[SEC] x-factor authenticatie

Bij ons is voor de hogere geclassificeerde omgevingen een 2-factor voldoende. 3 factor ben ik nog nergens tegen gekomen, maar dat heeft ook te maken met het feit dat biometrie nog te veel false-positives oplevert.

Wellicht dat er in een later stadium een goede en betrouwbare - en vooral betaalbare - oplossing komt in de vorm van een $ledemaat scanner die echt veilig wordt geacht.

Momenteel zijn retina scanners vrij secuur, maar niet echt goedkoop.

Maarom je discussie in ere te houden: IMO
single-factor voor standaard kantoor bedrijven die geen geheime informatie gebruiken (anders dan hun financien)
alles daarboven 2 factor, waarbij ik een eis stel aan de factoren.
De pincode/passphrase moet een complexity eis hebben.
De andere factor moet een cryptografisch iets zijn. Of dat nu een usb-token of smartcard is, geen simpele usb-stick oid.

Tja, wat is echt secure.
Alles is al gekraakt.
Passwords zijn te bruteforcen.
Cain en Able kan bijvoorbeeld RSA-keys al opvolgen.
Biometrie geeft inderdaad te veel false positives.

Ik denk dat daarom de beste manier is om je dubbel te authenticeren, eerst met een dual factor en is deze correct dan met een single factor.
Dit is dan wel voor een belangrijk iets.

Voor medium range authenticatie is 2 factor voldoende.
En voor low range is single factor authenticatie voldoende.


Dus bijvoorbeeld je logt in op het intranet d.m.v. een token en daarna kan je pas bij je "Standaard" dingen met een password.

Ik denk dat het belangrijk is waarom het gaat.

Dus toegang tot een wapendepot waar biologische wapens liggen 3 factoren.
Toegang tot een website spelletje als ogame 1 facotr (uid + passw).

Het gebruiken van een vingerprint zeker nu sommige toetsenborden het ondersteunen is opzich een goede laagdrempelige manier van biometrie.

Het probleem van biometrie met false negatives (je bent het wel maar je komt er niet in) heeft te maken met je instellingen. B.v. Er wordt gekozen voor 7 punten bij een vinger afdruk om je te herkennen. De kans dat dit fout gaat is niet heel erg groot. Echter als je 80 punten neem is de kans dat het fout gaat heel erg groot.

Dit is ook zo met b.v. een IDS systeem. De kans dat een aanval echt wat is (true positive) wordt beinvloed door de instellingen. Opzich 2 biometrische methoden (iris + vingerafdruk) met een low rejection rate (dus redelijk snel goedkeuren). Zou imo voor de goed beveiligde omgevingen genoeg moeten zijn. Voor extreme beveiliging volstaat het niet.

//edit

We hebben als authenticatie methoden:

- wachtwoorden
- smartcards, tokens
- biometrie

Maar ik mis digitale certificaten b.v. gebruikt met TLS.

//edit2 [sorry krijg steeds nieuwe ingevingen:p)

Voor openbare gelegenheden is de vingerafdruk al gekraakt:
http://www.zdnet.nl/smartbiz.cfm?id=87544


De Chaos Computer Club wist de afdruk van minister van Binnenlandse Zaken Wolfgang Schäuble te bemachtigen. Vervolgens demonstreerden ze hoe een lezer kan worden misleid door een dunne beschermingslaag over de eigen vinger te plakken. “We raden aan dat je het vlies over je vinger plakt telkens als je afdruk wordt genomen. Bijvoorbeeld wanneer je de Verenigde Staten binnengaat, een tussenstop op Heathrow maakt, of zelfs wanneer je flessen aanraakt in de supermarkt”, zei woordvoerder Dirk Engling in maart tegen

[ Voor 31% gewijzigd door Verwijderd op 20-02-2009 15:15 ]

Het is vooral afhankelijk van de classificatie wat voor beveiliging je wilt implementeren. Ander aspect zijn vooral ook de kosten. Als je data hebt geclassificeerd kan je natuurlijk voor een ton aan maatregelen nemen, maar als die ook al gekraakt zijn dan is dat geld ook weer verkwist.

Ik denk wel dat multi-factor authenticatie nu in een opmars is, omdat 1-factor voor sommige omgevingen te weinig beveiliging biedt. Probleem hierbij is natuurlijk weer, waar kies je nou voor? Er zijn natuurlijk tal van oplossingen beschikbaar.

Iemand die weet of hier documentatie of best practices over beschikbaar zijn?
En wat wordt er zoal gehanteerd in jullie omgeving?

Ik heb zelf tot nog toe alleen te maken met single factor, maargoed ik heb dan ook geen toegang tot allerlei spannende dingen ofzo.

Bor de Wollef schreef op zaterdag 28 februari 2009 @ 11:29:
Even terug komend op de best practices: in principe zal een beveiligingsbeleid voor moeten schrijven welke mate van authenticatie nodig is voor welke klasse systemen op basis van een risicoanalyse.

True, punt daarbij is natuurlijk wel of het ook wel in het voordeel van de business is. Om die reden worden dit soort maatregelen vaak niet geimplementeerd en worden de risico's geaccepteerd.