Yếu tố nào trong số những yếu tố này sẽ được phân loại là thứ bạn có

• Katie Donegan, Cộng tác viên biên tập trang web

Xác thực là một quá trình xác nhận xem ai đó hoặc thứ gì đó thực sự là ai hoặc cái mà nó tuyên bố là. Nhu cầu xác thực đa yếu tố ở Hoa Kỳ đã được thúc đẩy bởi các quy định của chính phủ, chẳng hạn như chỉ thị của Hội đồng Kiểm tra Tổ chức Tài chính Liên bang kêu gọi MFA cho các giao dịch ngân hàng trực tuyến

Việc thêm nhiều yếu tố xác thực vào thông tin đăng nhập hoặc giao dịch thường cải thiện tính bảo mật. Xác thực mạnh, mặc dù không được xác định chính thức, thường được sử dụng để mô tả quy trình xác thực yêu cầu hai hoặc nhiều yếu tố xác thực thuộc các loại khác nhau -- kiến ​​thức, vị trí, quyền sở hữu, v.v. -- từ người dùng. Xác thực hai yếu tố (2FA) thường kết hợp yếu tố kiến ​​thức với yếu tố sinh trắc học hoặc yếu tố sở hữu, chẳng hạn như mã thông báo bảo mật hoặc khóa

Trước đây, các hệ thống MFA đã dựa vào 2FA. Ngày nay, các nhà cung cấp sử dụng thuật ngữ đa yếu tố để gắn nhãn cho bất kỳ quy trình xác thực nào yêu cầu hai hoặc nhiều thông tin đăng nhập nhận dạng. Điều này có nghĩa là các phương thức xác thực hai yếu tố, ba yếu tố và bốn yếu tố đều nằm trong ô xác thực đa yếu tố

Những yếu tố khác nhau này có thể bắt nguồn từ các loại thông tin xác thực riêng biệt. Khả năng tạo thông tin liên quan của người dùng cung cấp bằng chứng về danh tính của họ tương quan với xác thực để sử dụng và tương tác với hệ thống. Có năm yếu tố xác thực thường được sử dụng

Yếu tố kiến ​​thức. Thông thường được gọi là "thứ mà người dùng biết", đây là dạng thông tin xác thực phổ biến nhất được sử dụng trong xác thực. Hai ví dụ về các yếu tố kiến ​​thức bao gồm câu trả lời cho câu hỏi bảo mật bí mật hoặc tổ hợp tên người dùng và mật khẩu tiêu chuẩn. Mặc dù có hai phần thông tin được yêu cầu, nhưng cả hai đều được coi là phần kiến ​​thức và do đó thuộc cùng một loại yếu tố xác thực

Ngày nay, các nhà cung cấp sử dụng thuật ngữ đa yếu tố để gắn nhãn cho bất kỳ quy trình xác thực nào yêu cầu hai hoặc nhiều thông tin đăng nhập nhận dạng

yếu tố bẩm sinh. Đôi khi được định nghĩa là "điều gì đó thuộc về người dùng", yếu tố này yêu cầu dữ liệu sinh trắc học của người dùng để thực hiện xác thực. Dấu vân tay, DNA, võng mạc mắt và mống mắt, mẫu giọng nói, mẫu khuôn mặt và số đo bàn tay đều là những dạng dữ liệu sinh trắc học vốn có của người dùng

Yếu tố sở hữu . Được gọi một cách không chính thức là "thứ mà người dùng có", đây là một loại xác thực dựa trên một vật phẩm mà người dùng sở hữu. Nó thường đề cập đến mã thông báo hoặc khóa bảo mật, nhưng ngày càng nhiều, điện thoại di động cũng được phân loại là yếu tố sở hữu. Điện thoại có thể được sử dụng để chấp nhận mật khẩu hoặc mã PIN dùng một lần -- dưới dạng tin nhắn văn bản hoặc email -- hoặc để chạy ứng dụng xác thực.

Yếu tố vị trí. Mặc dù ít phổ biến hơn và ít cụ thể hơn, yếu tố vị trí được sử dụng để bổ sung cho các nỗ lực xác thực khác. Vị trí của người dùng có thể được tính toán bằng các thiết bị được trang bị GPS hoặc bằng cách kiểm tra các tuyến mạng với độ chính xác khác nhau

Yếu tố thời gian. Mặc dù bản thân nó không đủ tiêu chuẩn để xác thực người dùng, nhưng có thể sử dụng yếu tố thời gian để bổ sung cho các cơ chế nhận dạng khác. Ví dụ: yếu tố thời gian kết hợp với yếu tố vị trí có thể phát hiện kẻ tấn công đang cố xác thực ở Châu Âu khi người dùng được xác thực lần cuối ở California một giờ trước đó

Một yếu tố là một loại xác thực. Khi bạn tự xưng là ai đó, bạn cần cung cấp thêm thông tin để chứng minh rằng bạn chính là người mà bạn nói. Chẳng hạn, giả sử bạn đến máy ATM và sử dụng thẻ tín dụng của mình. Sau khi thẻ được lắp vào máy, nó sẽ được sử dụng để xác nhận danh tính. Bây giờ, làm thế nào để máy ATM biết rằng bất cứ ai đang sở hữu thẻ là chủ sở hữu của thẻ? . Đó có thể là mật khẩu, dấu vân tay hoặc mã gồm 6–8 chữ số sẽ hết hạn sau một số giây nhất định. Đây là tất cả các loại thông tin khác nhau được sử dụng cho mục đích xác thực — chúng là các yếu tố xác thực

Một thông tin được phân loại là thứ bạn biết nếu bạn lưu trữ nó trong bộ nhớ của mình và có thể lấy lại khi cần. Ví dụ: mật khẩu, câu trả lời cho câu hỏi bảo mật hoặc Số nhận dạng cá nhân (PIN). Bây giờ, bạn có thể nói. “Nhưng nếu mật khẩu dài 40 ký tự, tôi sẽ không nhớ nó. ”. Điều đó đúng, ở một mức độ nào đó. Dù mật khẩu có dài đến đâu, bạn luôn có thể ghi nhớ nó. Tôi đồng ý rằng việc ghi nhớ mật khẩu ngày nay là không nên (tôi. e. bạn thực sự nên sử dụng Trình quản lý mật khẩu) nhưng đó là điều có thể thực hiện được

Tên người dùng và địa chỉ email có phải là yếu tố bạn biết không?

không thực sự. Tên người dùng và địa chỉ email chỉ được sử dụng để xác nhận danh tính. Mật khẩu hoặc mã PIN (một loại xác thực) sau đó được sử dụng để chứng minh danh tính (i. e. để xác thực)

Yếu tố này đề cập đến thông tin mà bạn có thể (về mặt vật lý) mang theo bên mình. Ví dụ: trước khi bạn gửi tiền cho ai đó, nhiều ngân hàng sẽ yêu cầu bạn cung cấp mã thông báo (còn được gọi là mật khẩu dùng một lần và thường dài 6–8 chữ số) sẽ hết hạn sau lần sử dụng đầu tiên hoặc sau 30 giây. Mã thông báo thường được tạo bởi một thiết bị như RSA SecurID (hoặc tùy thuộc vào ngân hàng, họ có thể cung cấp ứng dụng di động tạo mã thông báo). Xem hình bên dưới

Có hai tiêu chuẩn mở để tạo các mã thông báo này. Mật khẩu một lần dựa trên HMAC (HOTP) và Mật khẩu một lần dựa trên thời gian (TOTP). Về cơ bản, HOTP tạo mã thông báo không hết hạn cho đến khi người dùng sử dụng nó lần đầu tiên (sau đó sẽ cần tạo mã thông báo mới). TOTP tạo mã thông báo cứ sau 30 giây. Nếu người dùng không sử dụng nó trong vòng 30 giây, mã thông báo mới sẽ được tạo tự động.
Mã thông báo không được phân loại là thứ bạn biết bởi vì bạn không biết mã thông báo đó cho đến khi bạn thực sự nhìn thấy nó.

Một ví dụ khác là thẻ Xác minh danh tính cá nhân (PIV). PIV là một thẻ thông minh được sử dụng bởi U. Các cơ quan liên bang của S để xác định chủ thẻ và cấp cho họ quyền truy cập vào các cơ sở và hệ thống

Những thẻ thông minh này thường được sử dụng cùng với một yếu tố khác, chẳng hạn như điều bạn biết. Chẳng hạn, để đăng nhập vào một hệ thống, người dùng sẽ xuất trình thẻ và nhập mật khẩu (xác thực hai yếu tố)

Tôi chắc rằng bạn đã quen thuộc với cái này. sinh trắc học. Nói một cách đơn giản, thứ thuộc về bạn là thông tin có trong bạn — đó là đặc điểm mà chỉ bạn chứ không ai khác có được. Điều đó bao gồm, nhưng không giới hạn, dấu vân tay hoặc vân tay, lòng bàn tay, vân tay, võng mạc, mống mắt, giọng nói và khuôn mặt của bạn

GIF ở trên là một ví dụ về cách sinh trắc học có thể được sử dụng để xác thực

Yếu tố này có thể không được biết đến như những yếu tố đã được đề cập. Bạn đang ở đâu đó có liên quan đến vị trí của bạn. Một trong những phương pháp phổ biến nhất để phát hiện vị trí của người dùng là thông qua địa chỉ Giao thức Internet (IP). Chẳng hạn, giả sử bạn sử dụng dịch vụ có kiểm tra bảo mật Định vị địa lý. Khi bạn định cấu hình tài khoản của mình, bạn có thể nói rằng bạn sống ở Hoa Kỳ. Nếu ai đó cố gắng đăng nhập vào tài khoản của bạn từ một địa chỉ IP ở Đức, dịch vụ có thể sẽ thông báo cho bạn biết rằng nỗ lực đăng nhập được thực hiện từ một địa điểm khác với địa điểm của bạn. Điều đó cực kỳ hữu ích để bảo vệ tài khoản của bạn khỏi tin tặc.
Tuy nhiên, địa chỉ IP không phải là thông tin duy nhất có thể được sử dụng ở đâu đó mà bạn là nhân tố. Cũng có thể sử dụng địa chỉ Điều khiển truy cập phương tiện (MAC). Một tổ chức có thể thiết lập mạng của mình để chỉ những máy tính cụ thể mới có thể được sử dụng để đăng nhập (dựa trên địa chỉ MAC). Nếu một nhân viên đang cố truy cập mạng từ một máy tính khác, quyền truy cập sẽ bị từ chối.
Như ví dụ trước, Monzo Bank Ltd. , một ngân hàng chỉ dành cho thiết bị di động có trụ sở tại Vương quốc Anh, sử dụng Định vị địa lý để phát hiện các gian lận thanh toán có thể xảy ra. Nếu vị trí được biết gần đây nhất của bạn là, chẳng hạn như ở Pháp và sau đó bốn phút, thẻ của bạn được sử dụng ở Nhật Bản, đó có thể là dấu hiệu cho thấy bạn không ở cùng vị trí với thẻ của mình.

Đây có thể là yếu tố ít được sử dụng nhất — và có lẽ không nhiều người biết về nó. Một cái gì đó bạn làm là một loại xác thực chứng minh danh tính bằng cách quan sát các hành động. Những hành động này có thể là những thứ như cử chỉ hoặc chạm.
Người dùng Windows 8 có thể biết về một tính năng có tên Picture Password. Tính năng này cho phép người dùng thiết lập cử chỉ và chạm vào ảnh như một cách để xác thực chính họ.

Hy vọng rằng đó không phải là cách bạn thiết lập các cử chỉ và thao tác chạm của mình. GIF bên dưới cho thấy cách bạn có thể thiết lập Mật khẩu hình ảnh trên Windows 8

Để thiết lập Mật khẩu hình ảnh, trước tiên bạn cần chọn một bức ảnh, sau đó đánh dấu nó bằng các thao tác (vẽ một vòng tròn hoặc một đường thẳng hoặc chỉ cần nhấp vào một điểm cụ thể)

SFA, 2FA hay MFA?

Một hệ thống có thể sử dụng một hoặc nhiều yếu tố để xác thực. Khi chỉ sử dụng một yếu tố, nó được gọi là Xác thực một yếu tố. Khi hai yếu tố được sử dụng, nó được gọi là Xác thực hai yếu tố hoặc Xác thực hai yếu tố. Cuối cùng, khi hai hoặc nhiều yếu tố được sử dụng, nó được gọi là Xác thực đa yếu tố.
Từ bội thường đề cập đến nhiều hơn một, có nghĩa là khi hai yếu tố đang được sử dụng, nó có thể được gọi là xác thực Hai yếu tố hoặc Đa yếu tố.

Xác thực nhiều bước vs Xác thực đa yếu tố

Đôi khi, thay vì xác thực hai yếu tố hoặc đa yếu tố, bạn sẽ thấy xác thực hai bước hoặc nhiều bước. Đâu là sự khác biệt giữa multi-step và multi-factor? . Hãy để tôi giải thích về điều đó

Hãy nghĩ về một hệ thống yêu cầu tên người dùng và mật khẩu, theo sau là mã thông báo. Nếu xác thực là đa yếu tố, hệ thống sẽ không xác thực tên người dùng và mật khẩu cho đến khi mã thông báo được cung cấp. Tất cả chúng sẽ được xác thực cùng một lúc. Ưu điểm của phương pháp này là nếu đăng nhập không thành công, người ta không thể biết liệu tên người dùng, mật khẩu hoặc mã thông báo đã sai. Tuy nhiên, nếu xác thực nhiều bước, trước tiên hệ thống sẽ xác thực tên người dùng và mật khẩu. Nếu cả hai đều đúng, mã thông báo sẽ được xác thực. Cách tiếp cận này không lý tưởng vì nếu tên người dùng và mật khẩu là chính xác, quy trình sẽ trở thành xác thực một yếu tố — yếu tố không xác định duy nhất bây giờ là mã thông báo

Trong một số trường hợp, xác thực nhiều bước và xác thực đa yếu tố được sử dụng lần lượt từng bước một. Chẳng hạn, bạn có thể sử dụng tính năng nhiều bước để đăng nhập vào máy tính của mình, sau đó sử dụng tính năng đa bước để đăng nhập vào Mạng riêng ảo (VPN) của công ty bạn

Ngoài băng tần (OOB) có nghĩa là các yếu tố xác thực được truyền qua các kênh hoặc mạng khác nhau. Điều này có nghĩa là thiết bị bạn sử dụng để nhập một hệ số (e. g. điều gì đó bạn biết), khác với thiết bị bạn sử dụng để nhận hoặc tạo ra một yếu tố khác (e. g. một cái gì đó bạn có). Ví dụ: nếu bạn đang truy cập một trang web trên máy tính của mình và bạn nhập tên người dùng và mật khẩu của mình và tiếp theo cần có mã thông báo, thì mã thông báo cần được tạo bởi một kênh khác — một ứng dụng trên điện thoại di động hoặc thiết bị chẳng hạn như RSA

Một ví dụ về xác thực không phải OOB là nếu ứng dụng được sử dụng để tạo mã thông báo được đặt trên cùng một thiết bị (e. g. máy tính hoặc điện thoại di động) làm thiết bị được sử dụng để nhập tên người dùng và mật khẩu

Sử dụng Dịch vụ tin nhắn ngắn (SMS) để xác thực ngoài băng tần

Theo một ấn phẩm đặc biệt của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) về Nguyên tắc Nhận dạng Kỹ thuật số (800–63B), SMS không được sử dụng để xác thực Ngoài băng tần vì kẻ tấn công, thông qua Kỹ thuật Xã hội, có khả năng gây ra

Điều nào sau đây sẽ rơi vào danh mục của một người là gì?

Ví dụ nào sau đây là ví dụ về nội dung bạn có để xác thực đa yếu tố?

Loại phương pháp nào sẽ bao gồm thứ gì đó của bạn, chẳng hạn như dấu vân tay?

Điều nào sau đây mô tả đúng nhất hai