it-swarm.com.de

Zwei-Schritt- oder Zwei-Faktor-Authentifizierung - Gibt es einen Unterschied?

Heutzutage gibt es im Web so ziemlich drei Arten der Authentifizierung, die allgemein verwendet werden:

  • Einzelfaktorauthentifizierung, z. B.: PIN oder Passwort.
  • Zwei-Faktor-Authentifizierung, z. B.: Einzelfaktor plus einen durch Software oder Hardware generierten Token-Code oder eine Smartcard.
  • "Zwei-Schritt" -Authentifizierung, z. B.: Einzelfaktor plus ein Code, der außerhalb des Bandes an den Benutzer gesendet wird.

Normalerweise besteht der zweite Schritt bei der zweistufigen Authentifizierung darin, dass der Benutzer einen Code per E-Mail oder SMS] erhält und ihn neben (oder nach) seiner PIN/seinem Passwort auf der verwendeten Website/App eingibt Der E-Mail-Posteingang oder das empfangende Telefon können als "etwas, das Sie haben" betrachtet werden, wodurch dies als Zwei-Faktor-Authentifizierung qualifiziert wird. Der tatsächlich verwendete Code (und die Anmeldeinformationen, die für den Zugriff auf das Konto/Gerät verwendet werden, das das Telefon erhält) Code) im zweiten Schritt ist immer noch ein "etwas, das Sie wissen".

Ist die zweistufige Authentifizierung eine neue Form der Zwei-Faktor-Authentifizierung? Oder ist es wirklich nur eine Multi-Single-Factor-Authentifizierung?

58
Iszi

Die Zwei-Faktor-Authentifizierung bezieht sich speziell und ausschließlich auf Authentifizierungsmechanismen, bei denen die beiden Authentifizierungselemente in Bezug auf "etwas, das Sie haben", "etwas, das Sie sind" und "etwas, das Sie wissen" unter verschiedene Kategorien fallen.

Ein mehrstufiges Authentifizierungsschema, das zwei physische Schlüssel oder zwei Passwörter oder zwei Formen der biometrischen Identifizierung erfordert, ist kein Zweifaktor, aber die beiden Schritte können dennoch wertvoll sein.

Ein gutes Beispiel hierfür ist die für Google Mail erforderliche zweistufige Authentifizierung. Nachdem Sie das gespeicherte Passwort eingegeben haben, müssen Sie auch das auf Ihrem Telefon angezeigte Einmalpasswort eingeben. Während das Telefon als "etwas, das Sie haben" erscheint, ist es aus Sicherheitsgründen immer noch "etwas, das Sie wissen". Dies liegt daran, dass der Schlüssel für die Authentifizierung nicht das Gerät selbst ist, sondern die gespeicherten Informationen on das Gerät, das theoretisch von einem Angreifer kopiert werden könnte. Wenn Sie also sowohl Ihr gespeichertes Kennwort als auch die OTP-Konfiguration kopieren, kann sich ein Angreifer erfolgreich als Sie ausgeben, ohne tatsächlich etwas Physisches zu stehlen.

Der Punkt bei der Multi-Faktor-Authentifizierung und der Grund für die strikte Unterscheidung besteht darin, dass der Angreifer zwei verschiedene Arten Diebstahl erfolgreich durchführen muss, um sich als Sie auszugeben: Er muss sowohl Ihr Wissen als auch Ihr physisches Gerät erwerben , beispielsweise. Im Fall von mehreren Schritten (aber nicht mehreren Faktoren) muss der Angreifer nur einen Typ Diebstahl nur mehrmals ausführen. So muss er zum Beispiel zwei Informationen stehlen, aber keine physischen Objekte.

Die von Google, Facebook oder Twitter bereitgestellte mehrstufige Authentifizierung ist immer noch stark genug, um die meisten Angreifer zu vereiteln. Aus puristischer Sicht handelt es sich jedoch technisch gesehen nicht um eine Multi-Faktor-Authentifizierung.

77
tylerl

Hier ist ein Flussdiagramm, das die Unterschiede erklärt.

(difference between two-factor authentication and two-step verification

Quelle: https://ramblingrant.co.uk/the-difference-between-two-factor-and-two-step-authentication

14
Paul Moore

Ich würde den "Zwei-Schritt" nicht wirklich als Unterscheidung klassifizieren. Es ist ein Mechanismus eines Faktors, der möglicherweise noch etwas ist, das Sie kennen oder nicht. Wenn der Code beispielsweise an ein Mobiltelefon gesendet wird, ist dies wirklich etwas, das Sie kennen (Passwort) und etwas, das Sie haben (Mobiltelefon). Wenn es an eine E-Mail gesendet wird, ist es wirklich immer noch ein einzelner Faktor, da sowohl die E-Mail als auch das Konto (höchstwahrscheinlich) vom Passwort abgeleitet sind.

Es ist sicherlich immer noch ein Validierungsmechanismus im E-Mail-Sinne, aber es fügt nicht mehr hinzu, als wenn Sie nach einem zweiten Passwort fragen würden, was die Authentifizierung betrifft.

9
AJ Henderson

Sie können einfach sagen, dass jede Zwei-Faktor-Authentifizierung eine Zwei-Schritt-Authentifizierung ist, aber nicht umgekehrt.

Wenn ich mein Passwort eingebe und meinen Fingerabdruck scanne, mache ich eine zweistufige Authentifizierung und verwende einen Zwei-Faktor (etwas, das Sie wissen, etwas, das Sie sind).

Wenn ich jedoch mein reguläres Kontopasswort und ein Einmalpasswort eingegeben habe, mache ich Two-Step, verwende aber nur One-Factor (etwas, das ich weiß).

8
Ubaidah

EDIT (15.5.2015): Paul Moores Antwort scheint technisch fundierter zu sein als meine (positiv bewertet)


Mir fehlt eine seriöse Quelle in den aktuellen Antworten, daher werde ich auf Schneier und auf Googles eigenen Hilfeseiten verweisen, um zu argumentieren, dass "Two-Step" nur ein Laien-freundlicher Name für die Zwei-Faktor-Authentifizierung ist:

Schneier :

Kürzlich habe ich Beispiele für die Zwei-Faktor-Authentifizierung mit zwei verschiedenen Kommunikationspfaden gesehen: Nennen Sie sie "Zweikanal-Authentifizierung". Eine Bank sendet eine Herausforderung an das Mobiltelefon des Benutzers über SMS und erwartet eine Antwort per SMS. Wenn Sie davon ausgehen, dass alle Kunden der Bank über Mobiltelefone verfügen, führt dies zu einem Zwei-Faktor-Authentifizierungsprozess ohne zusätzliche Hardware. Und noch besser, das zweite Authentifizierungsstück geht über einen anderen Kommunikationskanal als das erste, das Abhören ist viel schwieriger.

Google-Support (und andere, die ich wegen mangelnder Reputation nicht posten kann): Beachten Sie nur, wie sie diese austauschbar verwenden, und greifen Sie eher auf "Faktor" zurück, wenn die Sache technisch wird.

Der Unterschied ist Addition gegen Multiplikation.

Zwei Schritte sind ein additiver Prozess: Sie authentifizieren sich einmal mit einem unabhängigen Berechtigungsnachweis (einem Kennwort) und dann erneut mit einem anderen unabhängigen Berechtigungsnachweis (einem OTP, der entweder per SMS, Telefon oder in einer Generator-App bereitgestellt wird). Sie haben sich zweimal authentifiziert.

Zwei Faktoren sind multiplikativ: Sie kombinieren einen unabhängigen Berechtigungsnachweis (a PIN oder geheimer Schlüssel oder Biomarker)) mit einem anderen (Zertifikat oder kryptografischer Token-Code), um einen stärkeren einzelnen Berechtigungsnachweis als abzuleiten jeder unabhängige Berechtigungsnachweis.

Wenn ich Anmeldeinformationstypen völlig willkürliche und bequeme Nummern zuweisen (1 = keine, 2 = Kennwort [jede Art: selbst definiert, OTP usw.], 3 = Krypto-Berechtigungsnachweis [Zertifikat, Token-Code]), kann ich zeigen, dass ein Kennwort stärker ist als kein Passwort (2> 1); Diese zweistufige Authentifizierung ist unabhängig stärker als ein einzelnes Kennwort ((2 + 2 = 4)> 2) oder ein Krypto-Berechtigungsnachweis ((2 + 2 = 4)> 3), jedoch immer schwächer als jedes Multi-Faktor-Schema (() 2 + 2 = 4) <(2 * 3 = 6)).

3
trs80

Aus informationstheoretischer Sicht gibt es keinen Unterschied zwischen ihnen. Aus diesem Grund ist die Verschränkung erlaubt keine FTL-Übertragung von Daten , es ist, als hätten Sie die Informationen auf ein Blatt Papier geschrieben, eine Meile gelaufen und sie dann geöffnet. Die Informationen wurden nicht über die Zeit übertragen, sie waren die ganze Zeit da. Wahrnehmungsmäßig ist es für uns anders, aber alles ist an bereits vorhandene "Informationen, die Sie kennen" gekettet.

Davon abgesehen gibt es Sicherheitsauswirkungen zwischen den beiden. Das Knacken eines deterministischen Tokens erfordert im Allgemeinen Social Engineering oder Gummischlauch basierte Angriffe. Wenn der Mann Sie abholen möchte und weiß, dass Sie auf eine zweistufige Authentifizierung angewiesen sind, kann er das Out-of-Band-Signal überwachen und Ihre Aktivitäten korrelieren. Angenommen, Sie arbeiten . Onion site im TOR-Netzwerk, das erfordert eine Textnachricht für den zweiten Out-of-Band-Schritt. Wenn Sie 1/100 Personen auf einer Liste möglicher Verdächtiger sind, können diese die Zeitstempel aller Ihrer Textnachrichten überprüfen und Änderungen auf der Website korrelieren.

1
Indolering

Ihre Definitionen sind ein wenig falsch. Bei der Bestätigung in zwei Schritten (ich gehe davon aus, dass Sie an Google denken) können auch Token verwendet werden, und bei der Zwei-Faktor-Authentifizierung können Codes oder biometrische Daten oder wirklich alles verwendet werden, was Ihnen zwei oder mehr der Kategorien gibt: Was Sie wissen, was Sie haben oder was du bist.

Die zweistufige Überprüfung von Google unterscheidet sich von der ordnungsgemäßen Zwei-Faktor-Authentifizierung dadurch, dass Sie nicht immer den zweiten Faktor zur Authentifizierung verwenden müssen. Sie werden nur aufgefordert, damit Ihre Identität zu überprüfen, wenn Zweifel bestehen oder wenn das in Ihrem Browser gesetzte Cookie abläuft.

Den Status eines Telefon- oder E-Mail-Kontos als Faktor würde ich als etwas klassifizieren, das Sie haben. Es ist so viel, wie Sie als Software-Token haben. Sicher kennen Sie das Passwort für das E-Mail-Konto, aber Sie können auch die Startdaten kennen, um ein Software-Token neu zu erstellen.

0
Rod MacPherson