“Somewhere you are”身份验证如何进一步增加安全性?

信息安全 验证 多因素
2021-08-19 04:53:03

除了基于“你拥有的东西”、“你知道的东西”和“你是什么东西”的认证技术之外,还使用了考虑“你在哪里”的认证技术。为什么?它是否增加了进一步的安全性?

4个回答

尽管您可能在其他地方读到过,但“您在某处”并不是一个身份验证因素。这是一个授权因素。

事实上,它并没有回答“你是你声称的那个人吗?”这个问题,而是回答“你应该在那里吗?/你被授权在这里吗?”。(“你是谁?”这个问题的答案是一个身份,又是另一个类别。)

进一步澄清(如评论中所问):拥有徽章、钥匙或知道密码(又名令牌)可以回答“你是你声称的人吗?”这个问题。因为令牌应该是唯一的并且应该由其所有者拥有。而多个不同的人很容易在门前试图进入。

如果在您非常具体的情况下,只有经过身份验证的人员可以在门前,这仅意味着已事先在其他地方执行了身份验证,并且您相信此特定位置是身份验证信息的良好传送器。这也意味着您信任第一种身份验证方法。这种信任是否错位取决于您的威胁模型。

附带说明:生物识别技术应仅被视为一个识别因素(或最弱的身份验证因素),因为您无法撤销生物识别功能,而您可以通过更改锁定或更新白名单来撤销被盗的身份验证因素。旁注结束。

这意味着在实践中,您应该独立于身份验证检查“您所在的位置”因素(IP 地址、地理定位、时间定位(日期到期)等),最好在经过适当的身份验证之后才能登录活动并能够做到问责。

所以是的,您可以在经典的 3 种身份验证因素之上使用“您所在的位置”因素,但不是作为另一个身份验证因素,而是作为授权参数。它是否有用取决于用例,这个问题的其他答案解决了这一点或给出了例子。

“你在哪里”可以用许多有用的方式来定义。

例如,可以确定位置在某个建筑物内。当它是一个您应该只从该建筑物登录的工作帐户时,这很有用。因此,如果您是从建筑物的网络登录,那么至少有一定程度的信任,即登录的人至少是物理存在的,并且未经授权的访问的威胁非常有限。

它也可以在国家层面进行定义。如果您提供特定国家/地区的服务,或者所有员工/用户都应该从特定国家/地区登录,那么来自该国家/地区以外的任何登录都是可疑的。

许多企业多年来一直使用“地理围栏”来阻止来自预期之外的地理区域的访问,这是地理身份验证的一种相反形式。在身份验证中使用位置作为积极因素只是这一点的自然延伸。

请注意,位置不是一个重要因素,因为可以将流量路由到不同的位置,以便从可接受的位置登录。

其他因素的隐含身份验证

“您在某处”的一个用例是在“某处”意味着已应用某些其他身份验证措施的情况下。

例如,您可能有一个计算机系统,您在其中使用用户名和密码(即仅“您知道的东西”)进行身份验证,但只能从安全位置的特定工作站访问,进入该位置通常需要进行身份验证。从这个意义上说,在那个地方意味着(尽管不一定确保)“你拥有的东西”和“你是的东西”两个因素也都得到了验证。

强制访问的情况

在某些情况下,“您在某处”通过确保访问发生在特定的物理环境中来增加额外的安全性。

您可能需要保密,以防止用户复制他们有权访问的某些数据 - 例如,在参加考试时,您希望防止人们复制和共享考题。您可以通过确保只能从用户的行为受到物理监控的位置进行访问来解决这个问题,并且将阻止用户(例如)使用他们的手机拍摄屏幕照片,甚至禁止带入此类设备到允许访问的地方。

再举一个例子,您可能希望通过对访问系统的人进行录像来确保访问的不可否认性(即虚假声明被盗凭据)。我已经看到在服务器托管设施中使用了此类措施 - 如果某些操作需要物理存在,您可以记录实际访问系统的人员以及访问了哪些系统。

因被抓风险而产生的威慑

许多身份验证系统对错误身份验证的尝试失败的后果很低,因此即使成功机会很低,这也允许攻击者尝试进行身份验证。但是,如果“您在某处”是一个因素,则可以选择该位置以确保提供虚假凭据的失败尝试可能导致攻击者被拘留。这也降低了攻击的可能性,因为许多潜在的攻击者会被这种风险吓倒。

答案已作为评论发布。我声称没有声誉分数

从欺诈的角度来看,它可能会有所帮助。例如,您的银行,如果您总是从 X 国付款,突然他们(银行)看到您从 Y 国付款,他们可能会添加一个额外的挑战(例如 SMS 代码)来验证它是最可能你

这是一个额外的。当您刷/触信用卡时,银行就知道商家在哪里。假设您自己使用自己的卡(例如,永远不要借给您的孩子/伴侣,这并不是一个坏主意),并且假设您确实安装了银行应用程序,银行可能会向您的手机推送地理定位请求,或者分析应用程序报告的您的位置历史记录(第二个更侵犯隐私)。

然后银行可以比较POS和移动设备之间的大致距离。精度取决于许多因素(它们的里程可能会有所不同),但是当手机在布拉格进行地理定位时在布鲁塞尔刷卡是一个危险信号!

例如,我的银行要求第二个。收集 24/7 的位置信息。

地理位置标准只是从欺诈分类的角度来看的一个特征,通常通过几个参数(频率、金额、商家类别、PIN 的使用......)进行评分。

实际可能发生的是,您可能会接到一个电话“您好,史密斯先生,我是 ABC 银行的 Alice,您的帐号以 #123 结尾,我打电话报告您的卡有异常活动”。

其它你可能感兴趣的问题
上一篇为我的 MySQL 驱动的业余网站做广告有什么危险? 下一篇是否有联合密码帐户?(如银行账户)