A NIST-hitelesítés alapjai
A cikkben található információk segítségével megismerheti a Nemzeti Szabványügyi és Technológiai Intézet (NIST) irányelveivel kapcsolatos terminológiát. Emellett definiálva vannak a megbízható platformmodulok (TPM) technológiáinak és hitelesítési tényezőinek fogalmai.
Terminológia
A NIST terminológiájának megismeréséhez használja az alábbi táblázatot.
| Időszak | Definíció |
|---|---|
| Állítás | Egy hitelesítő nyilatkozata egy függő entitásnak, amely az előfizetővel kapcsolatos információkat tartalmazza. Az állítások ellenőrzött attribútumokat tartalmazhatnak |
| Hitelesítés | A tárgy személyazonosságának ellenőrzésének folyamata |
| Hitelesítési tényező | Valami, amit tud, vagy van. Minden hitelesítőnek van egy vagy több hitelesítési tényezője |
| Hitelesítő | Valami, amellyel a jogosult rendelkezik és ellenőrzi a kérelmező identitásának hitelesítését |
| Igénylő | Egy vagy több hitelesítési protokollal ellenőrizendő tulajdonosi identitás |
| Hitelesítő adat | Olyan objektum vagy adatstruktúra, amely mérvadó módon köti az identitást legalább egy előfizetői hitelesítőhöz, amelyet az előfizető birtokol és vezérel |
| Hitelesítőadat-szolgáltató (CSP) | Olyan megbízható entitás, amely előfizetői hitelesítőket ad ki vagy regisztrál, és elektronikus hitelesítő adatokat ad ki az előfizetőknek |
| Függő entitás | Olyan entitás, amely hitelesítő állításra vagy jogcím-hitelesítőkre és hitelesítő adatokra támaszkodik, általában a rendszerhez való hozzáférés biztosításához |
| Tárgy | Személy, szervezet, eszköz, hardver, hálózat, szoftver vagy szolgáltatás |
| Előfizető | Olyan fél, aki hitelesítő vagy hitelesítő adatokat kapott egy CSP-től |
| Platformmegbízhatósági modul (TPM) | Illetéktelen hozzáférés-gátló modul, amely titkosítási műveleteket végez, beleértve a kulcsgenerálást is |
| Ellenőrző | Olyan entitás, amely a kérelmező személyazonosságát ellenőrzi a jogosult tulajdonjogának és a hitelesítők ellenőrzésének ellenőrzésével |
Tudnivalók a megbízható platformmodul technológiájáról
A TPM hardveralapú biztonsági funkciókkal rendelkezik: A TPM-chip vagy a hardveres TPM biztonságos titkosítási processzor, amely segít a titkosítási kulcsok létrehozásának, tárolásának és használatának korlátozásában.
A TPM-ekről és a Windowsról további információt a Megbízható platform modulban talál.
Feljegyzés
A szoftveres TPM egy emulátor, amely hardveres TPM-funkciókat utánoz.
Hitelesítési tényezők és erősségeik
A hitelesítési tényezőket három kategóriába csoportosíthatja:
A hitelesítési tényező erősségét az határozza meg, hogy mennyire biztos abban, hogy csak az előfizető, tudja vagy rendelkezik vele. A NIST-szervezet korlátozott útmutatást nyújt a hitelesítési tényezők erősségével kapcsolatban. A következő szakaszban található információk segítségével megtudhatja, hogyan értékeli a Microsoft az erősségeket.
Valami, amit ismer
A jelszavak a leggyakoribb ismertek, és a legnagyobb támadási felületet képviselik. Az alábbi kockázatcsökkentések növelik az előfizető bizalmát. Hatékonyak a jelszótámadások, például a találgatás, a lehallgatás és a szociális tervezés megelőzésében:
Valami, ami az Öné
Az ön által birtokolt dolog erőssége annak a valószínűsége, hogy az előfizető megtartja azt a birtokában, anélkül, hogy a támadó hozzáférést kap hozzá. A belső fenyegetések elleni védelem során például a személyes mobileszköz vagy a hardverkulcs nagyobb affinitással rendelkezik. Az eszköz vagy a hardverkulcs biztonságosabb, mint egy irodai asztali számítógép.
Valami, ami az Ön része
Az Ön által használt adatok követelményeinek meghatározásakor vegye figyelembe, hogy a támadó milyen könnyen szerezhet be vagy hamisított meg egy biometrikus elemet. A NIST kidolgoz egy keretrendszert a biometrikus adatokhoz, de jelenleg nem fogadja el a biometrikus adatokat egyetlen tényezőként. A többtényezős hitelesítés (MFA) részét kell képeznie. Ez az óvintézkedés azért van, mert a biometrikus adatok nem mindig adnak pontos egyezést, ahogyan a jelszavak teszik. További információ: Az Authenticators – Biometria (SOFA-B) függvény erőssége.
SOFA-B keretrendszer a biometrikus adatok erősségének számszerűsítéséhez:
- Hamis egyezés aránya
- Hamis sikertelenségi arány
- Bemutató támadásészlelési hibaaránya
- A támadás végrehajtásához szükséges erőfeszítés
Egytényezős hitelesítés
Az egytényezős hitelesítést egy olyan hitelesítővel valósíthatja meg, amely ellenőrzi, hogy van-e vagy van. A rendszer elfogad egy ön által meghatározott tényezőt hitelesítésként, de azt nem fogadja el kizárólag hitelesítőként.
Többtényezős hitelesítés
Az MFA-t MFA-hitelesítéssel vagy két egytényezős hitelesítéssel valósíthatja meg. Az MFA-hitelesítő két hitelesítési tényezőt igényel egyetlen hitelesítési tranzakcióhoz.
MFA két egytényezős hitelesítővel
Az MFA két hitelesítési tényezőt igényel, amelyek függetlenek lehetnek. Példa:
Memorizált titkos kód (jelszó) és sávon kívül (SMS)
Memorizált titkos kód (jelszó) és egyszeri jelszó (hardver vagy szoftver)
Ezek a metódusok két független hitelesítési tranzakciót tesznek lehetővé a Microsoft Entra-azonosítóval.
MFA egy többtényezős hitelesítéssel
A többtényezős hitelesítéshez egy tényezőre van szükség (amit tud vagy tud), hogy feloldjon egy második tényezőt. Ez a felhasználói élmény egyszerűbb, mint több független hitelesítő.
Ilyen például a Microsoft Authenticator alkalmazás jelszó nélküli módban: a felhasználó hozzáfér egy védett erőforráshoz (függő entitáshoz), és értesítést kap az Authenticator alkalmazásról. A felhasználó biometrikus (ön által ismert) vagy PIN-kódot (valamit tud) biztosít. Ez a tényező feloldja a telefon titkosítási kulcsát (amit ön is használ), amelyet a hitelesítő érvényesít.
Következő lépések
A NIST AAL1 elérése a Microsoft Entra ID használatával