このHowToGeekの記事...
http://www.howtogeek.com/67556/how-to-unlock-your-pc-by-being-nearby-with-a-bluetooth-phone/
...考えてみた.
Windowsボックスの3要素認証を可能にするソフトウェア(またはソフトウェアの組み合わせ)はありますか?私は、一般的に入手可能なラップトップハードウェアでうまく機能するものを考えています。したがって、関連する可能性のある要因は次のとおりです。
上記は、この質問のより一般的な範囲の単なるリストです。私個人としては、パスワード、指紋、Bluetoothなどの要素が考えられます。これを可能にするソフトウェアはありますか?ほとんどの場合、代替認証方法を有効にするソフトウェアについて聞いたとき、それはまだ単一要素です-たとえば、代わりに電話や指紋を使用できますパスワードの。 2要素オプションを有効にするソフトウェアもいくつかありますが、3つすべてを必要とするソリューションはありますか?
私はあなたがログオン(またはロック解除)を意味すると想定しています。
Windows 7では、次の3つの要素がネイティブでサポートされていると思います。
Windows VistaとWindows 7の対話型ログオンアーキテクチャは同じです。彼らは、資格情報プロバイダーにインターフェースする資格情報マネージャーを使用します。
資格情報マネージャーは、次の4種類の資格情報をサポートできます。
Windows XPとWindows 2000は、わずかに異なるログオンアーキテクチャを共有しています。これらは、グラフィカル識別および認証(GINA)モジュールを使用しています。モジュールは、資格情報の収集と資格情報の認証を担当します。Microsoftは標準モジュールを提供しています:MSGINA.DLL。Microsoftは、GINAモジュールの動作を変更する3つの方法を提供し、サードパーティのGINAとの置き換えも可能です。3つの変更方法は、前処理または後処理、フック、およびレジストリ設定です。Microsoft提供の標準GINAサポートPINログインのスマートカード。生体認証の場合、管理者がサードパーティのGINAモジュールをインストールするのが一般的のようです。このアーキテクチャでは3要素認証がサポートされているようです。
また、Windows NTが3要素認証をサポートしている証拠も見つかりました。
「Windows NTは、トークン、スマートカード、生体認証など、2要素および3要素の認証をサポートしています。」 スティーブンコブ
私はこれを設定していませんが、理論的には、私が許可するものを使用してこの作業を行うことができると思いますが、これまでで最も美しい構成ではありません。
あなたが見ることができるように ここ (および他の無数の場所と同様に)、TPMを搭載または搭載していないマシンにビットロッカーを設定できます。ほとんどの人は、TPM +ピンを備えたTPMを使用してBitLockerを構成します。ただし、キーのあるUSBスティックを使用して設定することもできます。この構成では、bitlockerキーをUSBサムドライブに置くことができます(所有しているものを満たします)およびキーで保護します(知っているもの) )。もう少し検索が見つかりました このリンク これには、これを実行するための段階的な手順が含まれているようです(TPM + USBスタートアップキー+ピン)。
マシンが起動すると、通常のWindowsログオンが開始され、OS(自分のもの)に指紋ログオンできます。
とは言っても、脅威モデルがこれが最善の道であることを完全にサポートするとは確信していません...しかし、そうかもしれません。 :)
Linuxでは、PAMは認証ポリシーを構成する機能を提供します。 2つの要素を必要とするように、または必要に応じて3つの要素を必要とするようにPAMを構成できます。これを行う方法の詳細については、PAMのドキュメントを参照してください。
免責事項:ほとんどの展開で3要素認証が理にかなっているとは思えません。セキュリティと利便性のトレードオフが理にかなっているかどうか疑問に思います。ユーザーがロックアウトされたときに何が起こるかについては、慎重に検討する必要があります。奇妙なことに、システムの最も弱いリンクは認証メカニズムではありません。ロックアウトされたユーザーを処理するためのプロトコルになるか、システムの承認されたユーザーに対するソーシャルエンジニアリング攻撃になるか、バックドアになります煩わしい3要素認証に煩わされることなく作業を完了できるようにユーザーが設定したもの(たとえば、ユーザーがログインをより速くするためにユーザーが設定する空白のパスワード、またはユーザーがデバイスに接続したままにするUSBドングル) )、または他の弱点。
とにかく、3要素認証の必要性は非常にまれなケースになると思います。カットアンドペーストできるレシピを提供する意味はないと思います。3要素認証が本当に必要なショップは認証はPAMのマニュアルを読み、その方法を理解することができます。
Sensipassは、顔のスキャンなどの生体認証画像との個人的なやり取りを容易にすることにより、3要素認証を提供します。カメラ付きのスマートフォンやラップトップでうまく機能します。現在はIDaaS製品であるため、ブラウザー拡張機能を構築していますが、私が見る限りではネイティブのWindows実装はまだありません。とても革新的です!