Privacy & Cookies
Ta strona używa plików cookie. Kontynuując, wyrażasz zgodę na ich użycie. Dowiedz się więcej, w tym jak kontrolować pliki cookie.
Wpadłem na to ponownie. Kolejna organizacja, która uważa, że dwa identyfikatory użytkownika i hasła stanowią uwierzytelnianie dwuskładnikowe i spełniają wymaganie PCI DSS 8.3. Biorąc pod uwagę całą dokumentację dostępną w Internecie, można by pomyśleć, że ten temat został już na chłodno omówiony. Wydaje się jednak, że nadal istnieje zamieszanie dotyczące tego, co stanowi uwierzytelnianie jedno-, dwu- i trójczynnikowe, więc pomyślałem, że poświęcę ten czas na wyjaśnienie tych pojęć.
Porozmawiajmy o definicjach trzech czynników uwierzytelniania.
- Uwierzytelnianie jednoczynnikowe – jest to „coś, co użytkownik wie”. Najbardziej rozpoznawalnym typem metody uwierzytelniania jednoczynnikowego jest hasło.
- Uwierzytelnianie dwuczynnikowe – oprócz pierwszego czynnika, drugim czynnikiem jest „coś, co użytkownik posiada.” Przykłady czegoś, co ma użytkownik to breloczek, który generuje wcześniej ustalony kod, podpisany certyfikat cyfrowy lub nawet biometrię, taką jak odcisk palca. Najbardziej rozpoznawalną formą uwierzytelniania dwuczynnikowego jest wszechobecny breloczek RSA SecurID.
- Uwierzytelnianie trójczynnikowe – oprócz dwóch poprzednich czynników, trzecim czynnikiem jest „coś, czym jest użytkownik”. Przykładami trzeciego czynnika są wszystkie biometryczne, takie jak głos użytkownika, konfiguracja dłoni, odcisk palca, skan siatkówki oka lub podobne. Najbardziej rozpoznawalną formą uwierzytelniania trójczynnikowego jest zazwyczaj skan siatkówki.
Ważną rzeczą, którą należy zauważyć w wyżej wymienionych definicjach jest to, że w żadnym miejscu nie wspominają one o używaniu dwóch haseł lub haseł, dwóch odcisków palców lub dwóch skanów siatkówki. Takie wykorzystanie dwóch z tych samych czynników jest uważane za uwierzytelnianie wieloczynnikowe i nie jest związane z żadną z wyżej wymienionych definicji. Zatem ci z Państwa, którzy używają dwóch różnych identyfikatorów użytkownika i haseł, nie używają uwierzytelniania dwuskładnikowego, lecz wieloczynnikowego. PCI DSS jest bardzo szczegółowy w wymaganiu 8.3 i wymaga uwierzytelniania dwuskładnikowego lub lepszego. Zatem uwierzytelnianie wieloczynnikowe jest niedopuszczalne.
Inną rzeczą, o której należy wspomnieć, jest to, że puryści bezpieczeństwa będą twierdzić, że użycie biometrii jako drugiego czynnika narusza zasady trzeciego czynnika. Jednak inni praktycy bezpieczeństwa twierdzą, że coś, co użytkownik posiada lub czym jest, może być zarówno tokenem, jak i biometrią. Ich logika jest taka, że użytkownik ma odcisk palca lub siatkówkę oka, więc kwalifikuje się jako jeden z tych czynników. Kluczem jest użycie danej biometrii tylko raz. Więc jeśli używasz odcisku palca do drugiego czynnika, nie możesz użyć odcisku palca do trzeciego czynnika.
Wreszcie, choć oczywiste, wiele osób przegapia ten punkt. Jeden czynnik jest mniej bezpieczny niż dwuskładnikowy, który jest mniej bezpieczny niż uwierzytelnianie trójczynnikowe. Jednakże, jeśli użytkownicy prawidłowo skonstruują swoje hasła lub hasła i inne ograniczenia logowania są na miejscu, uwierzytelnianie jednoczynnikowe może być dość skuteczne przeciwko naruszeniom bezpieczeństwa, prawdopodobnie w zakresie 90%. Uwierzytelnianie dwuskładnikowe zazwyczaj zwiększa skuteczność do około 97 lub 98%. A uwierzytelnianie trójczynnikowe prawdopodobnie zwiększy skuteczność do poziomu sześć sigma. Zauważ, że nawet przy uwierzytelnianiu trójczynnikowym osiągasz tylko 99,9999% skuteczności. Jak już wielokrotnie podkreślałem, bezpieczeństwo nie jest doskonałe.
Wielu ludzi nie zdaje sobie sprawy z tego, że regularnie korzysta z uwierzytelniania dwuskładnikowego. Aby skorzystać z bankomatu potrzebna jest karta (coś, co posiadasz) i czterocyfrowy osobisty numer identyfikacyjny lub PIN (coś, co znasz). Inny przykład, który jest powszechny w dzisiejszych czasach, to fakt, że aby wejść do zabezpieczonego obiektu, upoważniony użytkownik musi użyć swojej karty dostępu HID i wprowadzić kod PIN do klawiatury, zanim drzwi się otworzą. Warto zauważyć, że nie ma znaczenia kolejność, w jakiej te czynniki są używane. W przypadku bankomatu i przykładów wejścia, użytkownik najpierw macha kartą (coś co posiada), a następnie wprowadza PIN (coś co zna).
Tylko dlatego, że drugi czynnik jest czymś co użytkownik posiada, nie oznacza, że użytkownik musi wiedzieć, że go posiada. Doskonałym przykładem jest certyfikat cyfrowy. Wiele organizacji wydaje certyfikat cyfrowy wraz z oprogramowaniem VPN, aby zapewnić dwuskładnikowe uwierzytelnianie. Większość użytkowników nie jest świadoma, że potrzebuje cyfrowego certyfikatu, aby VPN działał. Certyfikat cyfrowy jest zazwyczaj powiązany z użytkownikiem lub komputerem i jest instalowany jako część instalacji oprogramowania VPN. Jedynym sposobem, w jaki użytkownik dowiaduje się o certyfikacie cyfrowym, jest jego uszkodzenie lub dezaktualizacja, co powoduje błąd przy próbie połączenia z VPN. (UWAGA: W suplemencie informacyjnym Rady Multi-Factor Authentication z 2017 r., użycie certyfikatów cyfrowych, jak omówiono tutaj, zostało wyłączone w celu spełnienia zgodnego z PCI uwierzytelniania dwuskładnikowego.)
Innym ważnym punktem jest to, że w przypadkach, w których wszystko, czego używasz, to twoja karta dostępu HID, używasz uwierzytelniania jednoczynnikowego. Definicje czynników zostały ustalone w celu ułatwienia nauki i zapamiętania. Jednak stosowanie któregokolwiek z czynników samodzielnie jest uwierzytelnianiem jednoczynnikowym. Użycie każdego typu czynnika w połączeniu z innym skutkuje uwierzytelnieniem dwu- i trzyczynnikowym. W związku z tym można stosować różne kombinacje wszystkich czynników, aby zmniejszyć prawdopodobieństwo kompromitacji. Na przykład, w wielu filmach szpiegowskich występuje ultrabezpieczne pomieszczenie, do którego, aby uzyskać dostęp, potrzebny jest np. dowód osobisty, kod PIN, skan siatkówki oka i wypowiedzenie hasła. Nie jest to przykład uwierzytelniania czteroczynnikowego; jest to uwierzytelnianie trzyczynnikowe z wykorzystaniem dwóch czynników biometrycznych (tj. wieloczynnikowe).
Na koniec, istnieje ryzyko związane z wykorzystaniem czynników biometrycznych, o którym większość ludzi nie lubi mówić, ale jest ważne do rozważenia. Ludzie ulegają wypadkom przez cały czas. Palce zostają pocięte lub nawet usunięte. Ręce są łamane lub okaleczane. Uszkodzeniu ulegają oczy. Ludzie tracą głos. W rezultacie, jeśli chcesz używać biometrii do uwierzytelniania, upewnij się, że planujesz takie zdarzenia.
Mam nadzieję, że teraz rozumiesz różne czynniki uwierzytelniania i rozumiesz, jak są one używane.