NIST 驗證基本概念
使用本文中的資訊來瞭解與國家標準與技術研究院 (NIST) 指導方針相關聯的術語。 此外,也會定義信任平台模組 (TPM) 技術和驗證因素的概念。
詞彙
使用下表瞭解 NIST 術語。
| 詞彙 | 定義 |
|---|---|
| Assertion | 從驗證者到信賴憑證者的陳述式,包含用戶的相關資訊。 判斷提示可能包含已驗證的屬性 |
| 驗證 | 驗證 主體 身分識別的程序 |
| 驗證要素 | 您所是、所知道或所擁有的。 每個 驗證器 都有一或多個驗證因素 |
| Authenticator | 索賠者 所擁有和控制,以驗證 索賠者 身份的事物 |
| 宣告者 | 主體 身分識別,以一或多個 驗證 通訊協議進行驗證 |
| 認證 | 一個物件或資料結構,其授權將身分識別繫結到至少一個授權將身分識別繫結到至少一個 訂閱者 所擁有和控制的 訂閱者驗證器 |
| 認證服務提供者 (CSP) | 發行或註冊 訂閱者驗證器,並向 訂閱者 發出電子 認證 的受信任實體 |
| 信賴憑證者 | 依賴 驗證器判斷提示 的實體或 索賠者驗證器 和 認證,通常是授與對系統的存取權 |
| 主體 | 人員、組織、裝置、硬體、網路、軟體或服務 |
| 訂用帳戶 | 從 CSP 收到 認證 或 驗證器的一方 |
| 信賴平台模組 (TPM) | 執行密碼編譯作業的防竄改模組,包括產生金鑰 |
| 驗證者 | 一個實體,藉由驗證索賠者對 驗證器 的擁有和控制來驗證 索賠者 身分識別 |
關於信賴平台模組技術
TPM 具有硬體式安全性相關功能:TPM 晶片或硬體 TPM 是一種安全的密碼編譯處理器,可協助產生、儲存及限制密碼編譯金鑰的使用。
如需 TPM 和 Windows 的相關資訊,請參閱 信任的平台模組。
注意
軟體 TPM 是模仿硬體 TPM 功能的模擬器。
驗證要素及其強度
您可以將驗證因素分成三個類別:
驗證要素強度取決於您對於「只有訂閱者是、知道或所擁有該要素」有多確定。 NIST 組織提供驗證要素強度的有限指導。 使用下一節中的資訊來瞭解 Microsoft 如何評估強度。
您知道的
密碼是最常見的已知事物,代表最大的受攻擊面。 下列風險降低可改善訂閱者的信心。 它們可以有效防止密碼攻擊,例如暴力密碼破解、竊聽和社交工程:
您有的項目
您擁有的事物的強度是以訂閱者擁有該事物,且沒有攻擊者可取得的可能性為基礎。 例如,當您嘗試防止內部威脅時,個人行動裝置或硬體金鑰會有較高的親和性。 裝置或硬體金鑰比辦公室的桌面電腦更安全。
您身上的
判斷您所需的需求時,請考慮攻擊者取得或詐騙生物特徵辨識等項目的容易程度。 NIST 正在起草生物特徵辨識架構,但目前不接受生物特徵辨識作為單一因素。 它必須是多重要素驗證 (MFA) 的一部分。 此預防措施是因為生物特徵辨識技術並非總是提供像密碼一樣完全相符的情況。 如需詳細資訊,請參閱 驗證器–生物特徵識別技術的功能強度 (SOFA-B)。
將生物特徵辨識強度量化的 SOFA-B 架構:
- 錯誤比對率
- 錯誤失敗率
- 簡報攻擊偵測錯誤率
- 執行攻擊所需的工作
單一要素驗證
您可以使用能驗證您知道什麼或是什麼的驗證器來實作單一要素驗證。 您身分的因素被接受為驗證,但不會完全接受為驗證器。
多重要素驗證
您可以使用 MFA 驗證器或兩個單一要素驗證器來實作 MFA。 MFA 驗證器需要單一驗證交易的兩個驗證因素。
具有兩個單一要素驗證器的 MFA
MFA 需要兩個驗證因素,這兩個因素可以獨立。 例如:
記憶性秘密 (密碼) 和頻外 (SMS)
記憶性秘密 (密碼) 和一次性密碼 (硬體或軟體)
這些方法會啟用兩筆使用 Microsoft Entra ID 的獨立驗證交易。
具有一個多重要素驗證器的 MFA
多重要素驗證需要一個因素 (您知道什麼或是什麼) 才能解鎖第二個因素。 此使用者體驗比多個獨立驗證器更容易。
一個範例是無密碼模式的 Microsoft Authenticator 應用程式,使用者存取受保護資源 (依賴方),並在 Authenticator 應用程式上收到通知。 使用者提供生物特徵辨識 (您所是的) 或 PIN (您所知道的)。 這個因素會解鎖手機上的密碼編譯金鑰 (您所擁有的),驗證器會驗證此金鑰。
下一步
使用 Microsoft Entra ID 來達成 NIST AAL1