Je suis sûr que vous avez tous entendu parler de l'authentification à deux facteurs/à facteurs multiples. Fondamentalement, cela se résume à ces facteurs:
Ma question est: Existe-t-il un quatrième facteur d'authentification?
Une recherche rapide sur Google n'a donné aucun résultat intéressant autre qu'un document de brevet que je n'ai pas pris la peine de lire. Pourriez-vous quelque part être considéré comme un quatrième facteur?
Comme vous l'avez noté, les trois principaux sont:
Je dirais qu'il y en a d'autres:
Absolument!
Quelque part où vous êtes est assez largement utilisé dans l'informatique d'entreprise. Dans de nombreux environnements, si vous êtes sur un réseau de bureau, vous pouvez vous connecter en utilisant uniquement un mot de passe, mais si vous êtes absent du bureau, vous devez utiliser un facteur supplémentaire, généralement un jeton.
L'heure actuelle est sans doute un autre facteur d'authentification, un exemple classique étant un délai de sécurité. Les laissez-passer de porte de bureau ne sont souvent valables qu'à certaines heures de la journée.
Contactabilité est parfois considéré comme un autre facteur, par exemple recevoir une lettre à une adresse connue (ou un e-mail, un appel téléphonique) prouve son identité. Bien que cela se résume généralement à l'un des facteurs que vous avez déjà mentionnés, par exemple la réception d'une lettre montre que vous avez la clé de cette adresse.
En y réfléchissant davantage, vous réalisez que la distinction entre les facteurs est assez floue - en particulier entre "quelque chose que vous savez" et "quelque chose que vous avez". Si vous écrivez un mot de passe, ce morceau de papier devient-il "quelque chose que vous avez"? Vous mentionnez qu'une clé est "quelque chose que vous avez" - mais si un serrurier connaît le modèle, il peut créer une nouvelle clé. Donc, sans doute, une clé est vraiment "quelque chose que vous savez".
Nan. Il ya trois. Tous les autres mentionnés ici:
Bien que nous assignions des authentificateurs à trois catégories communes, il est important de garder à l'esprit que ces catégories sont définies de façon assez vague. Les mots de passe sont normalement considérés comme des authentificateurs "ce que vous savez", mais si vous l'écrivez et faites référence au papier au lieu de la mémoire, devient-il un facteur "ce que vous avez"? Si un système authentifie en utilisant la dynamique du clavier pour surveiller le rythme et la vitesse de votre frappe, est-ce que vous vous appuyez sur "ce que vous êtes" ou "ce que vous savez"? Il peut y avoir un désaccord raisonnable au moment de décider comment classifier des authentificateurs spécifiques.
L'emplacement semble initialement être un quatrième facteur, mais est-ce vraiment le cas? Comment un système connaît-il votre position? Il s'appuie probablement sur des coordonnées ou des données d'adresse (physiques ou IP) fournies par un appareil. Ces données sont-elles alors "ce que vous savez", car une autre personne possédant les mêmes données peut reproduire ce facteur sur son propre appareil? Est-ce "ce que vous avez" puisque le système repose sur la fiabilité d'un appareil pour fournir des données légitimes? Nous devons décider si l'emplacement est suffisamment distinct pour être considéré comme sa propre catégorie de facteurs indépendants.
Je pense qu'il est important de faire une distinction sur ce qui constitue un facteur puisque nous utilisons des termes comme "authentification multifacteur" pour indiquer les avantages de certains systèmes. Est-ce multifactoriel si vous vous connectez à un système avec un mot de passe provenant d'une adresse IP associée aux connexions précédentes? Si nous considérons l'emplacement comme un quatrième facteur, la réponse est oui. Cependant, je n'ai pas vu beaucoup de gens qualifier cela de système d'authentification multifacteur.
Dans l'article CASA: Context-Aware Scalable Authentication les auteurs conviennent que les données de localisation peuvent servir de facteur dans le processus d'authentification, mais les définissent spécifiquement comme un facteur "passif". Ils distinguent les facteurs "passifs" des facteurs "actifs" qui nécessitent une interaction de l'utilisateur (par exemple, mots de passe, analyses d'empreintes digitales, etc.). Cela semble être un bon moyen de séparer les vrais facteurs d'authentification des autres données qui peuvent être utilisées pour prendre des décisions d'authentification.
À mon avis, les données de localisation ne devraient pas être considérées comme un quatrième facteur, mais cela ne les empêche pas d'être utiles pendant le processus d'authentification.
Comme pour tout ce qui concerne la sécurité, déterminer où vous vous trouvez nécessite de la confiance. Si vous devez entrer votre PIN sur le clavier à 10 touches monté sur la porte de l'installation sécurisée, comment savez-vous que la connexion réseau du centre de données à la porte n'a pas été détournée vers un faux PIN monté ailleurs? Comment savez-vous qu'il n'y a pas de proxy en place, manipulant les clés au nom de quelqu'un d'autre?
Ou pour un exemple largement utilisé, considérez qu'il existe ( many ) des applications disponibles pour les iPhones qui permettent à l'utilisateur de spécifier l'emplacement de son choix aux services de localisation. Un cas d'utilisation simple pourrait être pour quelqu'un de faire semblant d'être au travail alors qu'il est en fait sur le terrain de golf. Cependant, vous pourriez falsifier votre emplacement pour avoir droit à des avantages autrement limités: imaginez un livre électronique avec une clôture géographique qui permet de le lire uniquement à l'intérieur d'une bibliothèque publique. Et si vous comptiez sur le téléphone pour vous localiser automatiquement afin de supprimer la nécessité d'utiliser un jeton sécurisé, un attaquant pourrait l'utiliser pour dégrader la sécurité en quelque chose de plus facile à casser.
Vous pouvez certainement ajouter un emplacement à un système de sécurité, mais vous devez également envisager des mesures pour vous assurer qu'il n'est pas vaincu.
Le quatrième facteur serait quelque chose que l'individu fait, (biométrie dynamique). Les exemples incluent la reconnaissance par le modèle vocal, les caractéristiques de l'écriture manuscrite et le rythme de frappe.