web-dev-qa-db-ja.com

4要素認証

二要素認証や多要素認証については、きっとご存知だと思います。基本的には、次の要因が原因です。

  • 知識-知っていること(パスワード、PIN、パターンなど)
  • 所持-持っているもの(携帯電話、クレジットカード、キーなど)
  • 存在-あなたが何か(例:指紋)

私の質問は:認証の4番目の要素はありますか?

Googleでクイック検索を行っても、私が読んだことのない特許文書以外の興味深い結果は得られませんでした。 どこかあなたは4番目の要素と考えられますか?

authenticationmulti-factor
64
rink.attendant.6

お気づきのとおり、主な3つは次のとおりです。

  • あなたが何か知っている
  • あなたが何か持っている
  • あなたが何かある

他にもあると私は主張します:

  • あなたが何かできる、例えば署名を正確に複製します。
  • あなたが何か展示、例えば特定の性格特性、またはfMRIで読み取ることができる神経学的行動です。これらは流動性が高いため、厳密には「機能」ではありません。
  • 誰かご存知のように、例えば信頼の連鎖による認証。
  • どこかあなたは(またはアクセスできる)です(例:セッションをIPにロックする、または確認ピンをアドレスに送信する。これはauthenticationファクターと呼ばれる点で少し微妙ですが、注意することはまだ役に立ちます。
86
Polynomial

絶対に!

どこかにいるは企業のITで非常に広く使用されています。多くの環境では、オフィスのネットワークに接続している場合はパスワードのみを使用してログインできますが、オフィスにいない場合は、追加の要素(通常はトークン)を使用する必要があります。

現在の時刻は間違いなく別の認証要素であり、時間遅延を安全にする古典的な例です。多くの場合、オフィスのドアのパスは1日の特定の時間内でのみ有効です。

Contactabilityは、別の要因と見なされることがあります。既知のアドレス(または電子メール、電話)で手紙を受け取ると、身元が証明されます。通常、これはすでに述べた要因の1つに帰着しますが、手紙を受け取ると、そのアドレスの鍵を持っていることがわかります。

これについてさらに考えると、特に「知っているもの」と「持っているもの」の間の要因の違いがかなりぼやけていることがわかります。パスワードを書き留めると、その紙は「あなたが持っているもの」になりますか?鍵は「あなたが持っているもの」であると述べましたが、鍵屋がパターンを知っている場合は、新しい鍵を作成できます。したがって、間違いなくキーは本当に「あなたが知っていること」です。

35
paj28

いいえ。 3つあります。他のすべてはここに言及しました:

  • 正規の3つに減らすことができます(たとえば、「何かできること」は個人的な機能であるため、「何か」と分類されます。「誰かが知っている」とは、誰かに接続の証拠を提示できることを意味します。持ってる"!)
  • authenticationの一部ではありませんが、authorizationの一部です(時間、ネットワーク、または物理的な場所はあなたの身元を証明するものではありませんが、アクセスを許可するために使用できます)。営業時間中のみオフィスにアクセスする従来の例-夜間はほとんどの場合IDを失うことはなく、オフィスへのアクセスは許可されていません(同じ認証で24時間年中無休でオフィスにアクセスできる一部のパワーユーザーがいます)日中のようにね)
26
ioo

オーセンティケーターを3つの一般的なカテゴリーに割り当てますが、これらのカテゴリーはやや大まかに定義されていることを覚えておくことが重要です。パスワードは通常「知っているもの」のオーセンティケータと見なされますが、それを書き留めて、メモリの代わりに紙を参照すると、「持っているもの」の要素になりますか?システムがキーボードダイナミクスを使用して認証を行い、タイピングのリズムと速度を監視している場合、それは「あなたが何であるか」または「あなたが知っていること」に依存していますか?特定のオーセンティケーターを分類する方法を決定するとき、いくつかの合理的な意見の相違がある場合があります。

場所は最初は4番目の要素であるように思われますが、それは本当にですか?システムはどのようにあなたの場所を知っていますか?デバイスによって提供される座標またはアドレス(物理データまたはIP)データに依存している可能性があります。同じデータを持つ他の誰かが自分のデバイスでその要素を複製できるため、そのデータは「知っていること」ですか?システムは正当なデータを提供するためにデバイスの信頼性に依存しているので、それは「あなたが持っているもの」ですか?場所が独自の独立した要因のカテゴリーと見なされるのに十分なほど明確であるかどうかを判断する必要があります。

特定のシステムの利点を示すために「多要素認証」などの用語を使用するため、要素を構成するものについて区別することが重要だと思います。過去のログインに関連付けられているIPアドレスからのパスワードでシステムにログインする場合、それは多要素ですか?場所を4番目の要素と考えると、答えは「はい」になります。ただし、これを多要素認証システムとして特徴付ける人はあまり見かけません。

論文では CASA:Context-Aware Scalable Authentication 著者は、位置データが認証プロセスの要素として機能する可能性があることに同意しますが、具体的には「パッシブ」要素として定義します。ユーザーの操作を必要とする「パッシブ」要素と「アクティブ」要素(パスワード、指紋スキャンなど)を区別します。これは、認証の決定を行うために使用できる他のデータから真の認証要素を区別するための良い方法のようです。

私の意見では、位置データは4番目の要素と考えるべきではありませんが、認証プロセス中にデータが役立つことを妨げるものではありません。

5
PwdRsch

セキュリティに関連する他のすべての要素と同様に、現在地を特定するには信頼が必要です。セキュリティで保護された施設へのドアに取り付けられた10キーパッドにPINを入力する必要がある場合、データセンターからドアへのネットワーク接続が、偽物PINパッドが他の場所にマウントされていますか?他の誰かに代わってキーを操作しているプロキシがないことをどのようにして知っていますか?

または、広く使用されている例として、iPhoneで利用可能な( many )アプリがあり、ユーザーが選択した場所を位置情報サービスに指定できるようにすることを検討してください。簡単な使用例は、誰かが実際にゴルフコースにいる間に仕事をしているふりをすることです。ただし、場所を改ざんして、その他の制限付きの特典を利用できるようにすることもできます。公共図書館内でのみ読むことができるジオフェンス付きの電子書籍を想像してみてください。また、セキュリティで保護されたトークンを使用する必要をなくすために、電話で自己報告の場所を利用している場合、攻撃者はこれを使用して、セキュリティをより簡単に破られるものに劣化させる可能性があります。

確かにセキュリティシステムに場所を追加できますが、それが無効にならないようにするための対策も検討する必要があります。

1
John Deters

4番目の要因は、個人does、(動的バイオメトリクス)です。例としては、音声パターンによる認識、手書きの特徴、タイピングリズムなどがあります。

1
Adam