Mine sisu juurde

Mitme teguriga autentimine

Allikas: Vikipeedia

Mitme teguriga autentimine on autentimismeetod, kus arvutikasutajale võimaldatakse ligipääs ainult siis, kui ta esitab autentimismehhanismile korrektselt kaks või enam tõendit (tegurit), milleks võivad olla:

teadmine - midagi, mida ainult kasutaja teab (nt parool või PIN-kood)
omamine - midagi, mida ainult kasutaja omab (nt ID-kaart või mobiiltelefon)
olemine - midagi, kes ainult kasutaja on (nt sõrmejälg- või häältuvastus)

Lisaks neile kolmele kasutatakse ka neljandat tegurit, milleks on kasutaja füüsiline asukoht.

Mitme teguriga autentimise alaliik on kahe teguriga autentimine, nt makseterminalis pangakaardi ja PIN-koodiga.“

Heikki Vallaste. E-Teatmik

Igal faktori tüübil, mida mitmik autentimisel kasutatakse on oma tugevused ja nõrkused: [1]

  • teadmistüüpi faktoreid on autentimisel kõige lihtsam ja mugavam kasutada, kuid nad on kõige haavatavamad rünnakutele, kuna kasutaja informatsiooni on ründajatele kergem lekitada;
  • omamistüüpi faktoritega autentimise puhul kasutatakse objekte, mis on ühele isikule ainulaadne nt nutitelefon või ID-kaart. Need autentimisviisid on haavatavad olukordades, kus kasutaja on oma tuvastusvahendi ära kaotanud, mille tagajärjel saab seda kasutada keegi teine, et ennast teise isikuna identifitseerida;
  • olemistüüpi autentimisvahenditest kasutatakse kõige rohkem biomeetrilisi vahendeid, mis on eelmiste autentimisfaktoritega võrreldes turvalisem, sest elemente, mida autentimisel kasutatakse, on palju raskem ära kaotada või unustada, kuid samas hõlmab biomeetriline meetod siiski mitmeid turvariske.

Kasutusel on ka neljas autentimisfaktor: seadme kontekstipõhine autentimine. Kontekstipõhisel autentimisel kasutatakse seadmega kogutud sensori andmeid nagu heli, ümbritsevad juhtmevabad võrgud ja muu selline info, et tuvastada, kas seade on sellises keskkonnas nagu seda väidetakse olevat. [2]

Mitme teguriga autentimine on kasutaja jaoks turvalisem meetod, kui mõne autentimisfaktori üksi kasutamine. [3]

Protokollid

[muuda | muuda lähteteksti]

Mitme teguriga autentimisega on seotud eri protokolle, millest kaks kõige populaarsemat on Google-2-step ja FIDO. Google-2-step on kahe teguriga autentimismeetod, mis on välja töötatud Google'i poolt, et pakkuda kasutajatele turvalisemat identifitseerimisvahendit. Autentimismeetodi olemus koosneb kolmest põhisammust: [4]

1. kasutaja sisestab enda sisselogimisandmed, pärast mida saadetakse saadud informatsioon serverile ning verifitseeritakse, kas sisestatud informatsioon on tõene;

2. server loob ajutise koodi, mis saadetakse kliendile või genereeritakse ajutine luba, mis seotakse turvalist ühendust kasutades kasutaja nutiseadmega;

3. kasutaja peab sisestama saadud koodi ja kinnitama, et soovib sisselogimist. Kui serverini jõuab kasutajapoolne kinnitus, siis sisselogimissoov aktsepteeritakse ning kasutajal lastakse keskkonda siseneda.


FIDO puhul räägitakse peamiselt FIDO U2F protokollist, kus peale kasutaja sisselogimistunnuste kasutatakse autentimiseks veel USB loaseadet. FIDO U2F autentimisprotsess koosneb viiest sammust: [5]

1. kasutaja seadmest edastatakse sisselogimistunnused serverile;

2. server loob väljakutse, mis saadetakse kasutaja seadmesse;

3. väljakutse saabumisel luuakse andmepakett, mis sisaldab server unikaalset; internetiaadressi, väljakutset ja käesoleva sessiooni identifikaatorit;

4. kasutaja peab vajutama nuppu oma USB seadmel, et toiming kinnitada;

5. signatuur ja loaseadmega kinnitatud andmepakett saadetakse verifitseerimiseks serverile.

Mobiiliga autentimine

[muuda | muuda lähteteksti]

Üks tänapäeval kõige kasutatavamaid meetodeid enda isiku tuvastamiseks on oma nutitelefoniga autentimine, kuna nutiseadmed on osa meie igapäeva elust ning see meetod on iga kasutaja jaoks piisavalt lihtne ja turvalisem niisama kasutajanime ja parooli kasutamisest. Mobiiliga autentimisel saab kasutada mitmeid faktoreid, millest tavaliselt kasutatakse ühekordset parooli süsteemi (inglise keeles One-Time Password). [6]

Ühekordsete paroolide süsteem on autentimissüsteem, kus kasutaja privaatvõtit või parooli kunagi ei edastata üle võrgu, vaid kasutatakse selliste paroolide automaatseks genereerimiseks, mis kuuluvad ainult antud kasutajale, kuid on iga kord erinevad ja ettearvamatud.“

Heikki Vallaste E-Teadmik

Kasutaja mugavuse parandamiseks kasutavad osad teenusepakkujad ühekordset sisselogimise süsteemi, kus ühte gruppi kuuluvate teenuste ja programmide kasutamiseks tuleb kasutajal ennast tuvastada ainult ühe korra, mis tagab talle ajutiselt kasutamisõiguse kõigi nende teenuste jaoks, mis samasse gruppi kuuluvad. [7]

  1. Cao, Ge (mai 2014). "Analysis and improvement of a multi-factor biometric authentication scheme". Wiley Online Library. Lk 2. Vaadatud 11. jaanuaril 2023.
  2. Shrestha, Truong, Toivonen, Saxena, Tarkoma, Nurmi (jaanuar 2022). "Chirp-Loc: Multi-factor authentication via acoustically-generated location signatuures". ScieneDirect. Lk 1-2. Vaadatud 11. jaanuaril 2023.{{netiviide}}: CS1 hooldus: mitu nime: autorite loend (link)
  3. Boonkrong (november 2019). "Security Analysis and Improvement of a Multi-Factor Biometric-Based Remote Authentication Scheme". IAENG International Journal of Computer Science. Lk 1. Vaadatud 11. jaanuaril 2023.
  4. Jacomme, Kremer (jaanuar 2021). "An extensive formal analysis of multi-factor authentication protocols". ACM Transactions on Privacy and Security. Lk 3-4. Vaadatud 11. jaanuaril 2023.
  5. Jacomme, lk 5-6
  6. Sciarretta, Carbone, Ranise, Vigano (mai 2020). "Formal analysis of mobiile multi-factor authentication with single sign-on login". ACM Transactions on Privacy and Security. Lk 2. Vaadatud 11. jaanuaril 2023.{{netiviide}}: CS1 hooldus: mitu nime: autorite loend (link)
  7. Sciarretta, lk 2