Что такое двухфакторная аутентификация?

Question

Мне было поручено найти и оценить некоторые библиотеки аутентификации для использования в одном из наших продуктов, и одна из продаваемых функций, предлагаемых некоторыми решениями, - это "двухфакторная аутентификация".

Что это за метод и как он работает? Существуют ли более эффективные методы (например, трехфакторная проверка подлинности)?

Answer 1

Двухфакторная аутентификация использует два фактора для аутентификации человека (или иногда процесса).

Это может быть ПИН-код (что-то, что вы знаете) и дебетовая карта (что-то, что у вас есть).

Существует множество факторов аутентификации, которые можно использовать:

Коэффициенты аутентификации применяются для специальная процедура аутентификации человек как личность с окончательно предоставленные права доступа. Существуют разные типы факторов для Аутентификация:

• Человеческий фактор неотъемлемо связан с человеком, например Биометрия («Что-то, что вы есть»).
• Личные факторы иным образом умственно или физически распределены на человек, как, например, узнал кодовые номера. («Что-то, что ты знаешь»)
• Технические факторы связаны с физическими средствами, такими как, например, проход, удостоверение личности или токен. («Что-то ты есть ")

Из википедии.

Какие факторы вы выбираете, зависит от типа требуемого доступа, необходимой безопасности, стоимости и особенно от того, с чем люди готовы мириться.

Людей раздражают надежные пароли, которые меняются каждые 4 месяца, так что вы можете найти сотрудников более счастливыми с ноутбуками, у которых есть сканеры отпечатков пальцев, и они могут использовать слабый пароль и отпечаток пальца - двухфакторная аутентификация может быть проще для пользователей.

Но другим, возможно, не понравятся последствия биометрической безопасности для конфиденциальности, и они предпочитают носить с собой устройство цепочки для ключей, которое выдает цифры, которые вводятся вместе с паролем.

В ситуациях с высокой степенью безопасности могут потребоваться все три фактора: что-то, что у вас есть, например карта, что-то такое, как изображение сетчатки глаза, и то, что вы знаете, например, пароль.

Но затраты и раздражение возрастают, когда вы добавляете больше уровней.

-Adam

Answer 2

"Существуют ли лучшие методы (например, трехфакторная аутентификация, я думаю)?"

Проблема не просто в более факторах. Это лучшее сочетание факторов.

Пароли легко теряются и скомпрометированы. Люди пишут их на наклейках и кладут на дно клавиш.

Другие факторы, не связанные с паролями, являются частью комплекса. Для приложений на основе браузера вы можете использовать IP-адрес и другие специфичные для ПК материалы, которые входят в заголовки HTTP. Для настольных приложений (например, подключений VPN) независимые генераторы ключей или подключаемые USB-считыватели могут обеспечить дополнительные факторы.

Answer 3

Когда два (или более) разных фактора используются для аутентификации кого-либо.

Например, банк может попросить вас указать номер вашего счета и пин-код. И иногда, например, когда вы звоните в колл-центры, они могут попросить вас указать дополнительные факторы, такие как имя, адрес, номер телефона, адрес и т. Д.

Теория состоит в том, что чем больше факторов вы можете подтвердить, тем выше вероятность, что вы имеете дело с правильным человеком. Насколько хорошо он работает и сколько безопасней это спорно, на мой взгляд ...

Факторы включают в себя:

• Человеческие факторы по своей природе связаны с человеком, например Биометрия («Что-то, что вы есть»).
• Личные факторы иным образом умственно или физически человек, как, например, узнал кодовые номера. («Что-то, что ты знаешь»)
• Технические факторы связаны с физическими средствами, такими как, например, проход, удостоверение личности или токен. ("Что-то у вас есть ")

См .: http://en.wikipedia.org/wiki/Two-factor_authentication

Answer 4

Я возьму это из совершенно другого такта. Все эти ответы верны, конечно, но я хочу немного расширить тему - подумать, где и когда применять двухфакторную аутентификацию. Существует три области, в которых может использоваться строгая аутентификация: аутентификация сеанса, взаимная аутентификация и аутентификация транзакций. Аутентификация сессии - это то, о чем думает большинство людей, когда они думают о 2FA. Но представьте, если бы людям приходилось использовать OTP только при совершении банковской транзакции. Поверхность атаки изменяется от «при входе в систему» ​​до «при совершении транзакции», что намного меньше. если для аутентификации транзакции используется система с открытым ключом для подписи передачи, то тем лучше.

Взаимная аутентификация - это система, которая пытается предотвратить атаки MiTM. Вы можете вспомнить маленькие картинки, которые используют некоторые банковские сайты, но они совершенно неэффективны, потому что в них не используется криптография. Вот как мы делаем взаимную аутентификацию, проверяя ssl-сертификат сайта для пользователя: http://www.wikidsystems.com/learn-more/technology/mutual_authentication/. Конечно, есть и другие способы сделать то же самое.