我相信你们都听说过两因素/多因素身份验证。基本上它归结为这些因素:
- 知识 - 你知道的东西(例如密码、PIN、图案)
- 拥有 - 您拥有的东西(例如手机、信用卡、钥匙)
- 存在——你是什么(例如指纹)
我的问题是:是否存在第四个身份验证因素?
除了我懒得通读的专利文件外,在 Google 上快速搜索并没有带来任何有趣的结果。可以在某个地方将您视为第四个因素吗?
我相信你们都听说过两因素/多因素身份验证。基本上它归结为这些因素:
我的问题是:是否存在第四个身份验证因素?
除了我懒得通读的专利文件外,在 Google 上快速搜索并没有带来任何有趣的结果。可以在某个地方将您视为第四个因素吗?
如您所述,主要的三个是:
我认为还有其他人:
绝对地!
您所在的某个地方在企业 IT 中被广泛使用。在许多环境中,如果您在办公室网络上,您可以只使用密码登录,但如果您不在办公室,则必须使用额外的因素,通常是令牌。
当前时间可以说是另一个身份验证因素,一个典型的例子是时间延迟安全。办公室通行证通常仅在一天中的特定时间有效。
可联系性有时被视为另一个因素,例如,在已知地址(或电子邮件、电话)收到一封信可证明身份。虽然这通常归结为您已经提到的因素之一,例如收到一封信表明您拥有该地址的钥匙。
当您对此进行更多思考时,您会意识到因素之间的区别非常模糊——尤其是在“您知道的东西”和“您拥有的东西”之间。如果你写下密码,那张纸会变成“你拥有的东西”吗?你提到一把钥匙是“你拥有的东西”——但如果锁匠知道这种模式,他们可以制作一把新钥匙。所以可以说,钥匙是真正的“你知道的东西”。
不。有三种。这里提到的所有其他人:
虽然我们将身份验证器分为三个常见类别,但重要的是要记住这些类别的定义有些松散。密码通常被认为是“你所知道的”身份验证器,但如果你把它写下来并参考论文而不是记忆,它会成为“你所拥有的”因素吗?如果一个系统使用键盘动态来监控你的打字节奏和速度进行身份验证,是依赖于“你是什么”还是“你知道什么”?在决定如何对特定身份验证器进行分类时,可能存在一些合理的分歧。
位置最初似乎可能是第四个因素,但真的是这样吗?系统如何知道您的位置?它可能依赖于设备提供的坐标或地址(物理或 IP)数据。这些数据是“你知道的”吗,因为拥有相同数据的其他人可以在他们自己的设备上复制该因素?由于系统依赖于设备的可信赖性来提供合法数据,因此它是“你所拥有的”吗?我们必须决定位置是否足够独特,可以被认为是它自己的独立因素类别。
我确实认为区分什么构成因素很重要,因为我们使用“多因素身份验证”等术语来表示某些系统的好处。如果您使用与过去登录相关联的 IP 地址的密码登录系统,是否是多因素?如果我们将位置视为第四个因素,那么答案是肯定的。但是,我还没有看到很多人将其描述为多因素身份验证系统。
在论文CASA: Context-Aware Scalable Authentication 中,作者同意位置数据可以作为身份验证过程中的一个因素,但具体将其定义为“被动”因素。它们区分需要用户交互的“被动”因素和“主动”因素(例如密码、指纹扫描等)。这似乎是一种将真正的身份验证因素与其他可用于帮助做出身份验证决策的数据区分开来的好方法。
在我看来,位置数据不应被视为第四个因素,但这并不妨碍它在身份验证过程中发挥作用。