TrusonaのようなスキャンIDシステムは本当に安全ですか?
最近Trusonaに気づきました(このページのデモをご覧ください https://www.trusona.com/ )。彼らは「パスワードを終了する」ことを望んでいます。
私は「合理的なセキュリティ」= {あなたが何か+あなたが知っているもの+あなたが所有する何か}という考えを信じており、十分に安全であると偽ることは基本的に安全ではない/嘘だと信じています。
私の観点からは、IDが表示されていること、およびこのIDの以前の画像とは異なる方法で表示されていることを確認するために画像分析を使用しているようです-誰かが資格情報として使用されているログ画像を盗んでいないことを確認します。これが「あなたが所有するもの」です。
しかし、そもそもロギングIDが有効であることを確認する方法はありますか? IDのスナップショットを取得した場合、それを印刷して再スキャンすることもできますか?
では、どのようにしてtrusonaのようなシステムを安全にすることができるのでしょうか。何か足りないものはありますか?私は「知っているもの」/「あなたが何か」の安全性の構成要素を見ていないし、「あなたが所有するもの」自体は、優れた暗号化疑似乱数ジェネレーターと比較して疑わしいようです。
ある意味で、これは私が純粋な指紋ID(「私は何か」ですが、簡単にコピーできます)を深刻なものに使用しないのと同じ理由です-私が使用するたびに1日数百回無料で私の指紋を無料で提供しています指。少なくとも、私の心を読めない、または私のエンドポイントアクセスをハッキングできない限り、私のパスワードにアクセスすることはできません(もちろん、両方を行う方法はないということはありません)。
何かが足りないのですか/ trusonaが実際に安全であるのか/なぜ誰かが説明できますか?
デモからは、スマートフォンのカメラとアプリを使用して検証を行うことを除いて、他のすべてのPAMプラットフォームと非常によく似たものが作成されているようです。最新バージョンでの運転免許証の使用はかわいいアドオンですが、おそらくユーザーの抵抗に会うでしょう。
私がビデオで見たものに基づくと、基本的なアーキテクチャは次のようになります。ユーザーはサードパーティの検証プロバイダー(Trusona)でアカウントを確立し、証明書のペアでアカウントにリンクされているアプリをインストールします。ログインしようとすると、アカウントに関連付けられている電話にプッシュ通知が送信され、QRコードの形式でワンタイムパスワードの写真を撮ります。アプリはサーバーでOTPを確認してログインし、電話とQRコードでそれぞれ「持っているもの」と「知っているもの」の役割を果たします。
これは、他のPAMシステムと何の違いもありません。したがって、セキュリティに関する限り、それはかなり大丈夫です。理想的な世界では、認証には3つの要素がありますが、大多数の人にとっては、このタイプの2つの要素の集中認証が適切です。 Trusonaまたは他の同様のプラットフォームがさらに多くのサイトに登場するのを目にしても、私はそれほど驚くことはありません。
私が抱えている最大の問題は、第三者との信頼です。 2011年のRSA違反を振り返ると、単一の大規模なサードパーティ検証システムで発生する可能性のある問題の種類を確認できます。 SecurIDシードが盗まれたとき、提案されたセキュリティをバイパスして、プラットフォーム上で有効な資格情報を生成することが可能になりました。トルソナは同じ運命をたどるのは簡単ですが、それでも他の認証者も同様です。