1. ホーム
  2. 質問と答え
  3. ソフトウェアトークンはマルチファクタセキュリティの第2の有効な要素ですか?

ソフトウェアトークンはマルチファクタセキュリティの第2の有効な要素ですか?

2008-09-16 2 views
1

職場でのリモートログインのセキュリティプロセスが変更されています。新しいシステムでは以前のようにmulti-factor authenticationを使用しないことが懸念されます。 (私たちはRSAキーフォブを使用していましたが、コストのために交換されています)。新しいシステムは、2要素認証システムであると誤解されているフィッシング詐欺防止システムです。現在、ハードウェアデバイスをユーザーに発行することなく、マルチファクタセキュリティを提供する方法を模索しています。ソフトウェアトークンはマルチファクタセキュリティの第2の有効な要素ですか?

マルチファクタ認証システムの真の第2の要因となるソフトウェアベースのトークンシステムをユーザのPCにインストールすることは可能ですか?これは「ユーザーが持っているもの」とみなされるのだろうか、それとも単純に「ユーザーが知っているもの」の別のフォームになるのだろうか?

編集:phreakreは、クッキーについての良い点です。この質問のために、クッキーが十分に安全でないため、クッキーが除外されていると仮定します。

出典

2008-09-16 Jeromy Irvine

答えて

2

私は「いいえ」と言います。私は、あなたが本当に何かを持っているとは思えません。マルチファクター認証の一環として、エンドユーザーが持ち運べるものを発行しないでください。 「持っている」とは、失われる可能性があることを意味します。多くのユーザーがデスクトップマシン全体を失うことはありません。 「あなたが持っている何か」のセキュリティは、結局、次から来ている:

  • あなたはそれを持っていないとき、あなたは気付くだろう - 明確な指示のセキュリティは
  • のみ1人がそれを持つことができます侵害されています。あなたがそうした場合、他の誰かがしません

ソフトウェアトークンは、同じ保証を提供しません、私は良心的なクラスでは、ユーザーが持っているものとしてそれをしません。

出典

2008-09-16 16:18:54 freespace

1

"有効な"第2の要因であるとは確信していませんが、多くのWebサイトでこのタイプのプロセスがしばらく使用されています。ほとんど安全ですが、それはあなたが記述しているアイテムのタイプです。

「ユーザーが知っているもの」と「ユーザーが知っているもの」を比較すると、ユーザーPCに常駐しているものであれば[尋ねられたときに情報を提供するバックグラウンドアプリのようなものですが、 「ユーザーが持っているもの」の下にファイルを保存します。あるフィールドにパスワードを入力し、別のパスワードを入力してPCに保存している情報のロックを解除すると、「ユーザーが知っているもの」となります。

すでに存在する商用ソリューションに関して:私たちはBigFixと呼ばれるウィンドウ用の製品を使用しています。主にリモート設定およびコンプライアンス製品ですが、リモート/ VPN状況のためのマルチファクタシステムの一部として機能するモジュールがあります。

出典

2008-09-16 14:05:58 phreakre

1

ソフトウェアトークンは第2の要因ですが、おそらくRSAフォブとして選択するのは良い選択肢ではありません。ユーザーのコンピュータが侵害された場合、攻撃者は盗まれた痕跡を残さずにソフトウェアトークンを暗黙的にコピーすることができます(RSAフォブとは異なり、フォブ自体を取らなければならないため、

出典

2008-09-16 14:47:35

0

@freespaceは、画像がユーザーのマルチファクタ認証に含まれていないことに同意します。あなたが言うように、画像はアンチフィッシングスキームの一部です。私はイメージが実際にはシステムに対するユーザの弱い認証だと思う。この画像は、偽のフィッシングサイトではなく、ウェブサイトが有効であることをユーザーに認証します。

マルチファクタ認証システムの真の第2の要因となるソフトウェアベースのトークンシステムをユーザのPCにインストールすることは可能ですか?

ソフトウェアベースのトークンシステムは、ケルベロスプロトコルhttp://en.wikipedia.org/wiki/Kerberos_(protocol)を調べたいと思うかもしれません。しかし、これがマルチファクタ認証とみなされるかどうかはわかりません。

出典

2008-09-16 16:42:53 Mark

0

には、ユーザーではなく、何かが記述されています。 これは、実装に応じて、コンピュータであることが保証されていても、ユーザーに関する保証はありません。

ここではリモートログインについて話しているので、おそらく状況はパーソナルラップトップですか?この場合、ノートパソコンはあなたが持っているものですが、もちろんそのパスワードはあなたが知っているものと同じです...残っているものはすべて安全な実装であり、正常に動作することができます。

出典

2008-09-16 17:25:32 AviD

0

セキュリティは常にトレードオフです。ハードウェアトークンは盗むのが難しいかもしれませんが、ネットワークベースのMITM攻撃に対する保護はありません。これがWebベースのソリューション(イメージベースのシステムの1つを使用しているためと思われます)では、相互https認証を提供するものを検討する必要があります。その後、多数のDNS攻撃やWi-Fiベースの攻撃から保護されます。

あなたはもっとここに見つけることができます: http://www.howtoforge.net/prevent_phishing_with_mutual_authenticationhttp://www.wikidsystems.com/learn-more/technology/mutual_authenticationhttp://en.wikipedia.org/wiki/Mutual_authentication 、ここでは、フィッシング詐欺を防止するための相互認証を設定する方法のチュートリアルです。

画像ベースのシステムは、私が推測するように、相互認証として公認されていますが、暗号プリンシパルに基づいていないため、かなり弱いです。 MITMがイメージを提示するのを止めるにはどうしたらいいですか?それはあまりにもユーザーフレンドリーなIMO未満です。

出典

2008-09-17 20:56:14

+0

正しく実行されていれば、ネットワークベースの攻撃から保護することはありません。たとえば、暗号化スマートカード。あなたが正しいところでは、RSA securidのような疑似第二因子です。それはMITMを停止しません... – AviD

+0

一方、 "イメージ認証"上のあなたのポイントはうまく配置されます。私はしばらくの間、そのマシンに対して激怒してきました。私はなぜそれが明らかではないのか分かりません。 – AviD

関連する問題

 関連する問題