Identity-Management: Zweistufige Authentifizierung zum Schutz vor Betrug

Sie können — und soll — Zweifaktor-Authentifizierung mit Desktop- und mobile Geräte verwenden.

Dan Griffin und Tom Jones

Das Herzstück aller Web-basierte Transaktionen ist der Prozess des Managements von Betrug. Es ist wichtig, die Unannehmlichkeiten der Benutzer-Authentisierung mit der Gefahr wird gefälscht auszugleichen. Um es auszudrücken, eine andere Art und Weise, wenn ausreichende Kenntnis der Identität des Benutzers, um die Transaktion fortfahren zu ermöglichen gibt es?

Authentifizierung der Identität eines Benutzers ist bereits ein schwieriges Problem angesichts der Angriffe ständig weiterentwickelt. Wir sind jetzt mitten in einem großen Paradigmenwechsel. Mobile Geräte, keine desktop-Computer, werden die Plattform für die meisten Transaktionen sein.

Mobile Geräte erstellen neue Hindernisse für Internet-Dienste sichern. Inkonsistente und ungeschickte Tastaturen machen es unbequem komplexe Kennwörter eingeben, so dass die meisten Geräte Features bieten, um "Passwörter speichern". Mobile Geräte sind auch viel leichter verloren gegangenen oder gestohlenen als desktop-Hardware. Plus, mobile Anwendungen – einschließlich jener, die Zugriff auf gespeicherte Passwörter — erwiesen sich schwer zu vet. Diese Faktoren stellen Benutzeridentitäten, zusätzliches Risiko.

Es gibt eine weitere Möglichkeit, die Verbreitung von mobilen Geräten anzeigen. Es ist nicht unbedingt ein Problem, aber eine Lösung für frühere Authentifizierungsmethoden stecken in einen aussichtslosen Kampf mit Malware-Entwickler und Diebe.

Die separate Kommunikationspfad — nämlich das Mobilfunknetz — für die meisten mobilen Geräte können Sie die Hindernisse stellen sich sämtliche Malware befestigen. Diesen separaten Pfad können Sie um den Benutzer an eine bestimmte Telefonnummer zu binden. Danach kann die Benutzer-Ziffern-Bindung (oder nur mit einer bestimmten SIM-Chip) als notwendig bei online-Transaktionen bestätigt werden. Dies führt zu einen exponentiellen Anstieg der Zahl der Versuche, die ein Angreifer mount müsste um das gleiche Maß an Erfolg zu erhalten.

Telefonnummer als Nachweis

Mit Telefonnummern um online-Betrug zu senken, ist nicht neu. Banken haben diese Technik seit Jahren beschäftigt. Neu ist die Möglichkeit für einen online Dienst, klein oder groß, einfach diese Funktion übernehmen.

Microsoft hat vor kurzem PhoneFactor, eine Mobiltelefon-basierte Multi-Faktor Authentifizierungslösung. Es ist jetzt verfügbar für Kunden wie Windows Azure Active Authentication. Mit PhoneFactor wenn ein online-Service zwei-Faktor-Authentifizierung, erfordert bieten das Telefon den zweiten Faktor für eine Vielzahl von Möglichkeiten:

• Der Server stellt einen automatischen Anruf zurück auf das Telefon mit einer Sprachnachricht, einschließlich eine einmalige Geheimcode. Der Benutzer gibt dann den Code in ein Webformular um die gewünschte online Transaktion abzuschließen.
• Es kann auch eine SMS-Nachricht, anstatt eine Sprachnachricht Benutzer Besitz des Geräts zu beweisen und vermitteln den einmaligen Code schicken.
• Eine Variante des vorherigen Verfahrens ist zum Konfigurieren des Systems für den Benutzer direkt auf die SMS (oder an einen Telefon-Baum in einen Sprachanruf) reagieren lassen. Dies verhindert, dass den Code nicht vergessen beim von einem Bildschirm oder Fenster zu einer anderen wechseln, und mit zusätzlichen Eingabe zu tun haben. Stattdessen der online Web-Service wird der gültige SMS-Antwort vom Benutzer asynchron benachrichtigt, und die angeforderte Transaktion, die anhängig gewesen war, ist berechtigt.
• Eine PhoneFactor-fähige mobile app erhalten Sie und reagieren richtig auf ein Authentifikator aus der Cloud-Service. Im Gegensatz zu den vorherigen Variationen erfordert dieser Ansatz explizit eine Smartphone-app, die auf dem mobilen Gerät installiert.
• Sie können ein soft-Token (z.B. OAuth) geschickt, um den PC oder das Telefon an den Dienst konsumieren die Behauptung weiterleiten. Der PhoneFactor-Server ist nicht weiterleiten das Token beteiligt und muss nicht einmal wissen, wo sie gesendet wird.

Angesichts die Annahme, dass die meisten Nutzer bereits ihr Telefon die meiste Zeit haben, ist der Vorteil eine Multifaktor-Authentifizierung ohne die üblichen inkrementelle Hardware (token) Kosten. Dieser Ansatz kann einen dramatischen Einfluss auf Ihren Betrug Risiko/Rendite-Kurve haben.

Jetzt stell dir vor, du bist ein Malware-Schreiber, die versuchen, eine Website anzugreifen, die diese Art der Authentifizierung erfordert. Typische Angriffe konzentrieren sich auf das Gerät oder die Kommunikationspfad zu dem Gerät. Ein Angriff auf die HTTP (TLS) Verbindung ausreicht, um Zugriff auf den Web-Dienst zu erhalten, weil der Autorisierungscode per Zelle gesendet wird. Um erfolgreich zu sein, muss ein Angriff beide Kanäle gefährden.

Bedrohungen

Es ist gut zu verstehen, die Bedrohungen durch die neue Technologie, und wie und wann die neue Bedrohungen eingeführt werden. Glücklicherweise sind Rootkits nicht noch ein Faktor im Telefon Sicherheit geworden. PhoneFactor arbeitet auf der Anwendungsschicht und bietet somit keine Minderung der Rootkit-Bedrohungen.

An der app ist Ebene hinzufügen einen zweiten Faktor mit keine Kommunikationspfad gemeinsam mit anderen Faktoren von Bedeutung. Es ist wichtig, um sicherzustellen, gibt es keine Code geteilt zwischen den Pfaden. Das bedeutet, dass der Benutzer auf einer gewissen Ebene entweder durch eine Pin-Nummer von einem Prozess zu einem anderen kopieren oder durch die Annahme einer Herausforderung am Telefon, das dann weitergeleitet wird, mit einer der beschriebenen Mechanismen hier einbezogen werden muss.

Jede Interaktion, die ein Mensch in den Prozess einzubeziehen, nicht ist offen für elektronische Angriff. Auf der anderen Seite führen nicht neue Bedrohungen für einen der Authentifizierung Pfade eine größere Bedrohung als was bereits durch statische Passwörter gestellt wird.

Da der Autorisierungscode auf jeder Zugriff von jedem Benutzer anders ist, erlaubt ein erfolgreicher Angriff der app-Ebene keine uneingeschränkten Zugriff auf den Web-Dienst vom Angreifer. So sinkt der Wert des Angriffs.

Angreifer interessiert die größte Rendite für die am wenigsten Kosten, so ist mit Multi-Faktor-Authentifizierung, ermutigt sie zu leichter Beute an anderer Stelle suchen. Dienstleistungen wie PhoneFactor verringern machen eine Multifaktor-Authentifizierung relativ kostengünstig zu implementieren, die Chance, dass, die ein Angriff gelingt.

Gut ausgerüstet, kommen häufig mit einer Einschränkung, gedruckt auf der Außenseite der Box: "Einige Montage erforderlich." Es ist das gleiche mit PhoneFactor. Gliederung helfen beschreibt die typische Integrationsanforderungen, der Rest dieses Artikels Lösungen mit PhoneFactor in zwei verschiedenen Benutzerszenarien.

Web-Anmeldung

Für interoperable Web-Anmeldung ist das Ziel, PhoneFactor für starke Authentifizierung zu verwenden. Dann können Sie die Identität des Benutzers mit einem token Web-Standardformat darstellen. Können PhoneFactor in Browser-basierte Web-Authentifizierungsszenarien durch ausstehende Anforderung während der Back-End das Telefon Kontakte. Nachdem der Benutzer authentifiziert, die Web-Seite wird aktualisiert, und der Benutzer ist mit sensiblen Transaktionen zu widmen.

Damit dies funktioniert muss die Webanwendung den PhoneFactor-ab, um den Benutzer zu authentifizieren Vertrauen. Es müssen einige Darstellung die Identität des Benutzers oder andere Benutzerattribute zurück. Wann immer möglich, sollten Web-Anwendungen entworfen werden, auf Standards basierende token-Formate, wie z. B. Security Assertion Markup Language (SAML) oder JSON Web Token (JWT) verwenden. Dadurch werden sie interoperabel zu machen.

PhoneFactor mit Active Directory

PhoneFactor ist nicht nur für Web-Authentifizierung, though. Es kann auch helfen, Benutzerauthentifizierung ohne zu viel Unannehmlichkeiten für Windows-desktop-Anmeldung sicherer zu machen. Microsoft hat lange die Notwendigkeit zur Unterstützung von alternativen Authentifizierungsmethoden auf Windows erkannt.

Die Credential Provider-API bietet diese Erweiterbarkeit. Um den Prozess zu starten, lädt der Nutzer ein Credential Provider (CP) auf das Gerät. Wenn der Benutzer versucht, sich anzumelden, sendet die CP eine Nachricht an das Backend-Authentifizierungs-Service anfordern eine PhoneFactor Herausforderung. Die CP bietet ein Eingabefeld für den Benutzer, geben Sie den Code auf seinem Telefon empfangen.

Sobald der Code überprüft wurde, dauert das Backend-Authentifizierungssystem den zusätzlichen Schritt des kurzlebigen public-Key-Infrastruktur (PKI) Bescheinigung für den Benutzer. Die CP verwendet das Zertifikat eine Kerberos-Anmeldung durchführen. Als zusätzlichen Schutz können Sie den privaten Schlüssel des Zertifikats an den Typ-Parameter-Modell (TPM)-Sicherheits-Chip auf dem Clientgerät gebunden haben. Es kann auch an eine zufällig generierte der CP PIN gebunden werden. Dies führt zu nicht exportierbar, mehrstufige Anmeldeinformationen, die mit vorhandenen Anwendungen und Hardware verwendet werden kann.

Dieser Ansatz hat den Vorteil, die Lücke zwischen PhoneFactor als den neuen Authentifizierungsmodus und die vorhandene Active Directory-Infrastruktur. Es gibt mehrere Komponenten Zweifaktor Authentifizierung von Windows desktop beteiligt:

• Der Benutzer meldet sich mit dem vorhandenen Domänenkennwort, neben einem Geheimcode von PhoneFactor bereitgestellt. Dieses Modell verwendet einen vertrauenswürdigen Web-Service, um die Interaktion zwischen dem Client und dem PhoneFactor-Backend verwaltet werden.
• Die CP erwirbt ein Zertifikat von der Zertifizierungsstelle (CA) und loggen sich in Windows Active Directory. Der vertrauenswürdige Webdienst verwendet das SAML-Token von Active Directory-Verbunddienste (AD FS), um das Zertifikat für Kerberos PKINIT/Anmeldung zu erwerben.

Während dieses Szenario den Benutzer die PIN-Eingabe in den Computer einer Domäne angehört hat, können Sie auch eine Telefon-app installieren, mit die den Benutzer die Anfrage am Telefon mit einem einzigen Klick akzeptieren können.

Die Vorteile der zwei-Faktor-Authentifizierung sind bekannt, aber schwierig gewesen, wegen der Kosten in immer des zweiten Faktors in den Händen der Nutzer in der Praxis zu erreichen. Dies sind ein paar Möglichkeiten, die neue Microsoft PhoneFactor-Technologie in die Authentifizierung-reiche interaktive Intranet Anmeldung sowie Standards basierende Web-Anmeldung zu erweitern.

Tom Jones war die Gründung Vorsitzender des American National Standards Unterausschusses ASC-X9A10 für elektronische Zahlungen. Er arbeitete in der Finanzdienstleistungen-Gemeinschaft mehrere Organisationen wie Electronic Data Interchange (EDI X 12) und Accredited Standards Committee X 9 Inc. elektronische Zahlungen, sowie mit First Data Corp. Intel Corp. und Microsoft.

**Dan Griffin**ist der Gründer von JW Secure Inc. und ein Microsoft Enterprise Security MVP. Er ist Autor der Bücher "Cloud Security and Control" (CreateSpace Independent Publishing-Plattform, 2012) und "die vier Säulen der Endpoint Security: Schützen Ihr Netzwerk im Zeitalter des Cloud Computing und die bringen-Ihre-eigene-Gerät Trend "(CreateSpace Independent Publishing-Plattform, 2013). Er ist auch eine häufige Konferenz Lautsprecher und Blogger bei jwsecure.com/dan.

Verwandte Inhalte

• Windows Azure: Authentifizierung von Windows Azure mit AD FS
• Desktop-Sicherheit: Erstellen Sie benutzerdefinierter Anmeldeverfahren mit Anmeldeinformationsanbietern für Windows Vista
• PhoneFactor