web-dev-qa-db-ja.com

Windowsの3要素認証

このHowToGeekの記事...

http://www.howtogeek.com/67556/how-to-unlock-your-pc-by-being-nearby-with-a-bluetooth-phone/

...考えてみた.

Windowsボックスの3要素認証を可能にするソフトウェア(またはソフトウェアの組み合わせ)はありますか?私は、一般的に入手可能なラップトップハードウェアでうまく機能するものを考えています。したがって、関連する可能性のある要因は次のとおりです。

  • 知っていること
    • Windowsパスワード
  • あなたが何か
    • 指紋リーダー
    • 顔認識
    • 音声認識
  • 持っているもの
    • Bluetoothデバイス
    • USBキー

上記は、この質問のより一般的な範囲の単なるリストです。私個人としては、パスワード、指紋、Bluetoothなどの要素が考えられます。これを可能にするソフトウェアはありますか?ほとんどの場合、代替認証方法を有効にするソフトウェアについて聞いたとき、それはまだ単一要素です-たとえば、代わりに電話や指紋を使用できますパスワードの。 2要素オプションを有効にするソフトウェアもいくつかありますが、3つすべてを必要とするソリューションはありますか?

authenticationwindowsmulti-factor
16
Iszi

私はあなたがログオン(またはロック解除)を意味すると想定しています。

Windows 7では、次の3つの要素がネイティブでサポートされていると思います。

  • Windows生体認証サービス(接続されたデバイスが必要)
  • PIV準拠のスマートカード(接続デバイスが必要)
  • パスワード(ADの場合はKerberos V5、ローカルの場合はNTLMv2)

Windows VistaとWindows 7の対話型ログオンアーキテクチャは同じです。彼らは、資格情報プロバイダーにインターフェースする資格情報マネージャーを使用します。

資格情報マネージャーは、次の4種類の資格情報をサポートできます。

  • 「ユーザー名とパスワード」(知っているキーボードベースの情報)
  • 証明書(あなたが持っているもの)
  • PIN(あなたが持っているもの+あなたが知っているもの)のスマートカード
  • 生体認証(あなたが何か)

Windows XPとWindows 2000は、わずかに異なるログオンアーキテクチャを共有しています。これらは、グラフィカル識別および認証(GINA)モジュールを使用しています。モジュールは、資格情報の収集と資格情報の認証を担当します。Microsoftは標準モジュールを提供しています:MSGINA.DLL。Microsoftは、GINAモジュールの動作を変更する3つの方法を提供し、サードパーティのGINAとの置き換えも可能です。3つの変更方法は、前処理または後処理、フック、およびレジストリ設定です。Microsoft提供の標準GINAサポートPINログインのスマートカード。生体認証の場合、管理者がサードパーティのGINAモジュールをインストールするのが一般的のようです。このアーキテクチャでは3要素認証がサポートされているようです。

また、Windows NTが3要素認証をサポートしている証拠も見つかりました。

「Windows NTは、トークン、スマートカード、生体認証など、2要素および3要素の認証をサポートしています。」 スティーブンコブ

13
this.josh

私はこれを設定していませんが、理論的には、私が許可するものを使用してこの作業を行うことができると思いますが、これまでで最も美しい構成ではありません。

あなたが見ることができるように ここ (および他の無数の場所と同様に)、TPMを搭載または搭載していないマシンにビットロッカーを設定できます。ほとんどの人は、TPM +ピンを備えたTPMを使用してBitLockerを構成します。ただし、キーのあるUSBスティックを使用して設定することもできます。この構成では、bitlockerキーをUSBサムドライブに置くことができます(所有しているものを満たします)およびキーで保護します(知っているもの) )。もう少し検索が見つかりました このリンク これには、これを実行するための段階的な手順が含まれているようです(TPM + USBスタートアップキー+ピン)。

マシンが起動すると、通常のWindowsログオンが開始され、OS(自分のもの)に指紋ログオンできます。

とは言っても、脅威モデルがこれが最善の道であることを完全にサポートするとは確信していません...しかし、そうかもしれません。 :)

5
Eric Fleischman

Linuxでは、PAMは認証ポリシーを構成する機能を提供します。 2つの要素を必要とするように、または必要に応じて3つの要素を必要とするようにPAMを構成できます。これを行う方法の詳細については、PAMのドキュメントを参照してください。

免責事項:ほとんどの展開で3要素認証が理にかなっているとは思えません。セキュリティと利便性のトレードオフが理にかなっているかどうか疑問に思います。ユーザーがロックアウトされたときに何が起こるかについては、慎重に検討する必要があります。奇妙なことに、システムの最も弱いリンクは認証メカニズムではありません。ロックアウトされたユーザーを処理するためのプロトコルになるか、システムの承認されたユーザーに対するソーシャルエンジニアリング攻撃になるか、バックドアになります煩わしい3要素認証に煩わされることなく作業を完了できるようにユーザーが設定したもの(たとえば、ユーザーがログインをより速くするためにユーザーが設定する空白のパスワード、またはユーザーがデバイスに接続したままにするUSB​​ドングル) )、または他の弱点。

とにかく、3要素認証の必要性は非常にまれなケースになると思います。カットアンドペーストできるレシピを提供する意味はないと思います。3要素認証が本当に必要なショップは認証はPAMのマニュアルを読み、その方法を理解することができます。

1
D.W.

Sensipassは、顔のスキャンなどの生体認証画像との個人的なやり取りを容易にすることにより、3要素認証を提供します。カメラ付きのスマートフォンやラップトップでうまく機能します。現在はIDaaS製品であるため、ブラウザー拡張機能を構築していますが、私が見る限りではネイティブのWindows実装はまだありません。とても革新的です!

0
Mike Hil