it-swarm.dev

Autenticazione in due passaggi rispetto a due fattori: c'è differenza?

Al giorno d'oggi, ci sono praticamente tre forme di autenticazione di uso generale sul web:

  • Autenticazione a fattore singolo, ad es .: PIN o password.
  • Autenticazione a due fattori, ad esempio: fattore singolo più un codice token generato da software o hardware o una smart card.
  • Autenticazione "in due passaggi", ad es .: singolo fattore più un codice inviato all'utente fuori banda.

Di solito, il secondo passaggio nell'autenticazione in due passaggi prevede che l'utente riceva un codice via e-mail o SMS e inserendolo accanto (o dopo) il proprio pin/password sul sito Web/app in uso La casella di posta elettronica o il telefono ricevente potrebbero essere considerati "qualcosa che hai", qualificandolo quindi come autenticazione a due fattori. Tuttavia, il codice effettivamente utilizzato (e le credenziali utilizzate per accedere all'account/dispositivo che riceve il codice) nel secondo passaggio è ancora un "qualcosa che conosci".

Quindi, l'autenticazione in due passaggi è una nuova forma di autenticazione a due fattori? O è davvero solo l'autenticazione a fattore singolo?

58
Iszi

L'autenticazione a due fattori si riferisce specificamente ed esclusivamente ai meccanismi di autenticazione in cui i due elementi di autenticazione rientrano in diverse categorie rispetto a "qualcosa che hai", "qualcosa che sei" e "qualcosa che conosci".

Uno schema di autenticazione in più passaggi che richiede due chiavi fisiche, due password o due forme di identificazione biometrica non è un fattore a due fattori, ma i due passaggi possono essere comunque preziosi.

Un buon esempio di ciò è l'autenticazione in due passaggi richiesta da Gmail. Dopo aver fornito la password memorizzata, è necessario fornire anche la password singola visualizzata sul telefono. Mentre il telefono può sembrare "qualcosa che hai", dal punto di vista della sicurezza è ancora "qualcosa che conosci". Questo perché la chiave per l'autenticazione non è il dispositivo stesso, ma piuttosto le informazioni memorizzate on il dispositivo che potrebbe in teoria essere copiato da un utente malintenzionato. Quindi, copiando sia la password memorizzata che la configurazione OTP, un utente malintenzionato potrebbe impersonare con successo senza rubare nulla di fisico.

Il punto all'autenticazione a più fattori, e il motivo della rigorosa distinzione, è che l'attaccante deve riuscire a far fuori due diversi tipi di furto per impersonare te stesso: deve acquisire sia la tua conoscenza che il tuo dispositivo fisico , per esempio. Nel caso di multi-step (ma non multi-factor), l'attaccante deve solo tirare fuori un tipo del furto, solo più volte. Quindi, per esempio, ha bisogno di rubare due informazioni, ma nessun oggetto fisico.

Il tipo di autenticazione a più passaggi fornito da Google, Facebook o Twitter è ancora abbastanza forte da contrastare la maggior parte degli aggressori, ma da un punto di vista purista, tecnicamente non è l'autenticazione a più fattori.

77
tylerl

Ecco un diagramma di flusso che spiega le differenze.

difference between two-factor authentication and two-step verification

Fonte: https://ramblingrant.co.uk/the-difference-between-two-factor-and-two-step-authentication

14
Paul Moore

Non classificherei davvero il "doppio passo" come distinzione. È un meccanismo di un fattore che può o non può essere ancora qualcosa che conosci. Ad esempio, se il codice viene inviato a un cellulare, allora è davvero qualcosa che conosci (password) e qualcosa che hai (cellulare). Se viene inviato a un'e-mail, è davvero ancora un singolo fattore poiché sia ​​l'e-mail che l'account sono (molto probabilmente) derivati ​​dalla password.

È certamente ancora un meccanismo di convalida nel senso dell'e-mail, ma non aggiunge altro che richiederebbe una seconda password in termini di autenticazione.

9
AJ Henderson

Puoi semplicemente dire che ogni autenticazione a due fattori è un'autenticazione in due passaggi, ma non viceversa.

Quando, inserisco la mia password ed eseguo la scansione della mia impronta digitale, eseguo un'autenticazione in due passaggi e utilizzo un fattore due (qualcosa che conosci, qualcosa che sei)

Tuttavia, quando ho inserito la mia normale password dell'account e una sola volta, sto facendo due passi ma uso solo One-Factor (qualcosa che conosco)

8
Ubaidah

EDIT (15/5/2015): la risposta di Paul Moore sembra tecnicamente più sana della mia (votata a fondo)


Mi manca qualsiasi fonte attendibile nelle risposte attuali, quindi mi riferirò a Schneier e alle pagine di aiuto di Google per sostenere che "in due passaggi" è solo un nome favorevole ai laici per l'autenticazione a due fattori:

Schneier:

Di recente, ho visto esempi di autenticazione a due fattori che utilizzano due diversi percorsi di comunicazione: chiamarla "autenticazione a due canali". Una banca invia una sfida al cellulare dell'utente tramite SMS e si aspetta una risposta via SMS. Se si presume che tutti i clienti della banca dispongano di telefoni cellulari, ciò comporta un processo di autenticazione a due fattori senza hardware aggiuntivo. E ancora meglio, il secondo pezzo di autenticazione passa su un canale di comunicazione diverso dal primo; intercettare è molto più difficile.

supporto di Google (e altri che non posso pubblicare a causa della mancanza di reputazione): nota come li usano in modo intercambiabile, piuttosto ricadendo sul "fattore" quando la cosa diventa tecnica.

La differenza è addizione contro moltiplicazione.

Due passaggi sono un processo aggiuntivo: ti autentichi una volta con una credenziale indipendente (una password) e poi di nuovo con un'altra credenziale indipendente (un OTP, fornito tramite SMS, telefono o in qualche app generatore). Ti sei autenticato due volte.

Due fattori sono moltiplicativi: stai combinando una credenziale indipendente (a PIN o chiave segreta o biomarker) con un'altra (un certificato o un codice token crittografico) per derivare una singola credenziale più forte di ciascuna credenziale indipendente.

Assegnando numeri completamente arbitrari e convenienti a tipi di credenziali (1 = nessuno, 2 = password [qualsiasi tipo: auto-definito, OTP, ecc], 3 = credenziali crittografiche [certificato, codice token]), posso dimostrare che una password è più forte di nessuna password (2> 1); che l'autenticazione in due passaggi è più forte di una singola password ((2 + 2 = 4)> 2) o di una credenziale crittografica ((2 + 2 = 4)> 3) indipendentemente, ma sempre più debole di qualsiasi schema a più fattori (( 2 + 2 = 4) <(2 * 3 = 6)).

3
trs80

Dal punto di vista della teoria dell'informazione, non c'è alcuna differenza tra di loro. Questo è il motivo per cui l'entanglement non consente la trasmissione di dati FTL , è come se tu scrivessi le informazioni su un pezzo di carta e camminassi per un miglio e poi lo aprissi. L'informazione non è stata trasmessa nel tempo, è stata sempre lì. Dal punto di vista percettivo, per noi è diverso, ma è tutto incatenato a "informazioni che conosci".

Detto questo, ci sono implicazioni di sicurezza tra i due. Craccare un token deterministico richiede generalmente ingegneria sociale o attacchi basati su tubo di gomma . Se l'uomo è fuori per prenderti e sa che dipende dall'autenticazione in due passaggi, può monitorare il segnale fuori banda e correlare le tue attività. Diciamo, ad esempio, che operi . Onion site sulla rete TOR che richiede un messaggio di testo per il secondo passo fuori banda. Se ci sono 1/100 di persone in un elenco di possibili sospetti, potrebbero controllare i timestamp su tutti i messaggi di testo e correlare le modifiche sul sito.

1
Indolering

Le tue definizioni sono un po 'fuori. La verifica in due passaggi (suppongo che tu stia pensando a Google) può utilizzare anche i token e l'autenticazione a due fattori potrebbe utilizzare codici o dati biometrici o qualsiasi cosa ti dia due o più categorie: cosa sai, cosa hai o quello che sei.

Ciò che distingue la verifica in due passaggi di Google dalla corretta autenticazione a due fattori è che non è sempre necessario utilizzare il secondo fattore per l'autenticazione. Ti chiede solo di usarlo per verificare la tua identità in caso di dubbi o quando scade il cookie impostato nel tuo browser.

Per quanto riguarda lo stato di un telefono o di un account di posta elettronica come fattore, lo classificherei come qualcosa che hai. È tanto qualcosa che hai quanto un token software. Sicuramente conosci la password dell'account e-mail, ma potresti anche conoscere i dati seed per ricreare un token software.

0
Rod MacPherson