web-dev-qa-db-ja.com

機密情報を扱うときに、2要素認証をスキップするようにデバイスを覚えておくのは安全で寛容ですか?

私たちはsmall英国のスタートアップで、特定の特別な人々(ジャーナリストなど)が非公開の裁判所情報にアクセスできるようにする小さなサービスを構築しています。

この情報には、オンラインだけで共有することのできない大量の個人情報や機密情報が含まれます。 30mphゾーンで31mphをしたと非難された誰かの名前や住所のような比較的マイナーなものから。しかし、もう一方の端にも含まれています。レイプの被害者の名前、住所、年齢、親戚など、または犯罪を犯したとされる12歳の子供、またはレイプや性的虐待の被害者となる可能性のある子供(またはそうであった大人)。保護された犠牲者または被告(18歳未満の性犯罪および被告を対象とする)に関するこの情報は公開が違法であり、一般の人々と共有することも違法です(具体的には、匿名の事件が裁判所に存在するという事実は非合法ではありません) )。

このシステムにアクセスできるすべての人は、これらの法律(ジャーナリスト、弁護士など)を知るように細心の注意を払う必要があります。そうすれば、情報を合法的に使用する責任があり、責任を負うことになります。

当然、ログインに2FAを適用したいと考えています。しかし、ここでの私の質問は、2FAでデバイスを追加して記憶できるようにしても安全かどうかです。たとえば、Googleアカウントでは、このサービスが記憶されることを示すボックスにチェックマークを付け、特定の期間(2か月iirc)2FAをスキップできます。

ユーザーの設計の観点から見ると、ユーザーがログインするたびに2FA画面が表示されないようにすると、ユーザーが遅れてイライラする可能性があるため、明らかに良いでしょう。

セキュリティの観点から、デバイスを次のように記憶することを許可することには多くのリスクがあります。月?

これにセキュリティ基準に関連するものはありますか?発売前にセキュリティ基準などに合格/実装する必要がありますが、これはこれらに影響しますか?例えば。 ISO 270001が同様のものについて言及されていますが、これは2FA効果を記憶する能力があるのでしょうか?

1
Levi H

この特定のケースでは、私はagainst 2FAを覚えておくことをお勧めします。ほとんどのユーザーはおそらくブラウザにログインとパスワードの保存を要求するため、2FA状態を保存すると安全性の障壁が取り除かれます。

誰かが自分のデバイスを紛失した場合(盗難またはどこかで忘れた場合)、誰でもログインしてすべてをダウンロードするのを止めることはできません。賢明なセッション非アクティブ期限切れタイマー(たとえば15分)を適用し、2FAを覚えていない場合、保存されたログインでもアクセスが許可されません。

2
ThoriumBR

一般に、ISO標準は、安全なシステムを構築または構成する方法を明確に指示するのではなく、安全なシステムを生成するプロセスを確立します。それらはその意味で役立つ基盤ですが、特定の機能を提供しない場合があります回答。

リスクアセスメントはすべての利害関係者の間で共有される責任です。設計者(あなたの会社)、データ管理者(政府)、およびデータ主体(関連する管轄区域の英国居住者)はすべて決定に関与する必要があります。第三者を含めることは実際的でないことが多いため、プライバシー担当者やその他の代理人が自分の利益を代表することがよくあります。

一般的で合理的な解決策は、デバイスを毎日認証し、Cookieまたは同等のメカニズムを使用して、1時間、8時間、または24時間以内に再認証を許可することです。個別のアカウント、アイドルロック画面などのワークステーションレベルのセキュリティコントロールを利用して、必要に応じてこれらのセッションへの不正アクセスのリスクを軽減できます。このソリューションは、政府が設計を承認し、ユーザーコミュニティからの基本的なセキュリティ制御を要求する用意があることを意味します。 これは伝達および文書化する必要があります。セキュリティの実装が顧客に受け入れられるまで、妥当性の程度に関係なく「受け入れ可能」ではありません。(これは、受け入れられた設計と適合製品の配送を意味します。 、お客様が確認済み)。

EUでは、GDPRから派生したルールと厳格なペナルティがかなり広く適用されていますが、Brexitが発生しているため、お客様はGDPRに準拠するつもりがない場合があります。 会社や業界によっては、GDPRへの準拠を製品/モジュール/ライブラリの設計に組み込むことをお勧めします。これは、後でEUの顧客を追及するつもりである場合、大きな頭痛の種になる可能性があるためです。

1
DoubleD

利便性とセキュリティの間には常に議論がありました。システム/アプリケーションを取得するのではなく、不便であることは良いことです。

2要素認証の目的は、ユーザーの正当性を再確認することであり、パラメーターの1つを保存すると、それを使用しないのと同じくらい良いと思います。 2要素認証は、アプリケーションの処理や機密情報の保存に不可欠です。例PCI-DSS、CSAなど。上記の例は、機密性の高い情報の特定のケースです。また、リスクを軽減するために、パラメーター/要素を保存せずに、2要素認証を使用する必要があります。

ISO 27001規格では、リスク評価について説明しているため、2要素を使用するかどうかを推奨していません。コントロールとその深さは、特定されたリスク(この場合は高い)に基づいている必要があります。

0
Ujjwal Joshi