Autentisering med en, två och tre faktorer

Jag har stött på det igen. Ännu en organisation som tror att två användaridentiteter och lösenord utgör tvåfaktorsautentisering och uppfyller PCI DSS krav 8.3. Med all den dokumentation som finns tillgänglig på Internet skulle man kunna tro att det här ämnet skulle täckas kallt. Det verkar dock fortfarande råda förvirring om vad som utgör en-, två- och trefaktorsautentisering, så jag tänkte ta mig tid att förklara dessa begrepp.

Låt oss tala om definitionerna av de tre autentiseringsfaktorerna.

• Enfaktorsautentisering – det här är ”något som en användare vet”. Den mest kända typen av enfaktorsautentiseringsmetod är lösenordet.
• Tvåfaktorsautentisering – utöver den första faktorn är den andra faktorn ”något som en användare har”. Exempel på något som användaren har är en fob som genererar en förutbestämd kod, ett signerat digitalt certifikat eller till och med ett biometriskt kännetecken som ett fingeravtryck. Den mest kända formen av tvåfaktorsautentisering är den allestädes närvarande RSA SecurID-fobben.
• Trefaktorsautentisering – utöver de två föregående faktorerna är den tredje faktorn ”något som en användare är”. Exempel på en tredje faktor är alla biometriska faktorer såsom användarens röst, handkonfiguration, ett fingeravtryck, en näthinneskanning eller liknande. Den mest kända formen av trefaktorsautentisering är vanligtvis näthinneskanning.

Det viktiga att lägga märke till i de ovan nämnda definitionerna är att de inte någonstans nämner att man använder två lösenord eller lösenfraser, två fingeravtryck eller två näthinneskanningar. Sådan användning av två av samma faktorer betraktas som flerfaktorsautentisering och har inget att göra med någon av de ovannämnda definitionerna. De av er som använder två olika användaridentiteter och lösenord använder alltså inte tvåfaktorsautentisering, utan flerfaktorsautentisering. PCI DSS är mycket specifik i krav 8.3 och kräver tvåfaktorsautentisering eller bättre. Så flerfaktorsautentisering är inte acceptabelt.

En annan sak att nämna är att säkerhetspurister kommer att hävda att användningen av en biometrisk faktor som andra faktor bryter mot reglerna för den tredje faktorn. Andra säkerhetsexperter menar dock att något som en användare har eller är kan vara antingen en token eller en biometrisk faktor. Deras logik är att en användare har ett fingeravtryck eller en näthinna, så det kan räknas som endera faktorn. Nyckeln är att bara använda en viss biometrisk faktor en gång. Så om du använder ett fingeravtryck för din andra faktor kan du inte använda ett fingeravtryck för den tredje faktorn.

Till sist, även om det är uppenbart, är det många som missar den här punkten. En faktor är mindre säker än tvåfaktorsautentisering som är mindre säker än trefaktorsautentisering. Men om användarna konstruerar sina lösenord eller lösenfraser på rätt sätt och andra inloggningsbegränsningar finns på plats kan enfaktorsautentisering vara ganska effektiv mot säkerhetsöverträdelser, möjligen i 90 %-området. Tvåfaktorsautentisering höjer vanligtvis effektiviteten till omkring 97 eller 98 %. Och trefaktorsautentisering ökar troligen effektiviteten till en sexsiffrig nivå. Observera att även med trefaktorsautentisering når man bara upp till 99,9999 % effektivitet. Som jag upprepade gånger har påpekat är säkerheten inte perfekt.

En hel del människor inser inte att de använder tvåfaktorsautentisering regelbundet. För att använda en bankomat behöver man ett kort (något man har) och ett fyrsiffrigt personligt identifieringsnummer eller PIN-kod (något man känner till). Ett annat exempel som är vanligt nuförtiden är att för att komma in i säkra anläggningar måste en behörig användare använda sitt HID-åtkomstkort och ange en PIN-kod i en knappsats innan en dörr öppnas. Något att notera är att det inte spelar någon roll i vilken ordning faktorerna används. I exemplen med bankomaten och ingången drar man först sitt kort (något man har) och anger sedan sin PIN-kod (något man känner till).

Bara för att den andra faktorn är något som en användare har, betyder det inte att användaren måste veta att han eller hon har den. Ett utmärkt exempel är ett digitalt certifikat. Många organisationer utfärdar ett digitalt certifikat tillsammans med sin VPN-programvara för att tillhandahålla tvåfaktorsautentisering. De flesta användare är omedvetna om att de behöver ett digitalt certifikat för att VPN-tjänsten ska fungera. Det digitala certifikatet är vanligtvis knutet till användaren eller datorn och installeras som en del av installationen av VPN-programvaran. Det enda sättet för en användare att bli medveten om det digitala certifikatet är om det skadas eller blir inaktuellt, vilket resulterar i ett fel när användaren försöker ansluta till VPN-tjänsten. (OBS: I rådets informationstillägg om flerfaktorsautentisering från 2017 förbjöds användningen av digitala certifikat som diskuteras här för att uppfylla PCI-kompatibel tvåfaktorsautentisering.)

En annan viktig punkt är att i de fall där allt du använder är ditt HID-åtkomstkort använder du enfaktorsautentisering. Definitionerna för faktorerna fastställdes för att de ska vara lätta att lära sig och komma ihåg. Att använda någon av faktorerna ensam är dock enfaktorsautentisering. Användning av varje typ av faktor tillsammans med en annan ger två- och trefaktorsautentisering. Du kan alltså använda olika kombinationer av alla faktorer för att minska sannolikheten för ett intrång. I många spionfilmer finns det t.ex. ett ultrasäkert rum där man för att komma in behöver t.ex. ett ID-kort, en PIN-kod, en näthinneskanning och en lösenfras. Detta är inte ett exempel på fyrfaktorsautentisering; detta är trefaktorsautentisering med användning av två biometriska faktorer (dvs. flerfaktorsautentisering).

För det sista finns det en risk med att använda biometriska faktorer som de flesta inte gillar att prata om, men som är viktig att beakta. Människor råkar ut för olyckor hela tiden. Fingrar skärs av eller till och med avlägsnas. Händer bryts eller lemlästas. Ögon skadas. Människor förlorar sina röster. Om du vill använda biometri för autentisering ska du därför se till att planera för sådana incidenter.

Förhoppningsvis har du nu förstått de olika autentiseringsfaktorerna och vet hur de används.

.