Autentificator - Authenticator

En autentificering er et middel, der bruges til at bekræfte en brugers identitet, det vil sige at udføre digital godkendelse. En person godkender til et computersystem eller en applikation ved at demonstrere, at han eller hun har besiddelse og kontrol af en autentificator. I det enkleste tilfælde er godkenderen en fælles adgangskode .

Ved hjælp af terminologien i NIST Digital Identity Guidelines kaldes den part, der skal godkendes, fordringshaveren, mens den part, der verificerer sagsøgerens identitet, kaldes verifikatoren . Når fordringshaveren med succes demonstrerer besiddelse og kontrol af en eller flere godkendere over for verifikatoren gennem en etableret godkendelsesprotokol, kan verifikatoren udlede sagsøgerens identitet.

Klassifikation

Autentificatorer kan karakteriseres med hensyn til hemmeligheder, faktorer og fysiske former.

Autentificatorhemmeligheder

Hver autentificator er forbundet med mindst én hemmelighed, som sagsøgeren bruger til at demonstrere besiddelse og kontrol af autentificatoren. Da en angriber kunne bruge denne hemmelighed til at efterligne brugeren, skal en autentificeringshemmelighed beskyttes mod tyveri eller tab.

Hemmelighedstypen er en vigtig egenskab ved autentificatoren. Der er tre grundlæggende typer autentificeringshemmelighed: en husket hemmelighed og to typer kryptografiske nøgler, enten en symmetrisk nøgle eller en privat nøgle.

Memoriseret hemmelighed

En husket hukommelse er beregnet til at blive lagret af brugeren. Et velkendt eksempel på en husket hemmelighed er den almindelige adgangskode , også kaldet en adgangskode, en adgangssætning eller et personligt identifikationsnummer (PIN).

En autentificeringshemmelighed kendt af både fordringshaveren og verifikatoren kaldes en delt hemmelighed . For eksempel kan en hukommelse udenad deles eller ikke deles. En symmetrisk nøgle deles per definition. En privat nøgle deles ikke.

En vigtig type hemmelighed, der både huskes og deles, er adgangskoden. I det særlige tilfælde med en adgangskode, godkenderen er hemmeligheden.

Kryptografisk nøgle

En kryptografisk autentificering er en, der bruger en kryptografisk nøgle . Afhængigt af nøglematerialet kan en kryptografisk autentificator bruge symmetrisk nøgle-kryptografi eller offentlig nøgle-kryptografi . Begge undgår hemmeligheder udenad, og i tilfælde af offentlig nøgle-kryptografi er der heller ingen fælles hemmeligheder , hvilket er en vigtig sondring.

Eksempler på kryptografiske autentificatorer omfatter OATH -autentificatorer og FIDO -autentificatorer. Som modeksempel er en adgangskodeautentificering ikke en kryptografisk autentifikator. Se afsnittet #Eksempler for detaljer.

Symmetrisk nøgle

En symmetrisk nøgle er en fælles hemmelighed, der bruges til at udføre symmetrisk nøgle-kryptografi. Sagsøgeren gemmer deres kopi af den delte nøgle i en dedikeret hardware-baseret autentifikator eller en software-baseret autentifikator implementeret på en smartphone. Verifikatoren har en kopi af den symmetriske nøgle.

Offentlig-privat nøglepar

Et offentligt-privat nøglepar bruges til at udføre offentlig nøgle-kryptografi. Den offentlige nøgle er kendt af (og betroet af) verifikatoren, mens den tilhørende private nøgle er bundet sikkert til godkenderen. I tilfælde af en dedikeret hardware-baseret autentificator forlader den private nøgle aldrig autentificatorens rammer.

Autentificeringsfaktorer og former

En autentificering er noget unikt eller særpræg for en bruger ( noget man har ), aktiveres enten med en pinkode ( noget man ved ) eller er en biometrisk ("noget der er unikt for en selv"). En autentifikator, der kun leverer en af ​​disse faktorer, kaldes en enkeltfaktorautentificering, hvorimod en flerfaktorautentificering inkorporerer to eller flere faktorer. En multi-factor authenticator er en måde at opnå multi-factor authentication . En kombination af to eller flere enkeltfaktorautentificatorer er ikke en multifaktorgodkendelse, men kan dog være egnet under visse betingelser.

Autentificatorer kan have forskellige fysiske former (undtagen en husket hemmelighed, som er immateriel). Man kan for eksempel holde en autentificator i hånden eller bære en på ansigtet, håndleddet eller fingeren.

Det er praktisk at beskrive en autentificator med hensyn til hardware- og softwarekomponenter. En autentificator er hardware-baseret eller software-baseret afhængigt af om hemmeligheden er lagret i henholdsvis hardware eller software.

En vigtig type hardware-baseret autentificering kaldes en sikkerhedsnøgle, også kaldet et sikkerhedstoken (må ikke forveksles med adgangstokener , sessionstokener eller andre typer sikkerhedstokener). En sikkerhedsnøgle gemmer sin hemmelighed i hardware, hvilket forhindrer hemmeligheden i at blive eksporteret. En sikkerhedsnøgle er også resistent over for malware, da hemmeligheden på intet tidspunkt er tilgængelig for software, der kører på værtsmaskinen.

En softwarebaseret autentificering (undertiden kaldet et softwaretoken ) kan implementeres på en elektronisk enhed til generelle formål, f.eks. En bærbar computer , en tabletcomputer eller en smartphone . For eksempel er en softwarebaseret autentificering implementeret som en mobilapp på sagsøgerens smartphone en type telefonbaseret autentificering. For at forhindre adgang til hemmeligheden kan en softwarebaseret autentificering bruge en processors pålidelige udførelsesmiljø eller et Trusted Platform Module (TPM) på klientenheden.

En platformgodkendelse er indbygget i en bestemt klientenhedsplatform, det vil sige, at den er implementeret på enheden. I modsætning hertil er en roaming-autentificator en tværplatform-autentificering, der implementeres uden for enheden. En roaming -autentificator opretter forbindelse til en enhedsplatform via en transportprotokol som f.eks. USB .

Eksempler

De følgende afsnit beskriver snævre klasser af godkendere. For en mere omfattende klassificering, se NIST Digital Identity Guidelines.

Enfaktorautentificatorer

For at bruge en autentificator skal fordringshaveren eksplicit angive, at han har til hensigt at godkende. For eksempel er hver af følgende gestus tilstrækkelige til at fastslå hensigt:

  • Sagsøgeren skriver en adgangskode i et kodeordfelt eller
  • Sagsøgeren placerer deres finger på en fingeraftrykslæser eller
  • Sagsøgeren trykker på en knap for at angive godkendelse

Sidstnævnte kaldes en test af brugerens tilstedeværelse (TUP). For at aktivere en enkeltfaktorautentificator ( noget, man har ), kan fordringshaveren blive pålagt at udføre en TUP, hvilket undgår utilsigtet betjening af autentificatoren.

Adgangskode

Et kodeord er en hemmelighed, der er beregnet til at blive lagret af fordringshaveren og delt med verifikatoren. Adgangskodegodkendelse er den proces, hvorved fordringshaveren demonstrerer kendskab til adgangskoden ved at overføre den over netværket til verifikatoren. Hvis den overførte adgangskode stemmer overens med den tidligere delte hemmelighed, er brugergodkendelse vellykket.

OATH OTP

Engangskoder (OTP'er) er blevet brugt siden 1980'erne. I 2004 blev en Open Authentication Reference Architecture til den sikre generation af OTP'er annonceret på den årlige RSA -konference . Den Initiative for Open Authentication (OATH) lanceret et år senere. To IETF-standarder voksede ud af dette arbejde, den HMAC-baserede algoritme til engangsadgangskode (HOTP) og den tidsbaserede engangskodeord (TOTP), der er specificeret af henholdsvis RFC 4226 og RFC 6238. Med OATH OTP mener vi enten HOTP eller TOTP. OATH attesterer overensstemmelse med HOTP- og TOTP -standarderne.

En traditionel adgangskode ( noget, man ved ) kombineres ofte med en engangskodeord ( noget, man har ) for at levere tofaktorautentificering. Både adgangskoden og OTP overføres over netværket til verifikatoren. Hvis adgangskoden stemmer overens med den tidligere delte hemmelighed, og verifikatoren kan bekræfte værdien af ​​OTP, er brugergodkendelse vellykket.

Engangsadgangskoder genereres på forespørgsel af en dedikeret OATH OTP-godkendelse, der indkapsler en hemmelighed, der tidligere blev delt med verifikatoren. Ved hjælp af autentificatoren genererer fordringshaveren en OTP ved hjælp af en kryptografisk metode. Verifikatoren genererer også en OTP ved hjælp af den samme kryptografiske metode. Hvis de to OTP -værdier matcher, kan verifikatoren konkludere, at fordringshaveren besidder den delte hemmelighed.

Et velkendt eksempel på en OATH-autentificering er open-source Google Authenticator , en telefonbaseret autentificator, der implementerer både HOTP og TOTP.

Mobil skub

En mobil push -autentificering er i det væsentlige en native -app, der kører på sagsøgerens mobiltelefon. Appen anvender offentlig nøgle-kryptografi til at reagere på push-meddelelser. Med andre ord er en mobil push-autentificering en enkeltfaktor kryptografisk software-autentificering. En mobil push-autentificering ( noget man har ) kombineres normalt med en adgangskode ( noget man ved ) for at levere tofaktorautentificering. I modsætning til engangskoder kræver mobil push ikke en delt hemmelighed ud over adgangskoden.

Efter at sagsøgeren har godkendt med et kodeord, foretager verifikatoren en out-of-band-godkendelsesanmodning til en betroet tredjepart, der administrerer en offentlig nøgleinfrastruktur på vegne af verifikatoren. Den betroede tredjepart sender en push -meddelelse til sagsøgerens mobiltelefon. Sagsøgeren demonstrerer besiddelse og kontrol af autentificatoren ved at trykke på en knap i brugergrænsefladen, hvorefter autentificatoren svarer med en digitalt signeret påstand. Den betroede tredjepart verificerer signaturen på påstanden og returnerer et godkendelsessvar til verifikatoren.

Den proprietære mobile push-godkendelsesprotokol kører på en out-of-band sekundær kanal, som giver fleksible implementeringsmuligheder. Da protokollen kræver en åben netværkssti til sagsøgerens mobiltelefon, kan autentificeringsprocessen ikke fortsætte, hvis der ikke findes en sådan sti (på grund af netværksproblemer, f.eks.).

FIDO U2F

En FIDO Universal 2nd Factor (U2F) autentificering ( noget man har ) er en enkeltfaktor kryptografisk autentificering, der er beregnet til at blive brugt sammen med en almindelig webadgangskode. Da autentificatoren er afhængig af offentlig nøgle-kryptografi, kræver U2F ikke en ekstra delt hemmelighed ud over adgangskoden.

For at få adgang til en U2F -autentifikator skal fordringshaveren udføre en test af brugerens tilstedeværelse (TUP), som hjælper med at forhindre uautoriseret adgang til autentificatorens funktionalitet. I praksis består en TUP af et enkelt tryk på knappen.

En U2F -autentificator fungerer sammen med en tilpasset webbrugeragent , der implementerer U2F JavaScript API. En U2F -autentificering implementerer nødvendigvis CTAP1/U2F -protokollen, en af ​​de to protokoller, der er angivet i FIDO Client to Authenticator Protocol .

I modsætning til mobil push -godkendelse kører U2F -godkendelsesprotokollen helt på den forreste kanal. To rundrejser er påkrævet. Den første tur / retur er almindelig adgangskodegodkendelse. Efter at fordringshaveren har godkendt med et kodeord, sender verifikatoren en udfordring til en tilpasset browser, som kommunikerer med U2F -godkenderen via en brugerdefineret JavaScript API. Efter at fordringshaveren har udført TUP, underskriver autentificatoren udfordringen og returnerer den underskrevne påstand til verifikatoren via browseren.

Multi-factor autentificatorer

For at bruge en flerfaktorautentificering udfører sagsøgeren fuld brugerbekræftelse. Multifaktor-autentificatoren ( noget, man har ) aktiveres af en PIN-kode ( noget, man kender ), eller en biometri ( noget, der er unikt for en selv ", f.eks. Fingeraftryk, ansigt eller stemmegenkendelse ) eller en anden verifikationsteknik. ,

ATM -kort

For at hæve kontanter fra en automatisk kasseautomat (ATM) indsætter en bankkunde et hævekort i en pengeautomat og indtaster et personligt identifikationsnummer (PIN). Input -PIN'en sammenlignes med PIN -koden, der er gemt på kortets chip. Hvis de to matcher, kan hævningen af ​​pengeautomaten fortsætte.

Bemærk, at en hævning af pengeautomater involverer en hemmelig hukommelse (dvs. en pinkode), men den sande værdi af hemmeligheden er ikke kendt for pengeautomaten på forhånd. Maskinen videregiver blind PIN -koden til kortet, som sammenligner kundens input med den hemmelige PIN -kode, der er gemt på kortets chip. Hvis de to matcher, rapporterer kortet succes til pengeautomaten, og transaktionen fortsætter.

Et hævekort er et eksempel på en multifaktorautentificering. Selve kortet er noget, man har, mens PIN -koden, der er gemt på kortets chip, formentlig er noget, man kender . At præsentere kortet for pengeautomaten og demonstrere kendskab til PIN-koden er en slags multi-factor-godkendelse.

Secure Shell

Secure Shell (SSH) er en klient-server-protokol, der bruger offentlig nøgle-kryptografi til at oprette en sikker kanal over netværket. I modsætning til en traditionel adgangskode er en SSH -nøgle en kryptografisk autentifikator. Den primære autentificeringshemmelighed er den private SSH -nøgle, som bruges af klienten til digitalt at signere en besked. Den tilhørende offentlige nøgle bruges af serveren til at verificere meddelelsens signatur, hvilket bekræfter, at sagsøgeren har besiddelse og kontrol af den private nøgle.

For at undgå tyveri kan SSH private nøgle ( noget man har ) krypteres ved hjælp af en adgangssætning ( noget man kender ). For at starte en tofaktorautentificeringsproces leverer fordringshaveren adgangssætningen til klientsystemet.

Ligesom et kodeord er SSH -adgangssætningen en husket hukommelse, men det er her ligheden ender. Mens en adgangskode er en delt hemmelighed, der transmitteres over netværket, deles SSH -adgangssætningen ikke, og desuden er brugen af ​​adgangskoden strengt begrænset til klientsystemet. Godkendelse via SSH er et eksempel på adgangskodeløs godkendelse, da den undgår overførsel af en delt hemmelighed over netværket. Faktisk kræver SSH -godkendelse slet ikke en delt hemmelighed.

FIDO2

FIDO U2F -protokollstandarden blev udgangspunktet for FIDO2 -projektet , en fælles indsats mellem World Wide Web Consortium (W3C) og FIDO Alliance. Projektleverancer inkluderer W3C Web Authentication ( WebAuthn ) standarden og FIDO Client to Authenticator Protocol (CTAP). WebAuthn og CTAP leverer sammen en stærk godkendelsesløsning til internettet.

En FIDO2-autentificator, også kaldet en WebAuthn-autentificering, bruger offentlig nøgle-kryptografi til at interoperere med en WebAuthn-klient, det vil sige en tilpasset webbrugeragent , der implementerer WebAuthn JavaScript API. Autentificatoren kan være en platform -autentificator, en roaming -autentificator eller en kombination af de to. For eksempel er en FIDO2-autentificator, der implementerer CTAP2-protokollen, en roaming-autentificator, der kommunikerer med en WebAuthn-klient via en eller flere af følgende transportmuligheder: USB , near-field communication (NFC) eller Bluetooth Low Energy (BLE). Konkrete eksempler på FIDO2 -platformgodkendere omfatter Windows Hello og Android -operativsystemet .

En FIDO2-autentificering kan bruges i enten single-factor mode eller multi-factor mode. I enkeltfaktormodus aktiveres autentificatoren ved en simpel test af brugerens tilstedeværelse (f.eks. Et tryk på knappen). I multifaktor-tilstand aktiveres autentificatoren ( noget, man har ) af enten en PIN-kode ( noget, man kender ) eller en biometrisk ("noget, der er unikt for en selv").

Sikkerhedskode

Først og fremmest begynder stærk godkendelse med multifaktorgodkendelse . Det bedste, man kan gøre for at beskytte en personlig online-konto, er at aktivere multifaktorgodkendelse. Der er to måder at opnå multi-factor-godkendelse på:

  1. Brug en flerfaktorautentificering
  2. Brug en kombination af to eller flere enkeltfaktorautentificatorer

I praksis er en almindelig tilgang at kombinere en adgangskodeautentificering ( noget, man kender ) med en anden autentificator ( noget, man har ) såsom en kryptografisk autentifikator.

Generelt foretrækkes en kryptografisk autentificator frem for en autentifikator, der ikke bruger kryptografiske metoder. Alt andet lige er en kryptografisk autentificator, der anvender public-key-kryptografi bedre end en, der bruger symmetrisk nøgle-kryptografi, da sidstnævnte kræver delte nøgler (som kan blive stjålet eller misbrugt).

Igen alt andet lige er en hardware-baseret autentificering bedre end en software-baseret autentificering, da autentificeringshemmeligheden formentlig er bedre beskyttet i hardware. Denne præference afspejles i NIST -kravene beskrevet i det næste afsnit.

NIST -godkendelsesniveau

NIST definerer tre niveauer af sikkerhed med hensyn til godkendere. Det højeste godkendelsessikkerhedsniveau (AAL3) kræver flerfaktorautentificering ved hjælp af enten en flerfaktorautentificering eller en passende kombination af enkeltfaktorautentificatorer. På AAL3 skal mindst en af ​​godkenderne være en kryptografisk hardware-baseret autentificering. I betragtning af disse grundlæggende krav inkluderer mulige autentificeringskombinationer, der bruges på AAL3:

  1. En flerfaktor kryptografisk hardware-baseret autentifikator
  2. En enkeltfaktorkryptografisk hardware-baseret autentifikator, der bruges sammen med en anden autentificator (f.eks. En adgangskodeautentificering)

Se NIST Digital Identity Guidelines for yderligere diskussion af autentificeringssikkerhedsniveauer.

Begrænsede autentificatorer

Ligesom godkendelsessikkerhedsniveauer er begrebet begrænset autentificering et NIST -koncept. Udtrykket refererer til en autentificator med påvist manglende evne til at modstå angreb, hvilket sætter pålideligheden af ​​godkenderen i tvivl. Føderale agenturer formindsker brugen af ​​en begrænset autentificator ved at tilbyde abonnenter en alternativ autentificering, der ikke er begrænset, og ved at udvikle en migrationsplan i tilfælde af, at en begrænset autentificator er forbudt at bruge på et tidspunkt i fremtiden.

I øjeblikket er brugen af ​​det offentlige telefonnet begrænset af NIST. Især er out-of-band-transmissionen af ​​engangskoder (OTP'er) via indspillede talebeskeder eller SMS- beskeder begrænset. Desuden, hvis et bureau vælger at bruge tale- eller SMS-baserede OTP'er, skal dette agentur kontrollere, at OTP'en overføres til en telefon og ikke en IP-adresse, da Voice over IP (VoIP) -konti ikke rutinemæssigt er beskyttet med multifaktor Godkendelse.

Sammenligning

Det er praktisk at bruge adgangskoder som sammenligningsgrundlag, da det er bredt forstået, hvordan man bruger et kodeord. På edb -systemer er adgangskoder blevet brugt siden mindst begyndelsen af ​​1960'erne. Mere generelt er adgangskoder blevet brugt siden oldtiden.

I 2012 udtalte Bonneau et al. evalueret to årtiers forslag om at erstatte adgangskoder ved systematisk at sammenligne webadgangskoder med 35 konkurrerende godkendelsesordninger med hensyn til deres anvendelighed, implementering og sikkerhed. (Den citerede tekniske rapport er en udvidet version af det peer-reviewed papir med samme navn.) De fandt ud af, at de fleste ordninger klarer sig bedre end adgangskoder til sikkerhed, mens hver ordning gør det dårligere end adgangskoder med hensyn til implementering. Med hensyn til brugervenlighed gør nogle ordninger det bedre, og nogle ordninger gør det dårligere end adgangskoder.

Google brugte evalueringsrammen for Bonneau et al. at sammenligne sikkerhedsnøgler med adgangskoder og engangskoder. De konkluderede, at sikkerhedsnøgler er mere anvendelige og anvendelige end engangskoder og mere sikre end både adgangskoder og engangskoder.

Se også

Referencer