Megosztás a következőn keresztül:


A NIST-hitelesítés alapjai

A cikkben található információk segítségével megismerheti a Nemzeti Szabványügyi és Technológiai Intézet (NIST) irányelveivel kapcsolatos terminológiát. Emellett definiálva vannak a megbízható platformmodulok (TPM) technológiáinak és hitelesítési tényezőinek fogalmai.

Terminológia

A NIST terminológiájának megismeréséhez használja az alábbi táblázatot.

Időszak Definíció
Állítás Egy hitelesítő nyilatkozata egy függő entitásnak, amely az előfizetővel kapcsolatos információkat tartalmazza. Az állítások ellenőrzött attribútumokat tartalmazhatnak
Hitelesítés A tárgy személyazonosságának ellenőrzésének folyamata
Hitelesítési tényező Valami, amit tud, vagy van. Minden hitelesítőnek van egy vagy több hitelesítési tényezője
Hitelesítő Valami, amellyel a jogosult rendelkezik és ellenőrzi a kérelmező identitásának hitelesítését
Igénylő Egy vagy több hitelesítési protokollal ellenőrizendő tulajdonosi identitás
Hitelesítő adat Olyan objektum vagy adatstruktúra, amely mérvadó módon köti az identitást legalább egy előfizetői hitelesítőhöz, amelyet az előfizető birtokol és vezérel
Hitelesítőadat-szolgáltató (CSP) Olyan megbízható entitás, amely előfizetői hitelesítőket ad ki vagy regisztrál, és elektronikus hitelesítő adatokat ad ki az előfizetőknek
Függő entitás Olyan entitás, amely hitelesítő állításra vagy jogcím-hitelesítőkre és hitelesítő adatokra támaszkodik, általában a rendszerhez való hozzáférés biztosításához
Tárgy Személy, szervezet, eszköz, hardver, hálózat, szoftver vagy szolgáltatás
Előfizető Olyan fél, aki hitelesítő vagy hitelesítő adatokat kapott egy CSP-től
Platformmegbízhatósági modul (TPM) Illetéktelen hozzáférés-gátló modul, amely titkosítási műveleteket végez, beleértve a kulcsgenerálást is
Ellenőrző Olyan entitás, amely a kérelmező személyazonosságát ellenőrzi a jogosult tulajdonjogának és a hitelesítők ellenőrzésének ellenőrzésével

Tudnivalók a megbízható platformmodul technológiájáról

A TPM hardveralapú biztonsági funkciókkal rendelkezik: A TPM-chip vagy a hardveres TPM biztonságos titkosítási processzor, amely segít a titkosítási kulcsok létrehozásának, tárolásának és használatának korlátozásában.

A TPM-ekről és a Windowsról további információt a Megbízható platform modulban talál.

Feljegyzés

A szoftveres TPM egy emulátor, amely hardveres TPM-funkciókat utánoz.

Hitelesítési tényezők és erősségeik

A hitelesítési tényezőket három kategóriába csoportosíthatja:

A hitelesítési tényezők ábrája, amelyet valaki csoportosít, tud vagy rendelkezik

A hitelesítési tényező erősségét az határozza meg, hogy mennyire biztos abban, hogy csak az előfizető, tudja vagy rendelkezik vele. A NIST-szervezet korlátozott útmutatást nyújt a hitelesítési tényezők erősségével kapcsolatban. A következő szakaszban található információk segítségével megtudhatja, hogyan értékeli a Microsoft az erősségeket.

Valami, amit ismer

A jelszavak a leggyakoribb ismertek, és a legnagyobb támadási felületet képviselik. Az alábbi kockázatcsökkentések növelik az előfizető bizalmát. Hatékonyak a jelszótámadások, például a találgatás, a lehallgatás és a szociális tervezés megelőzésében:

Valami, ami az Öné

Az ön által birtokolt dolog erőssége annak a valószínűsége, hogy az előfizető megtartja azt a birtokában, anélkül, hogy a támadó hozzáférést kap hozzá. A belső fenyegetések elleni védelem során például a személyes mobileszköz vagy a hardverkulcs nagyobb affinitással rendelkezik. Az eszköz vagy a hardverkulcs biztonságosabb, mint egy irodai asztali számítógép.

Valami, ami az Ön része

Az Ön által használt adatok követelményeinek meghatározásakor vegye figyelembe, hogy a támadó milyen könnyen szerezhet be vagy hamisított meg egy biometrikus elemet. A NIST kidolgoz egy keretrendszert a biometrikus adatokhoz, de jelenleg nem fogadja el a biometrikus adatokat egyetlen tényezőként. A többtényezős hitelesítés (MFA) részét kell képeznie. Ez az óvintézkedés azért van, mert a biometrikus adatok nem mindig adnak pontos egyezést, ahogyan a jelszavak teszik. További információ: Az Authenticators – Biometria (SOFA-B) függvény erőssége.

SOFA-B keretrendszer a biometrikus adatok erősségének számszerűsítéséhez:

  • Hamis egyezés aránya
  • Hamis sikertelenségi arány
  • Bemutató támadásészlelési hibaaránya
  • A támadás végrehajtásához szükséges erőfeszítés

Egytényezős hitelesítés

Az egytényezős hitelesítést egy olyan hitelesítővel valósíthatja meg, amely ellenőrzi, hogy van-e vagy van. A rendszer elfogad egy ön által meghatározott tényezőt hitelesítésként, de azt nem fogadja el kizárólag hitelesítőként.

Az egytényezős hitelesítés működése

Többtényezős hitelesítés

Az MFA-t MFA-hitelesítéssel vagy két egytényezős hitelesítéssel valósíthatja meg. Az MFA-hitelesítő két hitelesítési tényezőt igényel egyetlen hitelesítési tranzakcióhoz.

MFA két egytényezős hitelesítővel

Az MFA két hitelesítési tényezőt igényel, amelyek függetlenek lehetnek. Példa:

  • Memorizált titkos kód (jelszó) és sávon kívül (SMS)

  • Memorizált titkos kód (jelszó) és egyszeri jelszó (hardver vagy szoftver)

Ezek a metódusok két független hitelesítési tranzakciót tesznek lehetővé a Microsoft Entra-azonosítóval.

MFA két hitelesítővel

MFA egy többtényezős hitelesítéssel

A többtényezős hitelesítéshez egy tényezőre van szükség (amit tud vagy tud), hogy feloldjon egy második tényezőt. Ez a felhasználói élmény egyszerűbb, mint több független hitelesítő.

MFA egyetlen többtényezős hitelesítővel

Ilyen például a Microsoft Authenticator alkalmazás jelszó nélküli módban: a felhasználó hozzáfér egy védett erőforráshoz (függő entitáshoz), és értesítést kap az Authenticator alkalmazásról. A felhasználó biometrikus (ön által ismert) vagy PIN-kódot (valamit tud) biztosít. Ez a tényező feloldja a telefon titkosítási kulcsát (amit ön is használ), amelyet a hitelesítő érvényesít.

Következő lépések

A NIST áttekintése

Tudnivalók az AALs-ekről

Hitelesítési alapok

NIST-hitelesítők típusai

A NIST AAL1 elérése a Microsoft Entra ID használatával

A NIST AAL2 elérése a Microsoft Entra ID használatával

A NIST AAL3 elérése a Microsoft Entra ID használatával