de [Combien de facteurs d'authentification y a-t-il?] (http://security.stackexchange.com/questions/10434/how-many-authentication-factors-are-there)
@ThomasW. Étant donné que cette question a des réponses beaucoup plus complètes, il serait préférable de fermer l'inverse.
Ancienne question, mais j'ai réalisé qu'un nouveau facteur est apparu!Quelque chose que vous portez.Un exemple notable est Apple Pay sur Apple Watch.Si la montre est déverrouillée et que la personne continue de la porter, elle peut toucher pour payer.Mais s'ils l'enlèvent, la montre se verrouille et ils doivent ressaisir le code PIN.
Six réponses:
Polynomial
2014-09-23 21:04:41 UTC
view on stackexchange narkive permalink

Comme vous l'avez noté, les trois principaux sont:

  • Quelque chose que vous savez^
  • Quelque chose que vous avez
  • Quelque chose que vous êtes

Je dirais qu'il y en a d'autres:

  • Quelque chose que vous peut faire , par exemple reproduire fidèlement une signature.
  • Quelque chose que vous montrez , par exemple un trait de personnalité particulier, voire un comportement neurologique qui pourrait être lu par une IRMf. Ce ne sont pas strictement des fonctionnalités "sont", car elles sont plus fluides.
  • Quelqu'un que vous connaissez, par exemple authentification par chaîne de confiance.
  • Quelque part où vous vous trouvez (ou auquel vous avez accès), par exemple verrouiller une session sur une adresse IP ou envoyer une broche de confirmation à votre adresse. Celui-ci est un peu ténu en ce qu'il est appelé facteur d'authentification , mais il est toujours utile de le noter.
J'allais ajouter le ** quelque part ** que vous êtes, mais pas seulement le numérique -physical. Semblable aux traits que vous présentez, si vous essayez de vous authentifier deux fois, à partir de deux emplacements distincts, un algorithme peut rapidement déterminer la * faisabilité * de vous être aux deux endroits - combiné avec d'autres, il s'agit d'une authentification puissante.
Tous ces éléments font partie des 3 premiers: * peut faire * est à peu près * savoir * ou * avoir *, peut-être * sont *; * l'exposition * est * ont *; * quelqu'un * (relation) est * savoir * ou * avoir *, * quelque part * est * avoir *, maaaaybe * savoir *.
Vous semblez confondre «authentification» avec «autorisation» et quelques autres. la chaîne de confiance n'est pas une forme d'authentification, c'est le mécanisme pour propager l'identité en se garantissant les uns les autres. Les deux premiers, comme l'a dit @trysis, font partie des autres facteurs.
J'aime «Quelque part vous êtes» en termes de point de vente physique comme la pompe à essence et votre propension à visiter cette station-service. On pourrait même ajouter une pièce temporelle comme dans votre schéma de chronométrage lors des visites une variante du déclencheur d'alarme de carte de crédit pour le test de carte volée de la pompe à essence suivi de l'achat de baskets. Cela suggère que votre activité par rapport au temps et au lieu pourrait également fonctionner. +1 pour une réflexion hors de la boîte (ennuyeuse et à usage limité).
@trysis: Ce que vous * savez * pourrait être divulgué, ce que vous * avez * pourrait être volé, ce que vous * pouvez faire * n'est pas imité aussi facilement. Si vous allez plus loin, vous pourriez affirmer qu'il n'y a que * have *, car sur Internet, peu importe que vous ayez saisi ce que vous * savez * manuellement ou que vous l'ayez obtenu par un appareil que vous * possédez *.
Bon point. Même ce que vous * avez * et ce que vous * êtes * est confus car ce que vous * pouvez prouver que vous avez * (ce qui est de toute façon l'authentification) est limité par * l'appareil que vous avez *, et cet appareil (ou plutôt le logiciel dessus) ) essentiellement * est * vous sur Internet. Ensuite, cela est encore plus limité par les choix que vous avez faits, l'argent que vous avez utilisé, qui sont vos parents, etc., donc, en d'autres termes, * qui vous êtes * en tant que personne.
Excellent exemple de "quelque chose que vous pouvez faire": http://www.funnyjunk.com/funny_pictures/688935/Korean/
@AviD Si un utilisateur se connecte à mon service via son compte Google associé, ne serait-ce pas un exemple de l'idée d'authentification par chaîne de confiance? Je comprends qu'à l'origine, ce serait un nom d'utilisateur / mot de passe, "Quelque chose que vous savez", mais pour mon site, je ne verrais pas cela, j'aurais juste l'affirmation de Google selon laquelle cette personne est celle qu'elle prétend être.
Si vous allez ajouter qui (faire confiance), quoi (beaucoup d'entre eux), comment (quelque chose que vous pouvez faire) et où, vous devriez probablement compléter la liste avec quand (vous ne pouvez le faire que pendant ___ temps) et trouver un façon de presser pourquoi là-dedans (peut-être exercé par des traits de personnalité?)
@Blackhawk oui et non - Google authentifie l'utilisateur (par exemple via un mot de passe, ou autre). * Vous * n'authentifiez pas du tout l'utilisateur * - vous vous fiez uniquement à l'assertion de Google. C'est un exemple parfait de la raison pour laquelle j'ai dit que la «chaîne de confiance» est une méthode de partage de l'assertion et non un facteur d'authentification.
paj28
2014-09-23 20:07:26 UTC
view on stackexchange narkive permalink

Absolument !

Quelque part où vous êtes est assez largement utilisé dans l'informatique d'entreprise. Dans de nombreux environnements, si vous êtes sur un réseau de bureau, vous pouvez vous connecter en utilisant uniquement un mot de passe, mais si vous êtes absent du bureau, vous devez utiliser un facteur supplémentaire, généralement un jeton.

Le l'heure actuelle est sans doute un autre facteur d'authentification, un exemple classique étant un coffre-fort de temporisation. Les laissez-passer de bureau ne sont souvent valables qu'à certaines heures de la journée.

La contactabilité est parfois considérée comme un autre facteur, par exemple recevoir une lettre à une adresse connue (ou un e-mail, un appel téléphonique) prouve l'identité. Bien que cela se résume généralement à l'un des facteurs que vous avez déjà mentionnés, par exemple recevoir une lettre montre que vous avez la clé de cette adresse.

En y réfléchissant davantage, vous réalisez que la distinction entre les facteurs est assez floue - en particulier entre «quelque chose que vous savez» et «quelque chose que vous avez» . Si vous écrivez un mot de passe, ce morceau de papier devient-il «quelque chose que vous avez»? Vous dites qu'une clé est «quelque chose que vous avez» - mais si un serrurier connaît le modèle, il peut en créer une nouvelle. On peut donc dire qu’une clé est vraiment "quelque chose que vous savez".

L'heure n'est pas un facteur d'authentification. C'est toujours un contrôle de sécurité, mais cela n'a rien à voir avec l'authentification elle-même, car il ne fournit pas la preuve que quelque chose ou quelqu'un est * authentique *.
@Polynomial, cela dépend dans un bureau, l'heure est un facteur d'authentification, car pendant les heures normales de bureau, on peut souvent supposer qu'un membre du personnel ne pourra pas s'asseoir devant un ordinateur. Mais tous les paris sont ouverts en dehors des heures normales.
Pour être juste envers vous deux, paj28 a raison en ce que les lignes commencent à s'estomper. YubiKey, par exemple, génère des OTP uniques pour l'authentification au deuxième facteur, dont une partie comprend une valeur de date / heure et un compteur incrémentiel pour empêcher les attaques de relecture.
@IanRingrose, Je dirais que votre «quelque part où vous êtes» et votre «contactabilité» sont liés, en ce sens qu'ils impliquent tous deux que vous puissiez accéder à un certain emplacement (le bureau ou l'adresse où le courrier est livré). À partir de là, la "possibilité de contact" est dévolue à tout facteur utilisé par un autre emplacement (pour une lettre envoyée à vous, il est de retour à la * possession * de la clé de votre maison). Dans votre exemple de réseaux d'entreprise, cela relève de la chaîne de confiance de Polynomial, en ce sens que quelqu'un d'autre vous a suffisamment fait confiance pour vous permettre d'entrer dans le bâtiment, donc encore une fois, cela revient à n'importe quel facteur utilisé pour cela.
@Polynomial si quelqu'un prétendait être George Washington, l'heure (d'aujourd'hui) invaliderait une telle affirmation.
@user2813274 Sauf que le compte de George Washington serait longtemps fermé et verrouillé, et votre exemple n'a rien à voir avec les verrous temporels dans ce contexte.
ioo
2014-09-24 01:35:36 UTC
view on stackexchange narkive permalink

Non. Il ya trois. Tous les autres mentionnés ici soit:

  • peut être réduit à l'un des trois canoniques (par exemple "quelque chose que vous pouvez faire" est une caractéristique personnelle, donc classée comme "quelque chose que vous êtes"; "quelqu'un que vous connaissez "signifie que vous pouvez présenter une preuve de connexion à quelqu'un - c'est" quelque chose que vous avez "!)
  • ne font pas partie de l ' authentification , mais de l' autorisation ( l'heure, le réseau ou l'emplacement physique ne prouvent pas votre identité, mais peuvent être utilisés pour vous autoriser ou non). Exemple classique avec accès au bureau uniquement pendant les heures de bureau - pendant la nuit, la plupart d'entre nous ne perdons pas notre identité, nous ne sommes tout simplement pas autorisés à accéder au bureau (il y a encore des utilisateurs expérimentés, qui peuvent accéder au bureau 24/7 avec la même autorisation comme pendant la journée, non?)
Mais les trois canoniques ne peuvent-ils pas être réduits à 1. Votre empreinte digitale est quelque chose que vous êtes, mais je peux vous couper le doigt et cela devient quelque chose que j'ai. Votre mot de passe est quelque chose que vous connaissez, mais si vous l'écrivez et que je le vole, c'est quelque chose que j'ai.
PwdRsch
2014-09-23 23:10:20 UTC
view on stackexchange narkive permalink

Bien que nous attribuions les authentificateurs en trois catégories courantes, il est important de garder à l'esprit que ces catégories sont définies de manière assez vague. Les mots de passe sont normalement considérés comme des authentificateurs «ce que vous savez», mais si vous les écrivez et faites référence au papier au lieu de la mémoire, cela devient-il un facteur «ce que vous avez»? Si un système s’authentifie en utilisant la dynamique du clavier pour contrôler le rythme et la vitesse de votre frappe, est-ce que cela dépend de «ce que vous êtes» ou de «ce que vous savez»? Il peut y avoir un désaccord raisonnable au moment de décider comment classer des authentificateurs spécifiques.

L'emplacement semble au départ que cela pourrait être un quatrième facteur, mais est-ce vraiment? Comment un système connaît-il votre emplacement? Il repose probablement sur des coordonnées ou des données d'adresse (physiques ou IP) fournies par un appareil. Ces données sont-elles alors "ce que vous savez", car quelqu'un d'autre avec ces mêmes données peut dupliquer ce facteur sur son propre appareil? Est-ce «ce que vous avez» puisque le système repose sur la fiabilité d’un appareil pour fournir des données légitimes? Nous devons décider si l'emplacement est suffisamment distinct pour être considéré comme sa propre catégorie de facteurs indépendante.

Je pense qu'il est important de faire une distinction sur ce qui constitue un facteur puisque nous utilisons des termes comme «authentification multifacteur »Pour indiquer les avantages de certains systèmes. Est-ce multifactoriel si vous vous connectez à un système avec un mot de passe d'une adresse IP associée à des connexions antérieures? Si nous considérons l'emplacement comme un quatrième facteur, la réponse est oui. Cependant, je n'ai pas vu beaucoup de gens qualifier cela de système d'authentification multifacteur.

Dans l'article CASA: Authentification évolutive sensible au contexte, les auteurs conviennent que les données de localisation peuvent servir de facteur dans le processus d'authentification, mais les définissent spécifiquement comme un facteur «passif». Ils font la distinction entre les facteurs «passifs» et les facteurs «actifs» qui nécessitent une interaction de l'utilisateur (par exemple, mots de passe, analyses d'empreintes digitales, etc.). Cela semble être un bon moyen de séparer les vrais facteurs d'authentification des autres données qui peuvent être utilisées pour aider à prendre des décisions d'authentification.

À mon avis, les données de localisation ne devraient pas être considérées comme un quatrième facteur, mais cela ne l'empêche pas d'être utile lors du processus d'authentification.

Je considérerais l'emplacement comme un attribut distinct si les mécanismes de vérification de l'emplacement sont considérés comme étant sous le contrôle de l'agent responsable de l'authentification. Si la porte d'une pièce est fermée à un moment où les capteurs de poids et de mouvement peuvent confirmer qu'il n'y a qu'une seule personne à l'intérieur et que quelqu'un dans la pièce fait deux actions, le fait que les deux actions aient été effectuées dans la pièce implique que tout ce qui est la connaissance de l'identité de la personne effectuant le premier est également vraie quant à l'identité de la personne effectuant la seconde, et vice versa.
Même si on demandait à une personne au hasard dans la rue d'entrer dans la pièce et d'effectuer les deux actions, l'identité de la personne effectuant la deuxième action serait connue pour correspondre à celle de la personne qui a fait la première. La personne ne «saurait» vraiment rien ou «n'a» rien. Je suppose que le fait que la personne apparaisse aux capteurs comme un individu plutôt que deux pourrait constituer un «quelque chose qu'il est», mais cela semblerait très faible par rapport à la force des assurances quant à l'identité du deuxième acteur.
John Deters
2014-09-23 20:57:29 UTC
view on stackexchange narkive permalink

Comme pour tout ce qui concerne la sécurité, déterminer où vous vous trouvez nécessite de la confiance. Si vous devez entrer votre code PIN sur le clavier à 10 touches monté sur la porte de l'installation sécurisée, comment savoir que la connexion réseau du centre de données à la porte n'a pas été détournée vers un faux clavier PIN installé ailleurs? Comment savez-vous qu'il n'y a pas de proxy en place, manipulant les clés au nom de quelqu'un d'autre?

Ou pour un exemple largement utilisé, considérez qu'il existe ( de nombreuses) applications disponibles pour les iPhones qui permettent à l'utilisateur de spécifier l'emplacement de son choix aux services de localisation. Un cas d'utilisation simple pourrait être pour quelqu'un de faire semblant d'être au travail alors qu'il est réellement sur le terrain de golf. Cependant, vous pouvez falsifier votre emplacement pour bénéficier d'avantages autrement restreints: imaginez un livre électronique avec une clôture géographique qui lui permet d'être lu uniquement dans une bibliothèque publique. Et si vous comptiez sur le téléphone pour auto-déclarer l'emplacement afin de supprimer le besoin d'utiliser un jeton sécurisé, un attaquant pourrait l'utiliser pour dégrader la sécurité en quelque chose de plus facilement cassé.

Vous pouvez certainement ajoutez un emplacement à un système de sécurité, mais vous devez également envisager des mesures pour vous assurer qu'il n'est pas vaincu.

Bien que cette réponse puisse être vraie, je ne vois pas vraiment comment elle répond à la question de savoir s'il existe une quatrième classe de facteurs d'authentification. Voulez-vous [modifier] pour élaborer sur cette partie?
J'abordais sa dernière question: "puis-je utiliser * où * quelqu'un est comme quatrième facteur?"
Adam
2014-11-10 06:57:27 UTC
view on stackexchange narkive permalink

Le quatrième facteur serait quelque chose que l'individu fait , (biométrie dynamique). Les exemples incluent la reconnaissance par modèle de voix, les caractéristiques d'écriture manuscrite et le rythme de frappe.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...