web-dev-qa-db-ja.com

多要素認証が有効になっている場合、セルフサービスパスワードのリセットにどのような影響がありますか?

セキュリティが最も弱いリンクと同じくらい安全であることを考えると、次のいずれかの方法で追加の認証が有効になっているWebサイトがあるとします(たとえば、複数の条件が必要になる場合があります)。

  1. 電話へのSMS/Voice HOTPメッセージ
  2. 別のメールアドレス
  3. 質疑応答
  4. HOTPソフトトークン(Google Authenticator)
  5. ワンタイムパスワードのリストを印刷しました
  6. YubiKey
  7. RSAトークン
  8. 「既知/信頼できる」コンピューター(evercookieまたは同様のものでリンクされている)
  9. クライアント証明書
  10. 信頼できるIP

ユーザーがパスワードを忘れたとすると、ほとんどのWebサイトでは、#2または#3の組み合わせが正しく回答された場合にパスワードをリセットできます。

質問

  1. ユーザーが多要素デバイスを使用していて、パスワードを忘れた場合、「パスワードを忘れた」ワークフローにどのような影響がありますか?

  2. ユーザーが多要素デバイスを紛失した場合、またはソフトトークンが破損した場合、どうすれば再プロビジョニングできますか?

  3. ユーザーがパスワードを忘れた場合、andはトークンを失います...その場合、再プロビジョニングワークフローはどのようになりますか?

14

ユーザーが多要素デバイスを使用していて、パスワードを忘れた場合、「パスワードを忘れた」ワークフローにどのように影響しますか?

ユーザーが認識されていないデバイス/ブラウザーからパスワードのリセットを開始する場合、パスワードのリセットを実行するには認証の2番目の要素が必要です。ベストプラクティスは、すべてのシナリオで一貫して2番目の要素を要求することです。通常の認証(パスワードの確認後)またはパスワードのリセット(電子メールリンクへのアクセスの確認後)。

パスワードのリセットを要求するデバイス/ブラウザが認識された場合、メールパスワードのリセットリンクをクリックした後、2要素認証がスキップされる可能性があります。

ユーザーが多要素デバイスを紛失した場合、またはソフトトークンが破損した場合、どうすれば再プロビジョニングできますか?

デバイス/ブラウザーが認識された場合、またはユーザーがデバイスで認証済みセッションを既に持っている場合、ユーザーは失われた第2要素デバイスのプロビジョニングを解除し、交換用の第2要素デバイスをプロビジョニングできるはずです。

デバイス/ブラウザーが認識されないか、ユーザーがそのデバイスで認証されたセッションを持っていない場合、2番目の要素のデバイスを再プロビジョニングする前に、バックアップ2要素認証方法を検証する必要があります。

ユーザーがパスワードを忘れてトークンを失った場合はどうなりますか?その場合、再プロビジョニングワークフローはどのようになりますか?

信頼できると認識されているデバイス/ブラウザからパスワードを回復するには、リセットリンクをメールで送信するだけで十分です*。ユーザーがパスワードをリセットした後、ユーザーは上記のように第2要素の再プロビジョニングを実行できます。

ユーザーのデバイス/ブラウザが信頼されていない場合、第2要素デバイスが利用できなくなったら、ユーザーはバックアップ方法を確認する必要があります。これは、SMSバックアップの電話番号に送信されるか、2要素認証デバイスが登録されたときに提供されたバックアップ文字列です。バックアップコードのこの検証を省略すると、2要素認証は無効になります認証はこれまで有効でした。実行する必要があります。

Googleがこれらのシナリオを処理する方法の詳細については、 2段階認証に関するGoogleのヘルプドキュメント を参照してください。彼らは間違いなくこれを熟考しており、オンラインで利用できる多くの良い情報を持っています。

*「信頼されている」とは、ユーザーが以前に2要素認証を使用して認証し、その後の認証でデバイス/ブラウザを信頼する必要があることを示すことを意味しますデバイス)

9
Brian Kelly

これに対する適切な回答のために、このフォーラムの範囲を超える多くのことを考慮する必要があります。ユーザーがアプリケーションにすぐにアクセスできることがどれほど重要であるか、ユーザーが個人認証のために簡単にアクセスできるかどうかなどの条件は、組織の他のビジネスニーズと比較検討する必要があります。これをどのように処理するかを決定します。

理想的には、実施しているオーセンティケーターのリセットまたは回復プロセスは、通常の認証プロセスと少なくとも同じくらい強力でなければなりません。通常、アプリケーションに多要素認証が必要な場合は、これらの認証システムをリセットまたは回復するための何らかの多要素認証も必要です。

あなたの質問に答えるには:

  1. ユーザーは引き続き、パスワードリセット機能の認証プロセスの一部として多要素デバイスを使用する必要があります。

  2. 最高のセキュリティを確保するには、新しいデバイスを直接受け取る必要があります。それ以外の場合は、デバイスのリモート再発行に必要な識別および認証の他の許容可能な形式を決定する必要があります。

  3. この人は話しかける船尾が必要です-対面認証のみを使用してください。

4
Iszi

多要素認証とは、アクセスを許可するためにいくつかの認証「要素」が必要であることを意味します。ユーザーがパスワードを忘れた場合、またはトークンを紛失した場合、あるいはその両方の場合、ユーザーはすべての要素に準拠することができなくなります。したがって、アクセスを回復するために使用される方法は、セキュリティモデルの違反です。そのような違反は許容できるかもしれませんif十分に抑制され監査されています。

一般的な答えとして、最初はユーザーは登録されておらず、パスワードもトークンも持っていませんでした。それでも、registrationと呼ぶプロセスによって、ユーザーはパスワードとトークンの両方を取得しました。 最悪の場合、自分のパスワードまたはトークン、あるいはその両方を失ったユーザーは、同じプロセスで再度登録するだけで済みます。

「ワークフローの再プロビジョニング」は、適切なセキュリティを確保しながら、完全な登録を再度行うよりも費用がかからない、中立的な立場を模索するものです。一般的な方法は、3番目のバックアップ認証要素を保持することです(これがいわゆる「セキュリティの質問」です)。他の「バックアップ要因」の中で、彼は彼のクレジットカードをちょっとした支払い(またはあなたの選択である大きな現金の塊)に使わせることができ、それにより銀行が痛々しく維持している認証フレームワークに便乗します。 「アクティベーション」通話、署名付きのFedEx/UPS配信...さまざまな価格/セキュリティの組み合わせを提供する多くの可能性があります。何が良いアイデアかは、状況によって異なります。

4
Thomas Pornin