许多产品声称提供“双因素身份验证”(cv Two-factor authentication - Wikipedia)。大多数被部署为“你拥有的东西”,除了普通密码(“你知道的东西”)之外,还可以使用。其中一些“第二个因素”就像提供一张纸一样简单,其中包含一次性密码或响应简单质询-响应协议所需的信息。其他范围一直到无法轻易复制的“硬”加密令牌。后者是例如NIST 800-63(电子认证指南) “保证级别 4”(又名 LOA 4)所要求的。
例如,纸质一次性密码是否符合 NIST 的“LOA 3”要求?对银行业的各种建议(例如 FFIEC)或其他实体的相关要求如何?
在发现这个问题之前,我开始问这个问题以获得输入。根据地方法官对PATCO v. People's United的推荐判决(这意味着关于多因素身份验证的可怕理论),我将您拥有的东西定义为:
您拥有的东西只能被对您拥有的东西具有物理访问权限的攻击者所破坏。这不包括:
也就是说,我会考虑一份包含 100 个密码的纸质列表,这些密码没有任何关系并且每个密码都只使用一次,这将被视为您拥有的东西。可能不止一次要求提供 100 个密码的纸质清单不符合攻击者的资格,因为攻击者将能够通过监控假装有权访问该凭证。
你所拥有的东西必须是可以通过物理控制来确保其完整性的东西。对通道另一端的攻击(例如窃取其身份验证数据库或破坏加密协议)不算在内。如果它可以在没有攻击者的物理干扰的情况下被破坏(或破坏加密算法,因为它们是远程展示所有权的组成部分),那么它就不是你拥有的东西。ATM 卡在这种情况下有点模糊——受感染的 ATM 可以提供所有的跟踪数据,尽管我们通常看到的是撇渣器(物理访问)。RSA 令牌是另一个我认为你有的东西。
我最喜欢智能卡,因为将它们放在读卡器中不会暴露它们的秘密,也不会破坏身份验证数据库。
回覆。基于论文的 OTP 解决方案是否可以满足 NIST 800-63 3 级要求的问题:
从源头 “...
身份验证要求索赔人通过安全身份验证协议证明他或她控制令牌,并且必须首先使用密码或生物特征解锁令牌,或者还必须在安全身份验证协议中使用密码,以建立双因素身份验证。……”
--> 答案是:不!Otoh,这也排除了基于 SMS 的解决方案,因为没有人能保证在不输入 PIN 的情况下无法看到一次性令牌......
嗯,我想对于 3 级合规性会有很多错误的妥协...... :)
双因素身份验证是更大的多因素身份验证系列的一部分。这是应用于身份验证的“分层安全”的纵深防御方法。
双重身份验证不仅仅是“您拥有的东西”。从这三种身份验证类别中选择任何两种将是两个因素:
用户知道的东西(例如,密码、PIN、SSN);
用户拥有的东西(例如,ATM 卡、智能卡、钥匙扣、RFID);和
用户是什么(例如,生物特征,例如指纹、虹膜扫描)。
两因素身份验证在非技术领域也很常见。例如必须在信用卡购买时出示您的照片 ID。信用卡是您所拥有的,其他人可以将卡上的姓名与买家的驾驶执照上的人脸相关联。
我个人的看法,但我认为“你拥有的东西”应该具有以下特点:
硬件令牌可以满足这些要求,而一次性密码则不满足。