web-dev-qa-db-ja.com

2FAシステムの第2要素のメール

シナリオは企業環境にあり、インターネットに接続されていません。先日、2FAシステムの2番目の要素として電子メールが十分かどうかについて、同僚と議論していました。

私の管理者は、企業ネットワーク経由でシステムにログインし、OTPが彼のシステムに入るのに使用する彼の電子メールに送信されます。

ただし、私の同僚はOTPを携帯電話に送信することです。私は、彼が携帯電話を使用する場合でも、OTPをキー入力するために内部ネットワークにいると述べました。電子メールサーバーも内部ネットワークにあるため、それほど大きな違いはありません。また、携帯電話を紛失する方がはるかに簡単ですが、電子メールサーバーは冗長で実行できるため、簡単に失敗することはありません。

あなたの意見は何ですか?より安全な組織は今日、OTPを携帯電話に依存していますか?

8
Pang Ser Lark

定義により、2FAは次の2つに基づいてユーザーを認証する場合です。

  • 知っているもの(パスワードなど)

  • 持っているもの(鍵など)

  • あなたが何か(生体認証)

私は、電子メールがどのカテゴリに属する​​べきであるかをよく議論することがわかります。 「何か持っている」カテゴリに属していると多くの人が主張していますが、パスワードで保護されていることが多いため、「何か知っている」カテゴリに属すべきだと思います。したがって、password + email OTPは実際には2FAではありません。また、システムログオンと同じパスワードを電子メールに使用できますか?

パスワード+携帯電話OTPを使用すると、本当の2FAになります(知っているもの+持っているもの)

7
stanko

また、このシナリオでは電子メールを使用しないようにします。

明らかに-内部でのみ使用している場合-攻撃者は内部のみである可能性があります(または外部が最初に内部になる必要があります)。電子メールフローは、SMSを配信するためにBTSを処理するよりもおそらく内部で盗聴する方が簡単です。

しかし、どちらの方法でも、必ずしも「安全なチャネル」を介してではなく、(「要因」に関する議論を避けるために)2番目のコンポーネントを提供します。

そのため、認証するためのさらに安全な方法を提供することを考慮に入れる場合があります。これは、スマートフォンアプリ、ハードウェアトークン、またはシード可能なハードウェアトークンを使用して実現できます。 Yubikey のようなシード可能なハードウェアトークンの場合は、ワンタイムパスワードの生成に使用される秘密の暗号鍵を作成するのはあなたですが、「プレシード」ハードウェアの場合はベンダーが行います。

オープンソースのソリューションである privacyIDEA を見てみたいと思うかもしれません。これは、これらすべての種類のトークン、電子メール、SMS、スマートフォン、ハードウェア、シード可能をサポートしています。次に、どのシステムまたはどの管理者がどのセキュリティレベルを必要とするかを決定できます。

2
cornelinux