Udostępnij za pośrednictwem


Podstawy uwierzytelniania NIST

Skorzystaj z informacji w tym artykule, aby poznać terminologię związaną z wytycznymi National Institute of Standards and Technology (NIST). Ponadto definiowane są koncepcje technologii TPM (Trusted Platform Module) i czynników uwierzytelniania.

Terminologia

Skorzystaj z poniższej tabeli, aby zrozumieć terminologię NIST.

Termin Definicja
Asercja Instrukcja od weryfikatora do jednostki uzależnionej, która zawiera informacje o subskrybentu. Potwierdzenie może zawierać zweryfikowane atrybuty
Uwierzytelnianie Proces weryfikowania tożsamości podmiotu
Współczynnik uwierzytelniania Coś, co jesteś, wiesz lub masz. Każdy wystawca uwierzytelnienia ma co najmniej jeden czynnik uwierzytelniania
Wystawca uwierzytelnienia Coś, co posiada i kontroluje, aby uwierzytelnić tożsamość powoda
Powód Tożsamość podmiotu, która ma zostać zweryfikowana przy użyciu co najmniej jednego protokołu uwierzytelniania
Referencje Obiekt lub struktura danych, która autorytatywnie wiąże tożsamość z co najmniej jednym wystawcą uwierzytelniającego subskrybenta, który posiada i kontroluje subskrybent
Dostawca usług poświadczeń (CSP) Zaufana jednostka, która wystawia lub rejestruje wystawców uwierzytelniających subskrybentów i wystawia poświadczenia elektroniczne subskrybentom
Jednostka uzależniona Jednostka, która opiera się na asercji weryfikatora lub uwierzytelniania oświadczeń i poświadczeń, zwykle w celu udzielenia dostępu do systemu
Temat Osoba, organizacja, urządzenie, sprzęt, sieć, oprogramowanie lub usługa
Subskrybent Strona, która otrzymała poświadczenia lub wystawcę uwierzytelniania od dostawcy CSP
Moduł TPM Moduł odporny na manipulacje, który wykonuje operacje kryptograficzne, w tym generowanie kluczy
Weryfikatora Jednostka, która weryfikuje tożsamość powoda , weryfikując posiadanie powoda i kontrolę nad wystawcami uwierzytelnienia

Informacje o technologii Trusted Platform Module

Moduł TPM ma sprzętowe funkcje związane z zabezpieczeniami: mikroukład modułu TPM lub sprzętowego modułu TPM jest bezpiecznym procesorem kryptograficznym, który pomaga w generowaniu, przechowywaniu i ograniczaniu używania kluczy kryptograficznych.

Aby uzyskać informacje na temat modułów TPM i systemu Windows, zobacz Moduł zaufanej platformy.

Uwaga

Programowy moduł TPM to emulator, który naśladuje funkcjonalność sprzętowego modułu TPM.

Czynniki uwierzytelniania i ich mocne strony

Czynniki uwierzytelniania można pogrupować w trzy kategorie:

Grafika dotycząca czynników uwierzytelniania, pogrupowanych według czegoś, co ktoś jest, zna lub ma

Siła współczynnika uwierzytelniania zależy od tego, jak na pewno jesteś czymś, czym jest tylko subskrybent, zna lub ma. Organizacja NIST udostępnia ograniczone wskazówki dotyczące siły współczynnika uwierzytelniania. Skorzystaj z informacji w poniższej sekcji, aby dowiedzieć się, jak firma Microsoft ocenia mocne strony.

Coś, co znasz

Hasła są najbardziej znanymi elementami i reprezentują największą powierzchnię ataków. Następujące środki zaradcze zwiększają zaufanie subskrybenta. Są skuteczne w zapobieganiu atakom na hasła, takie jak ataki siłowe, podsłuchiwanie i inżynieria społeczna:

Coś, co masz

Siła czegoś, co masz, opiera się na prawdopodobieństwa, że subskrybent utrzymuje go w posiadaniu, bez uzyskania dostępu do niego przez osobę atakującą. Na przykład w przypadku ochrony przed zagrożeniami wewnętrznymi osobisty klucz urządzenia przenośnego lub sprzętu ma wyższą koligację. Urządzenie lub klucz sprzętowy jest bezpieczniejsze niż komputer stacjonarny w biurze.

Coś, co jest częścią Ciebie

Podczas określania wymagań dotyczących czegoś, co jesteś, rozważ, jak łatwo jest uzyskać atakujący lub fałszować coś takiego jak biometryczne. NIST opracowuje ramy biometryczne, jednak obecnie nie akceptuje biometrii jako jednego czynnika. Musi być częścią uwierzytelniania wieloskładnikowego (MFA). Ten środek ostrożności jest spowodowany tym, że dane biometryczne nie zawsze zapewniają dokładne dopasowanie, jak robią to hasła. Aby uzyskać więcej informacji, zobacz Strength of Function for Authenticators – Biometria (SOFA-B).

Struktura SOFA-B do kwantyfikacji siły biometrycznej:

  • Współczynnik dopasowania fałszu
  • Fałsz — szybkość niepowodzenia
  • Wskaźnik błędów wykrywania ataków prezentacji
  • Wysiłek wymagany do przeprowadzenia ataku

Uwierzytelnianie jednoskładnikowe

Uwierzytelnianie jednoskładnikowe można zaimplementować przy użyciu wystawcy uwierzytelnienia, który weryfikuje coś, co znasz, lub jest. Coś, co jest czynnikiem, jest akceptowany jako uwierzytelnianie, ale nie jest akceptowany wyłącznie jako wystawca uwierzytelnienia.

Jak działa uwierzytelnianie jednoskładnikowe

Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe można zaimplementować przy użyciu wystawcy uwierzytelniania wieloskładnikowego lub dwóch wystawców uwierzytelnień jednoskładnikowych. Wystawca uwierzytelnienia wieloskładnikowego wymaga dwóch czynników uwierzytelniania dla jednej transakcji uwierzytelniania.

Uwierzytelnianie wieloskładnikowe z dwoma modułami uwierzytelniania jednoskładnikowego

Uwierzytelnianie wieloskładnikowe wymaga dwóch czynników uwierzytelniania, które mogą być niezależne. Na przykład:

  • Zapamiętany wpis tajny (hasło) i poza pasmem (SMS)

  • Wpis tajny (hasło) i hasło jednorazowe (sprzęt lub oprogramowanie)

Te metody umożliwiają dwie niezależne transakcje uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft.

Uwierzytelnianie wieloskładnikowe z dwoma wystawcami uwierzytelnień

Uwierzytelnianie wieloskładnikowe z jednym uwierzytelnianiem wieloskładnikowym

Uwierzytelnianie wieloskładnikowe wymaga jednego czynnika (coś, co znasz lub jest) w celu odblokowania drugiego czynnika. To środowisko użytkownika jest łatwiejsze niż wiele niezależnych wystawców uwierzytelnień.

Uwierzytelnianie wieloskładnikowe z jednym uwierzytelnianiem wieloskładnikowym

Przykładem jest aplikacja Microsoft Authenticator w trybie bez hasła: dostęp użytkownika do zabezpieczonego zasobu (jednostki uzależnionej) i otrzymuje powiadomienie w aplikacji Authenticator. Użytkownik udostępnia dane biometryczne (coś, co jesteś) lub numer PIN (coś, co znasz). Ten czynnik odblokowuje klucz kryptograficzny na telefonie (coś, co masz), który weryfikuje weryfikator.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 przy użyciu identyfikatora Entra firmy Microsoft

Osiągnięcie NIST AAL2 przy użyciu identyfikatora Entra firmy Microsoft

Osiągnięcie rozwiązania NIST AAL3 przy użyciu identyfikatora Entra firmy Microsoft