1

職場のリモート ログイン セキュリティ プロセスを変更していますが、新しいシステムでは古いシステムのように多要素認証が使用されていないことが懸念されます。(RSAキーフォブを使用していましたが、コストがかかるため交換中です。)新しいシステムは、2要素認証システムであると誤解されているアンチフィッシング画像システムです. 現在、ユーザーにハードウェア デバイスを発行することなく、多要素セキュリティを提供し続ける方法を模索しています。

多要素認証システムの真の第 2 要素を構成する、ユーザーの PC にインストールするソフトウェアベースのトークン システムを作成することは可能ですか? これは「ユーザーが持っているもの」と見なされるのでしょうか、それとも単に「ユーザーが知っているもの」の別の形でしょうか?

編集: phreakreは Cookie について良い点を述べています。この質問のために、Cookie は十分に安全ではないため、除外されたと仮定します。

4

6 に答える 6

2

私は「いいえ」と言うでしょう。エンドユーザーが携帯できるものを発行しない限り、多要素認証の「あなたが持っているもの」の部分を本当に手に入れることはできないと思います。何かを「持っている」場合、それは失われる可能性があることを意味します。多くのユーザーがデスクトップ マシン全体を失うことはありません。結局のところ、「あなたが持っているもの」のセキュリティは、次のことに由来します。

  • 持っていない場合は、セキュリティが侵害されていることを明確に示しています。
  • 1人しか持てません。だからあなたがそうするなら、他の誰かはそうしない

ソフトウェア トークンは同じ保証を提供しません。ユーザーが「持っている」ものとして良心的に分類するつもりはありません。

于 2008-09-16T16:18:54.583 に答える
1

これが「有効な」第 2 要素であるかどうかはわかりませんが、多くの Web サイトはしばらくの間、このタイプのプロセスである Cookie を使用しています。ほとんど安全ではありませんが、あなたが説明しているタイプのアイテムです。

「ユーザーが持っているもの」と「ユーザーが知っているもの」に関して、それがユーザーの PC に常駐するもの (要求されたときに情報を提供するが、ユーザーが何もする必要がないバックグラウンド アプリなど) である場合は、次の場所にファイルします。 「ユーザーが持っているもの」。あるフィールドにパスワードを入力し、別のパスワードを入力して PC に保存されている情報のロックを解除している場合、それは「ユーザーが知っていること」です。

すでに存在する商用ソリューションに関しては、BigFix という Windows 用の製品を使用しています。これは主にリモート構成およびコンプライアンス製品ですが、リモート/VPN 状況の多要素システムの一部として機能するモジュールがあります。

于 2008-09-16T14:05:58.367 に答える
1

ソフトウェア トークンは 2 番目の要素ですが、おそらく RSA フォブほど適切な選択肢ではありません。ユーザーのコンピューターが侵害された場合、攻撃者は盗まれた痕跡を残さずにソフトウェア トークンを静かにコピーできます (フォブ自体を取得する必要がある RSA フォブとは異なり、ユーザーはそれが失われていることに気付く可能性があります)。

于 2008-09-16T14:47:35.020 に答える
0

画像がユーザーの多要素認証の一部ではないことに@freespaceに同意します。あなたが言うように、画像はフィッシング対策スキームの一部です。画像は実際にはユーザーに対するシステムの弱い認証だと思います。この画像は、Webサイトが有効であり、偽のフィッシングサイトではないことをユーザーに認証します。

多要素認証システムの真の第2要素を構成する、ユーザーのPCにインストールされるソフトウェアベースのトークンシステムを作成することは可能ですか?

ソフトウェアベースのトークンシステムは、Kerberosプロトコル(http://en.wikipedia.org/wiki/Kerberos_(protocol))を調査することをお勧めします。ただし、これが多要素認証としてカウントされるかどうかはわかりません。

于 2008-09-16T16:42:53.073 に答える
0

セキュリティは常にトレードオフです。ハードウェア トークンは盗みにくいかもしれませんが、ネットワーク ベースの MITM 攻撃に対する保護はありません。これが Web ベースのソリューションである場合 (画像ベースのシステムの 1 つを使用しているため、そうであると思います)、相互 https 認証を提供するものを検討する必要があります。その後、多数の DNS 攻撃や Wi-Fi ベースの攻撃から保護されます。

詳細については、http: //www.wikidsystems.com/learn-more/technology/mutual_authentication および http://en.wikipedia.org/wiki/Mutual_authentication を参照してください。防止するための相互認証の設定に関するチュートリアルは次のとおりです 。フィッシング: http://www.howtoforge.net/prevent_phishing_with_mutual_authentication .

画像ベースのシステムは、相互認証として売り込まれているようですが、暗号プリンシパルに基づいていないため、かなり脆弱です。MITMが画像を提示するのを止めるにはどうすればよいですか? ユーザーフレンドリーなIMOとは言えません。

于 2008-09-17T20:56:14.143 に答える
0

あなたが説明しているのは、ユーザーではなく、コンピューターが持っているものです。したがって、おそらく(実装に応じて)それがコンピューターであることは保証できますが、ユーザーに関する保証はありません...

さて、リモート ログインについて話しているので、状況はおそらく個人のラップトップですか? その場合、ラップトップはあなたが持っているものであり、もちろんラップトップへのパスワードはあなたが知っているものです...そして、残っているのは安全な実装だけであり、それはうまく機能します.

于 2008-09-16T17:25:32.020 に答える