Является ли программный токен вторым фактором в многофакторной безопасности?

Question

Мы меняем процесс безопасности удаленного входа на моем рабочем месте, и мы обеспокоены тем, что новая система не использует многофакторную аутентификацию , как старая. (Мы использовали брелки RSA, но их заменяют из-за стоимости.) Новая система представляет собой систему защиты от фишинга, которая была неправильно понята как двухфакторная система аутентификации. В настоящее время мы изучаем способы продолжения обеспечения многофакторной безопасности без предоставления аппаратных устройств пользователям.

Можно ли написать программную систему токенов для установки на ПК пользователя, которая стала бы истинным вторым фактором в системе многофакторной аутентификации? Будет ли это считаться «чем-то, что есть у пользователя», или это будет просто другая форма «того, что знает пользователь»?

Редактировать: phreakre делает хорошее замечание о куки. Ради этого вопроса предположим, что куки были исключены, поскольку они недостаточно безопасны.

Answer 1

Я бы сказал "нет". Я не думаю, что вы действительно можете получить «что-то, что у вас есть», часть многофакторной аутентификации без выдачи чего-либо, что конечный пользователь может нести с собой. Если у вас что-то есть, это означает, что оно может быть потеряно - не многие пользователи теряют свои настольные компьютеры. В конце концов, безопасность «чего-то, что у вас есть» зависит от следующего:

• вы заметите, когда у вас его нет - ясное указание на безопасность было взломано
• только 1 человек может иметь его. Так что, если вы это сделаете, кто-то еще не

Программные токены не дают таких же гарантий, и я бы с чистой совестью не отнесла это к тому, что пользователь "имеет".

Answer 2

Программный токен является вторым фактором, но он, вероятно, не такой хороший выбор, как брелок RSA. Если компьютер пользователя скомпрометирован, злоумышленник может автоматически скопировать токен программного обеспечения, не оставляя следов, когда он был украден (в отличие от брелока RSA, где ему придется взять сам брелок, поэтому у пользователя есть шанс заметить, что он отсутствует).

Answer 3

Хотя я не уверен, что это «действительный» второй фактор, многие веб-сайты уже давно используют этот тип процесса: куки. Вряд ли безопасно, но это тип предмета, который вы описываете.

Что касается «что-то, что есть у пользователя», а не «что-то, что знает пользователь», если это что-то постоянно находится на ПК пользователя [как фоновое приложение, предоставляющее информацию по запросу, но не требующее от пользователя что-либо делать], я бы сказал, подать его под "вещи, которые пользователь имеет". Если они вводят пароль в какое-либо поле, а затем вводят другой пароль, чтобы разблокировать информацию, которую вы храните на своем ПК, то это «что-то, что пользователь знает».

Что касается коммерческих решений, которые уже существуют: мы используем продукт для окон, который называется BigFix. Хотя это прежде всего продукт для удаленного конфигурирования и обеспечения соответствия, у нас есть модуль, который работает как часть нашей многофакторной системы для удаленных / VPN-ситуаций.

Answer 4

Безопасность всегда о компромиссах. Аппаратные токены может быть сложнее украсть, но они не предлагают никакой защиты от сетевых атак MITM. Если это веб-решение (я полагаю, так как вы используете одну из систем на основе изображений), вам следует рассмотреть возможность использования взаимной аутентификации https. Тогда вы получаете защиту от многочисленных DNS-атак и атак на основе Wi-Fi.

Вы можете узнать больше здесь: http://www.wikidsystems.com/learn-more/technology/mutual_authentication а также http://en.wikipedia.org/wiki/Mutual_authentication и вот учебник по настройке взаимной аутентификации для предотвращения фишинга: http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.

Система, основанная на изображениях, представляет собой взаимную аутентификацию, что, я думаю, так и есть, но поскольку она не основана на принципах криптографии, она довольно слабая. Что мешает MITM представить изображение тоже? Это менее чем удобный ИМО тоже.

Answer 5

То, что вы описываете, есть у компьютера , а не у пользователя. Таким образом, вы можете предположительно (в зависимости от реализации) быть уверенным, что это компьютер, но никаких гарантий относительно пользователя ...

Теперь, поскольку мы говорим об удаленном входе в систему, возможно, ситуация с персональными ноутбуками? В этом случае ноутбук - это то, что у вас есть, и, конечно, пароль к нему, как то, что вы знаете ... Тогда все, что остается, - это безопасная реализация, и это может нормально работать.

Answer 6

Я согласен с @freespace, что изображение не является частью многофакторной аутентификации для пользователя. Как вы заявляете, изображение является частью антифишинговой схемы. Я думаю, что изображение на самом деле является слабой аутентификацией системы для пользователя. Изображение обеспечивает аутентификацию пользователя на то, что веб-сайт является действительным, а не поддельным фишинговым сайтом.

Можно ли написать программную систему токенов для установки на ПК пользователя, которая стала бы истинным вторым фактором в системе многофакторной аутентификации?

Программная система токенов звучит так, как будто вы хотите исследовать протокол Kerberos, http://en.wikipedia.org/wiki/Kerberos_(protocol). Хотя я не уверен, будет ли это считаться многофакторной аутентификацией.