四因素身份验证

信息安全 验证 多因素
2021-09-05 08:50:07

我相信你们都听说过两因素/多因素身份验证。基本上它归结为这些因素:

  • 知识 - 你知道的东西(例如密码、PIN、图案)
  • 拥有 - 您拥有的东西(例如手机、信用卡、钥匙)
  • 存在——你是什么(例如指纹)

我的问题是:是否存在第四个身份验证因素?

除了我懒得通读的专利文件外,在 Google 上快速搜索并没有带来任何有趣的结果。可以在某个地方将您视为第四个因素吗?

4个回答

如您所述,主要的三个是:

  • 知道的东西
  • 你有的东西
  • 是什么

我认为还有其他人:

  • 可以做的事情,例如准确地复制签名。
  • 表现出的某些东西,例如特定的人格特征,甚至可以通过 fMRI 读取的神经行为。这些并不是严格意义上的“是”功能,因为它们更加流畅。
  • 您认识的人,例如通过信任链进行身份验证。
  • 您在(或有权访问)的某个地方,例如将会话锁定到 IP,或向您的地址发送确认密码。就被称为身份验证因素而言,这有点微不足道,但它仍然很有用。

绝对地!

您所在的某个地方在企业 IT 中被广泛使用。在许多环境中,如果您在办公室网络上,您可以只使用密码登录,但如果您不在办公室,则必须使用额外的因素,通常是令牌。

当前时间可以说是另一个身份验证因素,一个典型的例子是时间延迟安全。办公室通行证通常仅在一天中的特定时间有效。

可联系性有时被视为另一个因素,例如,在已知地址(或电子邮件、电话)收到一封信可证明身份。虽然这通常归结为您已经提到的因素之一,例如收到一封信表明您拥有该地址的钥匙。

当您对此进行更多思考时,您会意识到因素之间的区别非常模糊——尤其是在“您知道的东西”和“您拥有的东西”之间。如果你写下密码,那张纸会变成“你拥有的东西”吗?你提到一把钥匙是“你拥有的东西”——但如果锁匠知道这种模式,他们可以制作一把新钥匙。所以可以说,钥匙是真正的“你知道的东西”。

不。有三种。这里提到的所有其他人:

  • 可以简化为典型的三个之一(例如,“你可以做的事情”是个人特征,因此被归类为“你是谁”;“你认识的人”意味着你可以提供与某人有联系的证据——那就是“你做的事情”有”!)
  • 不是身份验证的一部分,而是授权(时间、网络或物理位置并不能证明您的身份,但可以用来允许您访问与否)。仅在办公时间访问办公室的经典示例 - 在夜间,我们大多数人不会失去我们的身份,只是不允许我们访问办公室(仍然有一些高级用户,他们可以使用相同的身份验证 24/7 访问办公室就像白天一样,对吧?)

虽然我们将身份验证器分为三个常见类别,但重要的是要记住这些类别的定义有些松散。密码通常被认为是“你所知道的”身份验证器,但如果你把它写下来并参考论文而不是记忆,它会成为“你所拥有的”因素吗?如果一个系统使用键盘动态来监控你的打字节奏和速度进行身份验证,是依赖于“你是什么”还是“你知道什么”?在决定如何对特定身份验证器进行分类时,可能存在一些合理的分歧。

位置最初似乎可能是第四个因素,但真的是这样吗?系统如何知道您的位置?它可能依赖于设备提供的坐标或地址(物理或 IP)数据。这些数据是“你知道的”吗,因为拥有相同数据的其他人可以在他们自己的设备上复制该因素?由于系统依赖于设备的可信赖性来提供合法数据,因此它是“你所拥有的”吗?我们必须决定位置是否足够独特,可以被认为是它自己的独立因素类别。

我确实认为区分什么构成因素很重要,因为我们使用“多因素身份验证”等术语来表示某些系统的好处。如果您使用与过去登录相关联的 IP 地址的密码登录系统,是否是多因素?如果我们将位置视为第四个因素,那么答案是肯定的。但是,我还没有看到很多人将其描述为多因素身份验证系统。

在论文CASA: Context-Aware Scalable Authentication 中,作者同意位置数据可以作为身份验证过程中的一个因素,但具体将其定义为“被动”因素。它们区分需要用户交互的“被动”因素和“主动”因素(例如密码、指纹扫描等)。这似乎是一种将真正的身份验证因素与其他可用于帮助做出身份验证决策的数据区分开来的好方法。

在我看来,位置数据不应被视为第四个因素,但这并不妨碍它在身份验证过程中发挥作用。