6 Июня, 2013

Двух-чего-то-там аутентификация

Vlad Styran
Как многие уже слышали, LinkedIn, вслед за Google и Facebook, ввел так называемую двухфакторную аутентификацию пользователей. Вношу поправку.

Все мы знаем, что фактор аутентификации это:

  • или известный пользователю кусок данных (например, пароль),
  • или принадлежащий пользователю редкий (или уникальный) предмет (например, криптографический токен),
  • или, снова таки, уникальный элемент строения тела пользователя (отпечаток пальца, рисунок сетчатки глаза, форма кисти руки и пр.)

Если пользователь предъявляет системе два разных фактора, такая аутентификация называется двухфакторной. Если пользователь представляет системе два экземпляра одного фактора (в случае с LinkedIn так и есть), такая аутентификация не называется двухфакторной. Предъявление двух паролей, один из которых пользователь знает, а второй получает через SMS, называется двухканальной.

Можно, конечно, возразить, что в этом случае вторым фактором является телефонный аппарат или SIM-карта пользователя, но это уже полемика: SIM-карта клонируется или "восстанавливается" через уязвимости организационных процессов центра поддержки абонентов мобильной сети, так что у нас редко есть уверенность в том, что в настоящий момент номер мобильного телефона принадлежит конкретному пользователю.
или введите имя

CAPTCHA
7 Июня, 2013
http://en.wikipedia.org/wiki/Multi-factor_authentication Вполне себе фактор владения.
0 |
  • Поделиться
  • Ссылка