Een-, twee- en drie-factorauthenticatie

Ik ben het weer tegengekomen. Weer een organisatie die denkt dat twee user identifiers en wachtwoorden twee-factor authenticatie is en voldoet aan PCI DSS eis 8.3. Met alle documentatie die op het Internet beschikbaar is, zou je denken dat dit onderwerp koud wordt behandeld. Er lijkt echter nog steeds verwarring te bestaan over wat één-, twee- en drie-factor authenticatie is, dus ik dacht dat ik deze tijd zou nemen om deze concepten uit te leggen.

Laten we het eens hebben over de definities van de drie factoren van authenticatie.

• Eén-factor authenticatie – dit is “iets wat een gebruiker weet”. Het meest erkende type één-factor authenticatiemethode is het wachtwoord.
• Twee-factor authenticatie – naast de eerste factor, is de tweede factor “iets wat een gebruiker heeft.” Voorbeelden van iets dat een gebruiker heeft zijn een fob die een vooraf bepaalde code genereert, een ondertekend digitaal certificaat of zelfs een biometrisch kenmerk zoals een vingerafdruk. De meest bekende vorm van authenticatie met twee factoren is de alomtegenwoordige RSA SecurID fob.
• authenticatie met drie factoren – naast de vorige twee factoren is de derde factor “iets wat een gebruiker is”. Voorbeelden van een derde factor zijn alle biometrische zoals de stem van de gebruiker, handconfiguratie, een vingerafdruk, een netvliesscan of iets dergelijks. De meest erkende vorm van drie-factor authenticatie is gewoonlijk de netvliesscan.

Het belangrijkste om op te merken over de bovengenoemde definities is dat nergens sprake is van het gebruik van twee wachtwoorden of passphrases, twee vingerafdrukken of twee netvliesscans. Dergelijk gebruik van twee van dezelfde factoren wordt beschouwd als multifactor authenticatie en is niet gerelateerd aan een van de hierboven genoemde definities. Degenen onder u die twee verschillende gebruikersidentificaties en wachtwoorden gebruiken, gebruiken dus geen twee-factor authenticatie, maar meerfactorauthenticatie. De PCI DSS is zeer specifiek in vereiste 8.3 en vereist twee-factor authenticatie of beter. Dus multi-factor is niet acceptabel.

Een ander ding om te vermelden is dat beveiligingspuristen zullen betogen dat het gebruik van een biometrische factor voor een tweede factor de regels van de derde factor schendt. Andere beveiligingsdeskundigen zeggen echter dat iets wat een gebruiker heeft of is, zowel een token als een biometrisch kenmerk kan zijn. Hun logica is dat een gebruiker een vingerafdruk of een netvlies heeft, zodat het in aanmerking komt als een van beide factoren. De sleutel is om een bepaald biometrisch kenmerk slechts één keer te gebruiken. Dus als je een vingerafdruk gebruikt voor je tweede factor, kun je geen vingerafdruk gebruiken voor de derde factor.

Ten slotte, hoewel voor de hand liggend, missen veel mensen dit punt. Een-factor is minder veilig dan twee-factor die minder veilig is dan drie-factor authenticatie. Echter, als gebruikers hun wachtwoorden of wachtzinnen goed samenstellen en er andere inlogbeperkingen zijn, kan eenfactorauthenticatie redelijk effectief zijn tegen inbreuken op de beveiliging, mogelijk in het 90%-bereik. Authenticatie met twee factoren verhoogt de doeltreffendheid tot waarschijnlijk 97 of 98%. En drie-factor authenticatie brengt de zaken waarschijnlijk naar een zes sigma niveau van effectiviteit. Merk op dat zelfs met drie-factor authenticatie je maar tot 99,9999% effectiviteit komt. Zoals ik herhaaldelijk heb aangegeven, is beveiliging niet perfect.

Veel mensen realiseren zich niet dat ze regelmatig gebruik maken van twee-factor authenticatie. Om een geldautomaat te gebruiken, heb je een kaart nodig (iets wat je hebt) en een viercijferig persoonlijk identificatienummer of PIN (iets wat je weet). Een ander voorbeeld dat tegenwoordig gebruikelijk is, is dat om beveiligde faciliteiten binnen te komen, een geautoriseerde gebruiker zijn HID-toegangskaart moet gebruiken en een PIN-code moet invoeren op een toetsenpaneel voordat een deur opengaat. Opgemerkt zij dat het niet uitmaakt in welke volgorde de factoren worden gebruikt. In het geval van de voorbeelden van de geldautomaat en de ingang, veegt u eerst uw kaart (iets wat u hebt) en voert dan uw PIN-code in (iets wat u weet).

Omdat de tweede factor iets is wat een gebruiker heeft, betekent niet dat de gebruiker moet weten dat hij die heeft. Een goed voorbeeld hiervan is een digitaal certificaat. Veel organisaties geven een digitaal certificaat uit met hun VPN-software om authenticatie met twee factoren mogelijk te maken. De meeste gebruikers zijn zich er niet van bewust dat zij een digitaal certificaat nodig hebben om het VPN te laten werken. Het digitale certificaat is meestal gebonden aan de gebruiker of de computer en wordt geïnstalleerd als onderdeel van de installatie van de VPN-software. De enige manier waarop een gebruiker zich ooit bewust wordt van het digitale certificaat is als het ooit corrupt is geworden of verouderd is, hetgeen resulteert in een fout wanneer hij probeert verbinding te maken met het VPN. (OPMERKING: In het informatiesupplement van de Raad over multifactorauthenticatie uit 2017 werd het gebruik van digitale certificaten, zoals hier besproken, afgekeurd om te voldoen aan PCI-conforme authenticatie op basis van twee factoren.)

Een ander belangrijk punt is dat in gevallen waarin u alleen uw HID-toegangskaart gebruikt, u eenfactorauthenticatie gebruikt. De definities van de factoren zijn vastgesteld om ze gemakkelijk te kunnen leren en onthouden. Het gebruik van één van de factoren alleen is echter éénfactorauthenticatie. Het gebruik van elk type factor in combinatie met een andere, resulteert in twee- en drie-factorauthenticatie. U kunt dus verschillende combinaties van alle factoren gebruiken om de waarschijnlijkheid van een compromittering te verminderen. In veel spionagefilms is er bijvoorbeeld een ultrabeveiligde kamer waar je om binnen te komen bijvoorbeeld een ID-kaart, een PIN-code, een netvliesscan en een wachtwoordzin nodig hebt. Dit is geen voorbeeld van vierfactorauthenticatie; dit is driefactorauthenticatie met het gebruik van twee biometrische factoren (d.w.z. multifactor).

Ten slotte is er een risico bij het gebruik van biometrische factoren waar de meeste mensen niet graag over praten, maar dat wel belangrijk is om te overwegen. Mensen krijgen de hele tijd ongelukken. Vingers worden afgesneden of zelfs verwijderd. Handen worden gebroken of verminkt. Ogen raken beschadigd. Mensen verliezen hun stem. Als u biometrische gegevens wilt gebruiken voor authenticatie, moet u rekening houden met dergelijke incidenten.

Hopelijk begrijpt u nu de verschillende authenticatiefactoren en weet u hoe ze worden gebruikt.