En-, to- og tre-faktor-autentificering

Jeg er løbet ind i det igen. Endnu en organisation der mener at to brugeridentifikatorer og passwords udgør to-faktor-autentifikation og opfylder PCI DSS krav 8.3. Med al den dokumentation der er tilgængelig på internettet, skulle man tro at dette emne ville være dækket koldt. Der synes dog stadig at være forvirring om, hvad der udgør en-, to- og tre-faktor-autentifikation, så jeg tænkte, at jeg ville tage mig tid til at forklare disse begreber.

Lad os tale om definitionerne af de tre autentifikationsfaktorer.

• En-faktor-autentifikation – dette er “noget, som en bruger ved”. Den mest anerkendte type af en-faktor-autentifikationsmetode er adgangskoden.
• To-faktor-autentifikation – ud over den første faktor er den anden faktor “noget, som en bruger har”. Eksempler på noget, som brugeren har, er en fob, der genererer en forudbestemt kode, et signeret digitalt certifikat eller endog et biometrisk kendetegn som f.eks. et fingeraftryk. Den mest anerkendte form for to-faktor-godkendelse er den allestedsnærværende RSA SecurID-fob.
• Tre-faktor-godkendelse – ud over de to foregående faktorer er den tredje faktor “noget, brugeren er”. Eksempler på en tredje faktor er alle biometriske faktorer som f.eks. brugerens stemme, håndkonfiguration, et fingeraftryk, en nethindescanning eller lignende. Den mest anerkendte form for tre-faktor-autentifikation er normalt nethindescanning.

Det vigtige at bemærke ved de førnævnte definitioner er, at de ikke et eneste sted nævner brugen af to passwords eller passphrases, to fingeraftryk eller to nethindescanninger. En sådan brug af to af de samme faktorer betragtes som flerfaktorautentificering og er ikke relateret til nogen af de ovennævnte definitioner. Så de af jer, der bruger to forskellige brugeridentifikatorer og passwords, bruger ikke to-faktor-autentificering, I bruger multi-faktor-autentificering. PCI DSS er meget specifik i krav 8.3 og kræver to-faktor-autentificering eller bedre. Så multi-faktor er ikke acceptabelt.

En anden ting, der skal nævnes, er, at sikkerhedspurister vil hævde, at brugen af en biometrisk faktor som anden faktor er i strid med reglerne for den tredje faktor. Andre sikkerhedseksperter siger imidlertid, at noget, som en bruger har eller er, kan være enten noget som et token eller en biometrisk faktor. Deres logik er, at en bruger har et fingeraftryk eller en nethinde, så det kvalificerer sig som en af faktorerne. Det vigtigste er, at man kun bruger en bestemt biometrisk faktor én gang. Så hvis du bruger et fingeraftryk til din anden faktor, kan du ikke bruge et fingeraftryk til den tredje faktor.

Til sidst, selv om det er indlysende, er der mange, der overser dette punkt. En faktor er mindre sikker end to-faktor-autentifikation, som er mindre sikker end tre-faktor-autentifikation. Men hvis brugerne konstruerer deres passwords eller passphrases korrekt, og der er indført andre logonrestriktioner, kan en-faktor-autentifikation være ret effektiv mod sikkerhedsbrud, muligvis i 90 %-området. To-faktor-autentificering øger typisk effektiviteten til sandsynligvis omkring 97 eller 98 %. Og tre-faktor-autentificering bringer sandsynligvis effektiviteten op på et seks sigma-niveau. Bemærk, at selv med tre-faktor-autentificering når man kun op på 99,9999 % effektivitet. Som jeg gentagne gange har påpeget, er sikkerhed ikke perfekt.

Meget mange mennesker er ikke klar over, at de bruger to-faktor-godkendelse regelmæssigt. For at bruge en hæveautomat skal man have et kort (noget man har) og et firecifret personligt identifikationsnummer eller PIN-kode (noget man kender). Et andet eksempel, der er almindeligt i dag, er, at for at komme ind i sikrede faciliteter skal en autoriseret bruger bruge sit HID-adgangskort og indtaste en pinkode i et tastatur, før en dør åbnes. Det er vigtigt at bemærke, at det er ligegyldigt, i hvilken rækkefølge faktorerne anvendes. I eksemplerne med hæveautomaten og adgangen til en dør, trækker man først sit kort (noget man har) og indtaster derefter sin PIN-kode (noget man kender).

Det er ikke ensbetydende med, at brugeren skal vide, at han har den anden faktor, blot fordi den anden faktor er noget, han har. Et godt eksempel er i forbindelse med et digitalt certifikat. Mange organisationer udsteder et digitalt certifikat sammen med deres VPN-software for at give to-faktor-godkendelse. De fleste brugere er ikke klar over, at de har brug for et digitalt certifikat for at få VPN-systemet til at fungere. Det digitale certifikat er normalt bundet til brugeren eller computeren og installeres som en del af installationen af VPN-softwaren. Den eneste måde, hvorpå en bruger nogensinde bliver opmærksom på det digitale certifikat, er, hvis det nogensinde bliver beskadiget eller forældet, hvilket resulterer i en fejl, når brugeren forsøger at oprette forbindelse til VPN. (BEMÆRK: I Rådets informationstillæg om multifaktor-autentifikation fra 2017 blev brugen af digitale certifikater som diskuteret her ikke tilladt for at opfylde PCI-kompatibel to-faktor-autentifikation.)

Et andet vigtigt punkt er, at i tilfælde, hvor det eneste, du bruger, er dit HID-adgangskort, bruger du en-faktor-autentifikation. Definitionerne for faktorerne blev fastlagt for at gøre det let at lære og huske dem. Men hvis du bruger en af faktorerne alene, er der tale om en-faktor-godkendelse. Hvis du bruger hver type faktor sammen med en anden, er der tale om to- og tre-faktor-autentificering. Som sådan kan du bruge forskellige kombinationer af alle faktorerne for at mindske sandsynligheden for en kompromittering. I mange spionfilm er der f.eks. et ultrasikkert rum, hvor man for at få adgang skal bruge f.eks. et id-kort, en pinkode, en nethindescanning og sige sin adgangsfrase for at få adgang. Dette er ikke et eksempel på fire-faktor-autentifikation; der er tale om tre-faktor-autentifikation med brug af to biometriske faktorer (dvs. multifaktor).

Finalt er der en risiko ved at bruge biometriske faktorer, som de fleste mennesker ikke bryder sig om at tale om, men som er vigtig at overveje. Folk kommer hele tiden ud for ulykker. Fingre bliver skåret eller endda fjernet. Hænder bliver brækket eller lemlæstet. Øjne bliver beskadiget. Folk mister deres stemme. Derfor skal du, hvis du ønsker at bruge biometri til autentificering, sørge for at planlægge for sådanne hændelser.

Håber du nu forstår de forskellige autentificeringsfaktorer og forstår, hvordan de bruges.