Monivaiheinen todennus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 20. marraskuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 11 muokkausta .

Monivaiheinen todennus ( MFA , englanninkielinen monivaiheinen todennus , MFA ) - edistynyt todennus , menetelmä, jolla valvotaan pääsyä johonkin ( tietokone , sivusto ja niin edelleen ), jossa käyttäjän on esitettävä useampi kuin yksi "todiste todennusmekanismista " päästäkseen käsiksi tietoihin .

Tällaisten todisteiden luokkiin kuuluvat:

Tieto on tietoa, jonka kohde tietää. Esimerkiksi salasana , PIN-koodi , koodi , ohjaussana ja niin edelleen.
Omistus on subjektin hallussa oleva asia. Esimerkiksi elektroninen tai magneettinen kortti, token, flash-muisti.
Omaisuus, joka yhteisöllä on. Esimerkiksi biometriset tiedot, luonnolliset ainutlaatuiset erot: kasvot, sormenjäljet (papillaarikuviot), iiris, DNA-sekvenssi.

Todennustekijät

Pääartikkeli: Todennus

Jo ennen tietokoneiden tuloa käytettiin kohteen erilaisia erityisiä piirteitä, sen ominaisuuksia. Nyt yhden tai toisen ominaisuuden käyttö järjestelmässä riippuu vaaditusta luotettavuudesta, turvallisuudesta ja toteutuskustannuksista. Todennustekijöitä on kolme:

Tietotekijä: tiedämme salasanan . Tämä on salaisia tietoja, jotka vain valtuutetulla henkilöllä tulisi olla. Salasana voi olla puhesana, tekstisana, lukon yhdistelmä tai henkilötunnus ( PIN ). Salasanamekanismi voidaan toteuttaa melko helposti ja sen kustannukset ovat alhaiset. Sillä on kuitenkin merkittäviä haittoja: salasanaa on usein vaikea pitää salassa, hyökkääjät keksivät jatkuvasti uusia tapoja varastaa, murtaa ja arvata salasana (katso bandit cryptanalysis , brute force method ). Tämä tekee salasanamekanismista heikosti suojatun. Monet salaiset kysymykset, kuten "Missä synnyit?", ovat alkeellisia esimerkkejä tietotekijästä, koska ne voivat olla laajan joukon ihmisiä tiedossa tai niitä voidaan tutkia.
Omistustekijä: Meillä on todennuslaite . Tässä on tärkeä seikka, että tutkittavalla on hallussaan jokin ainutlaatuinen esine. Se voi olla henkilökohtainen sinetti, lukon avain , tietokoneelle se on tiedosto, joka sisältää ominaisuuden. Ominaisuus on usein sisäänrakennettu tiettyyn todennuslaitteeseen, kuten muovikorttiin , älykorttiin . Hyökkääjän on vaikeampi saada käsiinsä tällainen laite kuin salasanojen murtaminen, ja kohde voi välittömästi ilmoittaa, jos laite varastetaan. Tämä tekee tästä menetelmästä turvallisemman kuin salasanamekanismi, mutta tällaisen järjestelmän hinta on korkeampi.
Ominaisuustekijä: jotain, joka on osa meitä - biometriset tiedot . Ominaisuus on kohteen fyysinen ominaisuus. Se voi olla muotokuva, sormenjälki tai kämmenenjälki , ääni tai silmän piirre . Kohteen näkökulmasta tämä menetelmä on yksinkertaisin: sinun ei tarvitse muistaa salasanaa tai kuljettaa todennuslaitetta mukanasi. Biometrisen järjestelmän on kuitenkin oltava erittäin herkkä, jotta se voi vahvistaa valtuutetun käyttäjän, mutta hylätä hyökkääjän, jolla on samanlaiset biometriset parametrit. Lisäksi tällaisen järjestelmän kustannukset ovat melko korkeat. Mutta puutteistaan huolimatta biometriset tiedot ovat edelleen varsin lupaava tekijä.

Turvallisuus

Asiantuntijoiden mukaan monitekijäinen todennus vähentää merkittävästi verkkoidentiteettivarkauksien mahdollisuutta, sillä uhrin salasanan tunteminen ei riitä petoksen tekemiseen. Monet monitekijätodennusmenetelmät ovat kuitenkin edelleen haavoittuvia tietojenkalastelu- , selain- ja mies keskellä -hyökkäyksille .

Pääartikkeli: Todennus

Järjestelmälle yhtä tai toista todennustekijää tai -menetelmää valittaessa on ensinnäkin noudatettava vaadittua turvallisuustasoa, järjestelmän rakentamiskustannuksia ja tutkittavan liikkuvuuden varmistamista.

Tässä vertailutaulukko:

Riskin taso	Laitteistovaatimukset	Todennustekniikka	Sovellusesimerkkejä
Lyhyt	Järjestelmään pääsy edellyttää todennusta, eikä varkaus, hakkerointi tai luottamuksellisten tietojen paljastaminen aiheuta merkittäviä seurauksia	Suositeltu vähimmäisvaatimus on uudelleenkäytettävien salasanojen käyttö.	Rekisteröityminen Internet-portaalissa
Keskiverto	Järjestelmään pääsy edellyttää todennusta, ja varkaus, hakkerointi ja luottamuksellisten tietojen paljastaminen aiheuttavat vain vähän vahinkoa	Suositeltu vähimmäisvaatimus on kertakäyttöisten salasanojen käyttö	Pankkitoimintojen suorittaminen kohteen toimesta
Korkea	Järjestelmään pääsy edellyttää todennusta, ja varkaus, hakkerointi ja luottamuksellisten tietojen paljastaminen aiheuttavat merkittäviä vahinkoja	Suositeltu vähimmäisvaatimus - Käytä monivaiheista todennusta	Suurten pankkien välisten liiketoimien suorittaminen johtohenkilöstön toimesta

Lainsäädäntö ja määräykset

Maksukorttiteollisuuden (PCI) tietoturvastandardi, vaatimus 8.3, edellyttää MFA:n käyttöä kaikessa verkon ulkopuolisessa etäverkkokäytössä Card Data Environment (CDE) -ympäristöön. [1] PCI-DSS-versiosta 3.2 alkaen MFA:n käyttö vaaditaan CDE:n järjestelmänvalvojan käyttöön, vaikka käyttäjä olisi luotetussa verkossa.

Kaksivaiheinen todennus

Kaksivaiheinen todennus ( DFA , englanniksi kaksivaiheinen todennus , joka tunnetaan myös nimellä kaksivaiheinen todennus ) on eräänlainen monitekijätodennus. DFA on tekniikka, joka mahdollistaa käyttäjän tunnistamisen kahden eri komponentin yhdistelmällä.

Esimerkkejä kaksivaiheisesta todennuksesta ovat Googlen ja Microsoftin valtuutus . Kun käyttäjä kirjautuu sisään uudelta laitteelta, häntä pyydetään antamaan käyttäjätunnus-salasana-todennuksen lisäksi kuusinumeroinen (Google) tai kahdeksannumeroinen (Microsoft) vahvistuskoodi. Tilaaja voi vastaanottaa sen tekstiviestillä , soittamalla puhelimeensa, vahvistuskoodin voi ottaa etukäteen laaditusta kertakoodien rekisteristä tai todennussovelluksella voidaan luoda uusi kertakäyttöinen salasana lyhyesti. ajanjaksoja . Menetelmä valitaan Google- tai Microsoft-tilin asetuksista.

Mobiililaitteen kaksivaiheisen todennuksen etu:

Ylimääräisiä tunnuksia ei tarvita , koska mobiililaite on aina käsillä.
Vahvistuskoodi muuttuu jatkuvasti, mikä on turvallisempaa kuin yksivaiheinen kirjautumissalasana.

Mobiililaitteen kaksivaiheisen todennuksen haitat:

Matkapuhelimen on tartuttava verkkoon, kun todennus tapahtuu, muuten salasanalla varustettu viesti ei yksinkertaisesti tule perille.
On tarpeen antaa matkapuhelinnumero, joka voi esimerkiksi aiheuttaa roskapostia tulevaisuudessa.
Tekstiviestit (SMS), jotka matkapuhelimella vastaanotettuina voidaan siepata [2] [3] .
Tekstiviestit saapuvat viiveellä, koska todentaminen kestää jonkin aikaa.
Nykyaikaisia älypuhelimia käytetään sekä postin että tekstiviestien vastaanottamiseen. Pääsääntöisesti sähköposti matkapuhelimessa on aina päällä. Siten kaikki tilit, joissa sähköposti on avain, voidaan hakkeroida (ensimmäinen tekijä). Mobiililaite (toinen tekijä). Johtopäätös: älypuhelin sekoittaa kaksi tekijää yhdeksi.

Nyt monet suuret palvelut, kuten Microsoft, Google, Dropbox, Facebook, tarjoavat jo mahdollisuuden käyttää kaksivaiheista todennusta. Ja kaikissa niissä voit käyttää yhtä autentikointisovellusta , joka täyttää tietyt standardit, kuten Google Authenticator, Microsoft Authentificator, Authy tai FreeOTP.

Käytännön toteutus

Monet monitekijätodennustuotteet edellyttävät, että käyttäjällä on asiakasohjelmisto, jotta monitekijätodennusjärjestelmä toimii. Jotkut kehittäjät ovat luoneet erilliset asennuspaketit verkkokirjautumiseen, verkkokäyttöoikeuksiin ja VPN-yhteyteen. Jotta voit käyttää merkkiä tai älykorttia näiden tuotteiden kanssa , sinun on asennettava neljä tai viisi erityistä ohjelmistopakettia tietokoneellesi. Nämä voivat olla versionhallintapaketteja tai paketteja, joilla tarkistetaan ristiriitoja yrityssovellusten kanssa. Jos pääsy voidaan tehdä web-sivujen kautta, ei odottamattomia kustannuksia aiheudu. Muilla monitekijätodennusohjelmistoratkaisuilla, kuten "virtuaalisilla" tunnuksilla tai joillakin laitteistotunnisteilla, suorat käyttäjät eivät voi asentaa mitään ohjelmistoa.

Monitekijätodennusta ei ole standardoitu. Sen toteuttamiseen on erilaisia muotoja. Siksi ongelma piilee sen kyvyssä olla vuorovaikutuksessa. On monia prosesseja ja näkökohtia, jotka on otettava huomioon valittaessa, kehitettäessä, testattaessa, toteutettaessa ja ylläpidettäessä täydellistä tietoturvan identiteetin hallintajärjestelmää, mukaan lukien kaikki asiaankuuluvat todennusmekanismit ja niihin liittyvät tekniikat: Brent Williams kuvailee nämä kaikki "Identity"-kontekstissa. Elinkaari" [1]

Monitekijätodennuksella on useita haittoja, jotka estävät sen jakelun. Erityisesti henkilön, joka ei ymmärrä tätä aluetta, on vaikea seurata laitteistotunnusten tai USB-avainten kehitystä. Monet käyttäjät eivät pysty asentamaan sertifioitua asiakasohjelmistoa itse, koska heillä ei ole asianmukaisia teknisiä taitoja. Yleensä monitoimiratkaisut vaativat lisäasennus- ja käyttökustannuksia. Monet tokeneihin perustuvat laitteistokompleksit on patentoitu, ja jotkut kehittäjät veloittaa käyttäjiltä vuosimaksun. Logistisesta näkökulmasta laitteistotokeneja on vaikea sijoittaa, koska ne voivat vaurioitua tai kadota. Tokenien liikkeeseenlaskua suurissa organisaatioissa, kuten pankeissa ja muissa suurissa yrityksissä, tulisi säännellä. Monitekijätodennuksen asennuskustannusten lisäksi huomattava summa maksetaan myös ylläpidosta. Vuonna 2008 suuri mediaresurssi Credit Union Journal suoritti tutkimuksen yli 120 yhdysvaltalaisen luotto-osuuskunnan kesken. Kyselyn tarkoituksena on näyttää kaksivaiheiseen tunnistamiseen liittyvät ylläpitokustannukset. Lopulta kävi ilmi, että ohjelmiston sertifioinnilla ja työkalurivin pääsyllä on korkeimmat kustannukset.

Patentit

Vuonna 2013 Dotcomissa Kim väitti keksineensä vuonna 2000 patentoidun kaksivaiheisen todennuksen [4] ja uhkasi hetken haastaa kaikki suuret verkkopalvelut oikeuteen. Euroopan patenttivirasto kuitenkin peruutti hänen patenttinsa [5] AT&T:n aiemman vuoden 1998 Yhdysvaltain patentin vuoksi. [6]

Katso myös

Muistiinpanot

↑ Virallinen PCI-suojausstandardien neuvoston sivusto - Tarkista PCI-yhteensopivuus, lataa tietoturva- ja luottokorttiturvastandardit . www.pcisecuritystandards.org . Haettu 25. heinäkuuta 2016. Arkistoitu alkuperäisestä 27. joulukuuta 2021. (määrätön)
↑ NIST valmistautuu luopumaan tekstiviestipohjaisista kirjautumisturvakoodeista. Aika on loppumassa tälle suositulle verkkoturvatekniikalle (englanniksi) , Fortune (26. heinäkuuta 2016). Arkistoitu alkuperäisestä 20. huhtikuuta 2018. Haettu 13. elokuuta 2016. "Koska tekstiviestit voidaan siepata tai ohjata uudelleen, uusien järjestelmien toteuttajien tulee harkita huolellisesti vaihtoehtoisia todentajia", NIST.
↑ Durov ilmoitti erikoispalveluiden osallistumisesta opposition Telegramin hakkerointiin . RosBusinessConsulting (2. toukokuuta 2016, klo 20.18). - "... perjantai-iltana MTS:n tekninen turvallisuusosasto katkaisi tekstiviestien toimituspalvelun häneltä (Oleg Kozlovsky), minkä jälkeen 15 minuuttia myöhemmin joku Unix-konsolista IP-osoitteessa yhdellä Tor anonymizer -palvelimesta lähetti sen Telegramille uuden laitteen valtuutuspyynnön Kozlovskyn puhelinnumerolla. Hänelle lähetettiin tekstiviesti koodilla, jota ei toimitettu, koska palvelu oli pois käytöstä. Hyökkääjä syötti sitten valtuutuskoodin ja pääsi aktivistin Telegram-tiliin. ”Pääkysymys on, kuinka tuntemattomat pääsivät käsiksi koodiin, joka lähetettiin tekstiviestillä, mutta jota ei toimitettu. Valitettavasti minulla on vain yksi versio: SORM-järjestelmän kautta tai suoraan MTS:n teknisen turvaosaston kautta (esimerkiksi "toimivaltaisten viranomaisten" kutsulla), aktivisti painotti. Haettu 11. toukokuuta 2017. Arkistoitu alkuperäisestä 17. kesäkuuta 2018. (Venäjän kieli)
↑ Schmitz, Kim, "Valtuutusmenetelmä tiedonsiirtojärjestelmissä", US 6078908
↑ Brodkin, Jon Kim Dotcom väittää keksineensä kaksivaiheisen todennuksen, mutta hän ei ollut ensimmäinen (html). Ars Technica (23. toukokuuta 2013). Haettu 25. heinäkuuta 2019. Arkistoitu alkuperäisestä 9. heinäkuuta 2019. (määrätön)
↑ Blonder, et al., "Transaction Authorization and Alert System", US 5708422

Linkit

Eric Grosse, Mayank Upadhyay, Authentication at Scale. IEEE Security and Privacy, tammi/helmikuu 2013 , IEEE Computer and Reliability Societies. (Englanti)
DRAFT NIST -erikoisjulkaisu 800-63B. Digitaalinen todennusohje. Todennus ja elinkaaren hallinta // NIST, 2016 (eng.)
Monivaiheinen todennus yksinkertaisin sanoin