Egy-, két- és háromfaktoros hitelesítés

Megint belefutottam. Egy újabb szervezet, amely úgy gondolja, hogy két felhasználói azonosító és jelszó kétfaktoros hitelesítésnek minősül, és megfelel a PCI DSS 8.3. követelményének. Az interneten elérhető összes dokumentációval az ember azt gondolná, hogy ez a téma hidegen hagyja. Úgy tűnik azonban, hogy még mindig zavaros, hogy mi számít egy-, két- és háromfaktoros hitelesítésnek, ezért úgy gondoltam, hogy megragadom az időt, hogy elmagyarázzam ezeket a fogalmakat.

Mondjuk el a három hitelesítési tényező definícióját.

• Egyfaktoros hitelesítés – ez “valami, amit a felhasználó tud”. Az egyfaktoros hitelesítési módszer legelismertebb típusa a jelszó.
• Kétfaktoros hitelesítés – az első tényező mellett a második tényező “valami, amivel a felhasználó rendelkezik”. A felhasználó birtokában lévő valamire példa egy előre meghatározott kódot generáló fob, egy aláírt digitális tanúsítvány vagy akár egy biometrikus adat, például az ujjlenyomat. A kétfaktoros hitelesítés legelismertebb formája a mindenütt jelen lévő RSA SecurID fob.
• Háromfaktoros hitelesítés – az előző két tényező mellett a harmadik tényező “valami, ami a felhasználó”. A harmadik tényezőre példa az összes biometrikus, például a felhasználó hangja, a kéz konfigurációja, az ujjlenyomat, a retina szkennelése vagy hasonló. A háromfaktoros hitelesítés legelismertebb formája általában a retinaszkennelés.

A fent említett definíciókkal kapcsolatban fontos megjegyezni, hogy sehol sem említik két jelszó vagy jelszókapcsolat, két ujjlenyomat vagy két retinaszkennelés használatát. Ugyanazon tényezők közül kettő ilyen használata többfaktoros hitelesítésnek minősül, és nem kapcsolódik a fent említett definíciók egyikéhez sem. Tehát azok, akik két különböző felhasználói azonosítót és jelszót használnak, nem kétfaktoros hitelesítést használnak, hanem többfaktoros hitelesítést. A PCI DSS nagyon konkrétan fogalmaz a 8.3. követelményben, és kétfaktoros vagy annál jobb hitelesítést ír elő. Tehát a többfaktoros hitelesítés nem elfogadható.

A másik megemlítendő dolog, hogy a biztonsági puristák azzal érvelnek, hogy a biometrikus adatok második faktorhoz való használata sérti a harmadik faktor szabályait. Más biztonsági szakemberek azonban azt mondják, hogy valami, amivel a felhasználó rendelkezik, vagy ami ő maga, lehet akár egy token, akár egy biometrikus. Az ő logikájuk szerint a felhasználónak van ujjlenyomata vagy retinája, tehát bármelyik tényezőnek megfelel. A kulcs az, hogy egy adott biometrikus adatot csak egyszer használjunk. Tehát ha a második faktorhoz ujjlenyomatot használsz, akkor a harmadik faktorhoz nem használhatsz ujjlenyomatot.

Végezetül, bár nyilvánvaló, sokan nem veszik észre ezt a pontot. Az egyfaktoros kevésbé biztonságos, mint a kétfaktoros, ami kevésbé biztonságos, mint a háromfaktoros hitelesítés. Ha azonban a felhasználók megfelelően alakítják ki jelszavaikat vagy jelszókifejezéseiket, és egyéb bejelentkezési korlátozások vannak érvényben, az egytényezős hitelesítés meglehetősen hatékony lehet a biztonsági résekkel szemben, valószínűleg a 90%-os tartományban. A kéttényezős hitelesítés jellemzően 97 vagy 98% körülire növeli a hatékonyságot. A háromfaktoros hitelesítés pedig valószínűleg hat szigma hatékonysági szintre emeli a dolgokat. Megjegyzendő, hogy még a háromfaktoros hitelesítéssel is csak 99,9999%-os hatékonyság érhető el. Ahogy már többször rámutattam, a biztonság nem tökéletes.

Egy csomó ember nincs tisztában azzal a ténnyel, hogy rendszeresen kétfaktoros hitelesítést használ. Az ATM használatához szükség van egy kártyára (valami, amivel rendelkezel) és egy négyjegyű személyi azonosító számra vagy PIN-kódra (valami, amit tudsz). Egy másik, manapság gyakori példa, hogy a biztonságos létesítményekbe való belépéshez a jogosult felhasználónak használnia kell a HID belépőkártyáját, és be kell írnia egy PIN-kódot egy billentyűzetre, mielőtt az ajtó kinyílik. Megjegyzendő, hogy nem számít, milyen sorrendben használják a tényezőket. Az ATM és a beléptetési példák esetében először a kártyát húzza le (valami, amivel rendelkezik), majd adja meg a PIN-kódot (valami, amit tud).

Az, hogy a második tényezővel a felhasználó rendelkezik, nem jelenti azt, hogy a felhasználónak tudnia kell, hogy rendelkezik vele. Erre kiváló példa a digitális tanúsítvány esete. Sok szervezet állít ki digitális tanúsítványt a VPN-szoftverével együtt, hogy kétfaktoros hitelesítést biztosítson. A legtöbb felhasználó nincs tisztában azzal, hogy a VPN működéséhez digitális tanúsítványra van szüksége. A digitális tanúsítvány általában a felhasználóhoz vagy a számítógéphez van kötve, és a VPN-szoftver telepítésének részeként kerül telepítésre. A felhasználó csak akkor szerez tudomást a digitális tanúsítványról, ha az valaha is megsérül vagy elavul, ami hibát eredményez, amikor megpróbál csatlakozni a VPN-hez. (MEGJEGYZÉS: A Tanács 2017-es többfaktoros hitelesítési tájékoztató kiegészítésében a digitális tanúsítványok itt tárgyalt módon történő használatát a PCI-konform kétfaktoros hitelesítés teljesítéséhez nem engedélyezték.)

Egy másik fontos pont, hogy azokban az esetekben, amikor csak a HID belépőkártyát használja, egyfaktoros hitelesítést használ. A faktorok definícióit a könnyebb tanulhatóság és a memória érdekében hozták létre. Azonban bármelyik tényező használata önmagában is egytényezős hitelesítésnek minősül. Az egyes faktorok együttes használata két- és háromfaktoros hitelesítést eredményez. Így az összes tényező különböző kombinációit használhatja a kompromittálódás valószínűségének csökkentése érdekében. Például sok kémfilmben van egy ultra-biztonságos szoba, ahová a belépéshez például személyi igazolványra, PIN-kódra, retinaszkennelésre és a jelszó kimondására van szükség. Ez nem példa a négyfaktoros hitelesítésre; ez háromfaktoros hitelesítés két biometrikus tényező használatával (azaz többfaktoros).

Végezetül a biometrikus tényezők használatának van egy olyan kockázata, amelyről a legtöbben nem szeretnek beszélni, de fontos figyelembe venni. Az emberek állandóan balesetet szenvednek. Ujjakat vágnak el vagy akár el is távolítanak. A kezek eltörnek vagy megcsonkítják őket. A szemek megsérülnek. Az emberek elveszítik a hangjukat. Következésképpen, ha biometriát szeretne használni a hitelesítéshez, mindenképpen számoljon az ilyen esetekkel.

Remélhetőleg most már megértette a hitelesítés különböző tényezőit, és érti, hogyan használják őket.