Autentificare cu unul, doi și trei factori

Am dat din nou peste ea. O altă organizație care crede că doi identificatori de utilizator și două parole constituie o autentificare cu doi factori și îndeplinește cerința 8.3 din PCI DSS. Cu toată documentația disponibilă pe internet, ai crede că acest subiect ar fi acoperit la rece. Cu toate acestea, se pare că încă mai există confuzie cu privire la ceea ce constituie autentificarea cu unul, doi și trei factori, așa că m-am gândit să profit de acest timp pentru a explica aceste concepte.

Să vorbim despre definițiile celor trei factori de autentificare.

• Autentificarea cu un singur factor – acesta este „ceva ce știe un utilizator”. Cel mai recunoscut tip de metodă de autentificare cu un singur factor este parola.
• Autentificare cu doi factori – în plus față de primul factor, al doilea factor este „ceva ce are un utilizator”. Exemple de ceva pe care îl are un utilizator sunt un breloc care generează un cod predeterminat, un certificat digital semnat sau chiar un element biometric, cum ar fi o amprentă digitală. Cea mai recunoscută formă de autentificare cu doi factori este omniprezentul fob RSA SecurID.
• Autentificare cu trei factori – în plus față de cei doi factori anteriori, al treilea factor este „ceva ce este un utilizator”. Exemple de al treilea factor sunt toate biometrice, cum ar fi vocea utilizatorului, configurația mâinii, o amprentă digitală, o scanare a retinei sau altele similare. Cea mai recunoscută formă de autentificare cu trei factori este, de obicei, scanarea retinei.

Ceea ce este important de observat la definițiile menționate mai sus este că nu se menționează nicăieri folosirea a două parole sau fraze de acces, două amprente sau două scanări ale retinei. O astfel de utilizare a doi dintre aceiași factori este considerată autentificare multifactorială și nu are legătură cu niciuna dintre definițiile menționate mai sus. Așadar, aceia dintre dumneavoastră care folosesc doi identificatori de utilizator și două parole diferite nu folosesc o autentificare cu doi factori, ci o autentificare cu mai mulți factori. Standardul PCI DSS este foarte specific în cerința 8.3 și impune o autentificare cu doi factori sau mai bună. Așadar, autentificarea cu mai mulți factori nu este acceptabilă.

Un alt lucru care trebuie menționat este că puriștii în materie de securitate vor susține că utilizarea unui element biometric pentru un al doilea factor încalcă regulile celui de-al treilea factor. Cu toate acestea, alți practicieni în domeniul securității spun că ceva ce un utilizator are sau este poate fi fie ceva de genul unui token, fie un element biometric. Logica lor este că un utilizator are o amprentă digitală sau o retină, deci se califică drept oricare dintre factori. Cheia este de a utiliza un anumit factor biometric doar o singură dată. Deci, dacă folosiți o amprentă digitală pentru al doilea factor, nu puteți folosi o amprentă digitală pentru al treilea factor.

În cele din urmă, deși este evident, mulți oameni ratează acest aspect. Autentificarea cu un singur factor este mai puțin sigură decât cea cu doi factori, care este mai puțin sigură decât cea cu trei factori. Cu toate acestea, dacă utilizatorii își construiesc în mod corespunzător parolele sau frazele de acces și dacă există alte restricții de conectare, autentificarea cu un singur factor poate fi destul de eficientă împotriva breșelor de securitate, posibil în proporție de 90%. Autentificarea cu doi factori crește în mod obișnuit eficiența la probabil în jur de 97 sau 98%. Iar autentificarea cu trei factori duce probabil lucrurile la un nivel de eficacitate de șase sigma. Rețineți că, chiar și cu autentificarea cu trei factori, se ajunge doar la o eficacitate de 99,9999%. Așa cum am subliniat în repetate rânduri, securitatea nu este perfectă.

Mulți oameni nu realizează faptul că folosesc în mod regulat autentificarea cu doi factori. Pentru a utiliza un bancomat aveți nevoie de un card (ceva ce aveți) și de un număr de identificare personală din patru cifre sau PIN (ceva ce știți). Un alt exemplu frecvent în zilele noastre este acela că, pentru a intra în instalații securizate, un utilizator autorizat trebuie să folosească cardul de acces HID și să introducă un PIN într-o tastatură înainte ca o ușă să se deschidă. Un lucru de reținut este că nu contează ordinea în care sunt utilizați factorii. În cazul exemplelor de bancomat și de intrare, mai întâi treceți cardul (ceva ce aveți) și apoi introduceți PIN-ul (ceva ce știți).

Doar pentru că al doilea factor este ceva ce un utilizator are, nu înseamnă că utilizatorul trebuie să știe că îl are. Un exemplu elocvent este în cazul unui certificat digital. O mulțime de organizații eliberează un certificat digital împreună cu software-ul lor VPN pentru a oferi o autentificare cu doi factori. Majoritatea utilizatorilor nu sunt conștienți de faptul că au nevoie de un certificat digital pentru ca VPN-ul să funcționeze. Certificatul digital este, de obicei, legat de utilizator sau de computer și este instalat ca parte a instalării software-ului VPN. Singurul mod în care un utilizator își dă seama de existența certificatului digital este în cazul în care acesta este corupt sau este depășit, ceea ce duce la o eroare atunci când încearcă să se conecteze la VPN. (NOTĂ: În Suplimentul de informații privind autentificarea cu mai mulți factori al Consiliului din 2017, utilizarea certificatelor digitale, așa cum se discută aici, nu a fost permisă pentru a respecta autentificarea cu doi factori conform PCI.)

Un alt aspect important este că, în cazurile în care tot ceea ce folosiți este cardul de acces HID, utilizați autentificarea cu un singur factor. Definițiile pentru factori au fost stabilite pentru a fi ușor de învățat și de memorat. Cu toate acestea, utilizarea oricărui factor singur reprezintă autentificare cu un singur factor. Utilizarea fiecărui tip de factor în combinație cu altul, rezultă în autentificarea cu doi și trei factori. Ca atare, puteți utiliza diferite combinații ale tuturor factorilor pentru a reduce probabilitatea unui compromis. De exemplu, în multe filme de spionaj, există o cameră ultrasecurizată în care, pentru a intra, aveți nevoie, de exemplu, de o carte de identitate, un cod PIN, o scanare a retinei și trebuie să spuneți fraza de acces. Acesta nu este un exemplu de autentificare cu patru factori; este vorba de o autentificare cu trei factori cu utilizarea a doi factori biometrici (adică multifactori).

În cele din urmă, există un risc în utilizarea factorilor biometrici despre care majoritatea oamenilor nu le place să vorbească, dar care este important de luat în considerare. Oamenii suferă accidente tot timpul. Degetele se taie sau chiar sunt îndepărtate. Mâinile sunt rupte sau mutilate. Ochii se deteriorează. Oamenii își pierd vocea. Ca urmare, dacă doriți să utilizați biometria pentru autentificare, asigurați-vă că planificați astfel de incidente.

Sperăm că acum înțelegeți diverși factori de autentificare și înțelegeți cum sunt utilizați.

.