it-swarm.com.de

Warum ist "etwas, das Sie wissen" der schwächste Authentifizierungsfaktor?

Zitieren aus dem CompTIA Security + Handbuch

Der erste Authentifizierungsfaktor (etwas, das Sie wissen wie Passwort oder PIN) ist der schwächste Faktor.

Warum? Es ist sinnvoll, wenn wir sagen, dass Menschen/Benutzer aus Sicherheitsgründen der schwächste Faktor in einem System sind, da wir Menschen vergessen, Fehler machen und leicht brechen. Aber es macht (zumindest für mich) keinen Sinn, dass es wahrscheinlicher ist, dass ich entführt und gefoltert werde (um mein Passwort aufzugeben), als dass ich eine Smartcard oder einen Schlüsselanhänger verliere?

enter image description here

25
Ulkoma

Im typischen Fall kann etwas, das Sie sind und das Sie haben, immer nur für eine Person gleichzeitig zutreffen. Wenn Sie Ihren Token verlieren, wissen Sie, dass Sie ihn verloren haben.

Etwas, das Sie wissen, kann von jemandem ohne Ihr Wissen kopiert werden. Wenn jemand Ihr Passwort hat, können Sie möglicherweise nicht feststellen, dass er dieses Wissen aktiv nutzt.

Dies ist ein Grund, Ihr Passwort regelmäßig zu ändern. Es verkürzt das Fenster, in dem eine Kennwortverletzung ausgenutzt werden kann.

44
CoverosGene

Passwörter oder allgemein etwas, das Sie kennen, sind oft relativ schwach, da sich Benutzer nicht an Geheimnisse mit hoher Entropie erinnern können. Infolgedessen sind Passwörter (oder alles, was Sie sich merken müssen) normalerweise ein Geheimnis mit niedriger Entropie, das zufälliges Erraten, Offline-Wörterbuchsuche und andere Angriffe ermöglicht. Während es möglich ist , ein ziemlich gutes Passwort zu erstellen und sich daran zu erinnern, zeigt die Erfahrung, dass Benutzer dies nicht tun - und dass es wahrscheinlich unvernünftig ist, von Benutzern zu erwarten, dass sie dies tun damit.

Es gibt eine enorme Menge an akademischer Forschung und praktischer Erfahrung, die diese Aussage stützen. Hier einige Beispielreferenzen:

Darüber hinaus kann jedes Geheimnis, das Sie kennen, möglicherweise gefälscht werden (d. H. Jemand kann Sie möglicherweise dazu bringen, es zu enthüllen).

Denken Sie an die klassische Aussage:

Menschen sind nicht in der Lage, hochwertige kryptografische Schlüssel sicher zu speichern, und sie haben eine unannehmbar langsame Geschwindigkeit und Genauigkeit bei der Ausführung kryptografischer Operationen. (Sie sind außerdem groß, teuer in der Wartung, schwierig zu verwalten und verschmutzen die Umwelt. Es ist erstaunlich, dass diese Geräte weiterhin hergestellt und bereitgestellt werden. Sie sind jedoch so weit verbreitet, dass wir unsere Protokolle nach ihren Einschränkungen gestalten müssen.)

Charlie Kaufman, Radia Perlman, Mike Speciner, Netzwerksicherheit: Private Kommunikation in einer öffentlichen Welt .

An dieser Stelle wundern Sie sich vielleicht: Warum verwenden wir die Passwörter angesichts der vielen Probleme immer noch? Wenn ja, empfehle ich Ihnen, sich diese Frage anzuschauen: Warum verwenden wir neben biometrischen Daten überhaupt Passwörter/Passphrasen? .

25
D.W.

Es ist möglich, ein "etwas zu wissen, das Sie wissen", das Sie nicht preisgeben müssen. Ich habe über ein sicheres Anmeldesystem gelesen, das ein Raster von 12 bis 15 Fotos von Gesichtern enthält, und Sie haben ungefähr 3 Sekunden Zeit, um die 3 oder 4 zu berühren, die Sie zuvor gesehen haben. Damit dies funktioniert, muss eine Datenbank mit vielen tausend Fotos vorhanden sein, und Sie trainieren mit Hunderten von Fotos. Das System weiß, auf welchen Sie trainiert haben. (Sie geben zuerst einen Benutzernamen an, der als "öffentlich" angenommen wird - nicht sicher.)

Sie können diese Informationen unmöglich an eine andere Person weitergeben, und jeder Erfolg bei einem Login bedeutet keinen Erfolg bei einem anderen. Damit "etwas, das Sie wissen" effektiv ist, sollten wir einfach Aspekte der menschlichen Natur verwenden, die effektiv funktionieren. Die meisten Menschen können zuvor gesehene Gesichtsfotos erkennen - sie sind eingebaut.

8
user82913

Dies ist das Ergebnis der hervorragenden Vermarktung durch Anbieter biometrischer Authentifizierung.

"Etwas, das du bist" ist für einen Angreifer manchmal sehr einfach zu reproduzieren. Fingerabdrücke und Stimme sind besonders leicht zu erhalten, ohne dass Menschen glaubwürdige Strategien anwenden können, um dies zu vermeiden (es ist nicht praktikabel, jederzeit Handschuhe zu tragen und nicht in der Öffentlichkeit zu sprechen ).

Die meisten von uns hinterlassen wahrscheinlich jeden Tag Dutzende ausnutzbarer Fingerabdrücke. Ich sage mein Passwort fast nicht so oft laut.

"Etwas, das Sie haben" ist auch nicht ohne Fehler und erfordert viel Benutzererziehung, um richtig verwendet zu werden. Z.B. In jedem RSA SecureID-Unternehmen werden bei einem Rundgang durch das Büro viele von ihnen auf Schreibtischen angezeigt, wobei der Code sichtbar ist. Ich sah sogar Leute, die sie mit sich um den Hals trugen. Auch das Verschwinden eines Authentifizierungstokens wird möglicherweise erst bemerkt, wenn es benötigt wird.

8
Bruno Rohée

Das größte (und einzige) Problem der kennwortbasierten Authentifizierung besteht darin, dass ihre Stärke vom Benutzer festgelegt wird und es gibt einen Kompromiss zwischen Stärke und Benutzerfreundlichkeit. Theoretisch haben Passwörter viele großartige Eigenschaften für einen Benutzer: Sie sind nur schwer von Dritten mit Gewalt zu erhalten, Sie verlieren sie nicht überall wie biometrische Daten, sie können im Gegensatz zu biometrischen Daten als Hashes gespeichert werden, Benutzer können anonym bleiben Während des Dienstes (wenn Sie Ihre Mobiltelefonnummer für 2 Faktoren freigeben oder ihnen Ihre Fingerabdrücke geben, verlieren Sie diese) können Benutzer das Kennwort anderen Personen mitteilen und den Zugriff freigeben. Versuchen Sie das mit Biometrie oder Schlüsselanhänger. Passwörter bieten dem Benutzer also mehr Kontrolle, was von Vorteil sein kann, aber meistens ein Nachteil ist.

Dann gibt es Probleme bei der Implementierung. Zuerst müssen Sie für jeden Ort, an dem Sie ein Passwort verwenden müssen, ein vollständig eindeutiges Passwort festlegen. Dies liegt daran, dass die andere Partei Ihr Passwort meistens im Klartext erhält. Wenn Sie ein starkes Authentifizierungsschema wie SCRAM-SHA1 verwenden, übertragen Sie das Passwort niemals an Dritte und können ein Schema wie "starkes Passwort" + "Website-Name" für Ihr Passwort verwenden. Diese Verwendung von Passwörtern ist jedoch sehr unklar zu trennen. Sie können ein kleines Gerät erstellen, auf dem Benutzer ihre Kennwörter eingeben. Dies garantiert, dass das Kennwort es nie verlässt. Der Benutzer kann jedoch vom Computer gefälscht werden und denkt, dass er es dort eingeben muss. Da ist es wieder, die Stärke hängt vom Benutzer ab.

1
user10008