web-dev-qa-db-fra.com

Authentification à quatre facteurs

Je suis sûr que vous avez tous entendu parler de l'authentification à deux facteurs/à facteurs multiples. Fondamentalement, cela se résume à ces facteurs:

  • Connaissance - quelque chose que vous savez (par exemple, mot de passe, code PIN, modèle)
  • Possession - quelque chose que vous avez (par exemple, téléphone portable, carte de crédit, clé)
  • Existence - quelque chose que vous êtes (par exemple empreinte digitale)

Ma question est: Existe-t-il un quatrième facteur d'authentification?

Une recherche rapide sur Google n'a donné aucun résultat intéressant autre qu'un document de brevet que je n'ai pas pris la peine de lire. Pourriez-vous quelque part être considéré comme un quatrième facteur?

64
rink.attendant.6

Comme vous l'avez noté, les trois principaux sont:

  • Quelque chose que vous savez
  • Quelque chose que vous avez
  • Quelque chose que vous êtes

Je dirais qu'il y en a d'autres:

  • Quelque chose que vous pouvez faire, par exemple reproduire fidèlement une signature.
  • Quelque chose que vous pièce, par exemple un trait de personnalité particulier, voire un comportement neurologique pouvant être lu par une IRMf. Ce ne sont pas strictement des fonctionnalités "sont", car elles sont plus fluides.
  • Quelqu'un vous savez, par exemple authentification par chaîne de confiance.
  • Quelque part vous êtes (ou avez accès à), par ex. verrouiller une session sur une adresse IP ou envoyer une épingle de confirmation à votre adresse. Celui-ci est un peu ténu en termes d'être appelé facteur d'authentification , mais il est toujours utile de le noter.
86
Polynomial

Absolument!

Quelque part où vous êtes est assez largement utilisé dans l'informatique d'entreprise. Dans de nombreux environnements, si vous êtes sur un réseau de bureau, vous pouvez vous connecter en utilisant uniquement un mot de passe, mais si vous êtes absent du bureau, vous devez utiliser un facteur supplémentaire, généralement un jeton.

L'heure actuelle est sans doute un autre facteur d'authentification, un exemple classique étant un délai de sécurité. Les laissez-passer de porte de bureau ne sont souvent valables qu'à certaines heures de la journée.

Contactabilité est parfois considéré comme un autre facteur, par exemple recevoir une lettre à une adresse connue (ou un e-mail, un appel téléphonique) prouve son identité. Bien que cela se résume généralement à l'un des facteurs que vous avez déjà mentionnés, par exemple la réception d'une lettre montre que vous avez la clé de cette adresse.

En y réfléchissant davantage, vous réalisez que la distinction entre les facteurs est assez floue - en particulier entre "quelque chose que vous savez" et "quelque chose que vous avez". Si vous écrivez un mot de passe, ce morceau de papier devient-il "quelque chose que vous avez"? Vous mentionnez qu'une clé est "quelque chose que vous avez" - mais si un serrurier connaît le modèle, il peut créer une nouvelle clé. Donc, sans doute, une clé est vraiment "quelque chose que vous savez".

35
paj28

Nan. Il ya trois. Tous les autres mentionnés ici:

  • peut être réduit à l'un des trois canoniques (par exemple, "quelque chose que vous pouvez faire" est une caractéristique personnelle, donc classé comme "quelque chose que vous êtes"; "quelqu'un que vous connaissez" signifie que vous pouvez présenter une preuve de connexion à quelqu'un - c'est "quelque chose que vous avoir"!)
  • ne font pas partie de authentification, mais autorisation (l'heure, le réseau ou l'emplacement physique ne prouvent pas votre identité, mais peuvent être utilisés pour vous permettre d'accéder ou non). Exemple classique avec accès au bureau uniquement pendant les heures de bureau - pendant la nuit, la plupart d'entre nous ne perdons pas notre identité, nous ne sommes tout simplement pas autorisés à accéder au bureau (il y a encore des utilisateurs expérimentés, qui peuvent accéder au bureau 24/7 avec la même autorisation comme pendant la journée, non?)
26
ioo

Bien que nous assignions des authentificateurs à trois catégories communes, il est important de garder à l'esprit que ces catégories sont définies de façon assez vague. Les mots de passe sont normalement considérés comme des authentificateurs "ce que vous savez", mais si vous l'écrivez et faites référence au papier au lieu de la mémoire, devient-il un facteur "ce que vous avez"? Si un système authentifie en utilisant la dynamique du clavier pour surveiller le rythme et la vitesse de votre frappe, est-ce que vous vous appuyez sur "ce que vous êtes" ou "ce que vous savez"? Il peut y avoir un désaccord raisonnable au moment de décider comment classifier des authentificateurs spécifiques.

L'emplacement semble initialement être un quatrième facteur, mais est-ce vraiment le cas? Comment un système connaît-il votre position? Il s'appuie probablement sur des coordonnées ou des données d'adresse (physiques ou IP) fournies par un appareil. Ces données sont-elles alors "ce que vous savez", car une autre personne possédant les mêmes données peut reproduire ce facteur sur son propre appareil? Est-ce "ce que vous avez" puisque le système repose sur la fiabilité d'un appareil pour fournir des données légitimes? Nous devons décider si l'emplacement est suffisamment distinct pour être considéré comme sa propre catégorie de facteurs indépendants.

Je pense qu'il est important de faire une distinction sur ce qui constitue un facteur puisque nous utilisons des termes comme "authentification multifacteur" pour indiquer les avantages de certains systèmes. Est-ce multifactoriel si vous vous connectez à un système avec un mot de passe provenant d'une adresse IP associée aux connexions précédentes? Si nous considérons l'emplacement comme un quatrième facteur, la réponse est oui. Cependant, je n'ai pas vu beaucoup de gens qualifier cela de système d'authentification multifacteur.

Dans l'article CASA: Context-Aware Scalable Authentication les auteurs conviennent que les données de localisation peuvent servir de facteur dans le processus d'authentification, mais les définissent spécifiquement comme un facteur "passif". Ils distinguent les facteurs "passifs" des facteurs "actifs" qui nécessitent une interaction de l'utilisateur (par exemple, mots de passe, analyses d'empreintes digitales, etc.). Cela semble être un bon moyen de séparer les vrais facteurs d'authentification des autres données qui peuvent être utilisées pour prendre des décisions d'authentification.

À mon avis, les données de localisation ne devraient pas être considérées comme un quatrième facteur, mais cela ne les empêche pas d'être utiles pendant le processus d'authentification.

5
PwdRsch

Comme pour tout ce qui concerne la sécurité, déterminer où vous vous trouvez nécessite de la confiance. Si vous devez entrer votre PIN sur le clavier à 10 touches monté sur la porte de l'installation sécurisée, comment savez-vous que la connexion réseau du centre de données à la porte n'a pas été détournée vers un faux PIN monté ailleurs? Comment savez-vous qu'il n'y a pas de proxy en place, manipulant les clés au nom de quelqu'un d'autre?

Ou pour un exemple largement utilisé, considérez qu'il existe ( many ) des applications disponibles pour les iPhones qui permettent à l'utilisateur de spécifier l'emplacement de son choix aux services de localisation. Un cas d'utilisation simple pourrait être pour quelqu'un de faire semblant d'être au travail alors qu'il est en fait sur le terrain de golf. Cependant, vous pourriez falsifier votre emplacement pour avoir droit à des avantages autrement limités: imaginez un livre électronique avec une clôture géographique qui permet de le lire uniquement à l'intérieur d'une bibliothèque publique. Et si vous comptiez sur le téléphone pour vous localiser automatiquement afin de supprimer la nécessité d'utiliser un jeton sécurisé, un attaquant pourrait l'utiliser pour dégrader la sécurité en quelque chose de plus facile à casser.

Vous pouvez certainement ajouter un emplacement à un système de sécurité, mais vous devez également envisager des mesures pour vous assurer qu'il n'est pas vaincu.

1
John Deters

Le quatrième facteur serait quelque chose que l'individu fait, (biométrie dynamique). Les exemples incluent la reconnaissance par le modèle vocal, les caractéristiques de l'écriture manuscrite et le rythme de frappe.

1
Adam