Säkerhetsblogg

Multifaktorautentisering och voodoo

Howard Phillips Lovecraft använde mycket från många olika kulturer och folklore i sin litteratur inklusive mörka ritualerna från voodoo magi. För att skapa en voodoo docka krävs några specifika ingredienser. Som kvinnan på MEn voodoo-docka kräver också multifaktorerojo House i The Secret of Monkey Island 2TM brukade säga:

  • Något av tråden
  • Något från huvudet
  • Något från de döda
  • Något från kroppen

Dessa fyra faktorer gjorde det möjligt att tillverka den magiska artefakten som skulle göra att de blev av med elakingen.

Faktorer behövs också för att få tillgång till Cardholder Data Environment (CDE). I synnerhet kraven 8.2 av PCI DSS v3.2:

8.2 Förutom att tilldela ett unikt ID, säkerställ korrekt hantering av användarautentisering för användare som inte är konsumenter och administratörer på alla systemkomponenter genom att använda minst en av följande metoder för att autentisera alla användare:

  • Något du vet, till exempel ett lösenord eller lösenordsfras
  • Något du har, t.ex. en token eller ett smartkort
  • Något du är, som är biometrisk.

Och krav 8.3:

8.3 Säkerställ all administrativ åtkomst och all fjärråtkomst till CDE med hjälp av multifaktorautentisering.

Obs! Flerfaktorautentisering kräver att minst två av de tre autentiseringsmetoderna (se krav 8.2 för beskrivningar av autentiseringsmetoder) används för autentisering. Att använda en faktor två gånger (till exempel två separata lösenord) räknas inte som multifaktor-autentisering.

I februari 2017 släppte PCI SSC ett dokument om just multifaktorautentisering.

Så, vad är det?

Multifaktorautentisering är användningen av olika faktorer för att få tillgång till något, i vårt fall ett system i CDE:n.

De faktorer som kan användas är:

  • Något du vet
  • Något du har
  • Något du är

Sådana faktorer, vid ett tillfälle och endast om de kombineras, ska ge dig åtkomst till CDE. Att använda samma faktor två gånger (eller mer) anses inte vara multifaktorautentisering och uppfyller därmed inte den säkerhet som standarden kräver.

Med tanke på ovanstående innebär det att faktorerna måste skyddas för att bibehålla sin egen integritet och därmed integriteten av CDE:n:

  • Lösenord och annat “någonting du vet” data ska vara svårt att gissa och att komma fram till med envetenhet, för att de ska vara skyddad från obehöriga parter.
  • Biometri och annat “något du är” data bör skyddas mot replikering eller användning av andra med tillgång till enheten som datan finns på.
  • Smarta kort, programcertifikat och annat “något du har”-data ska inte delas och ska skyddas mot replikering eller att de hamnar i händer hos obehöriga parter.

I det “något du har” räckvidd är det värt att nämna att medan NIST fortfarande tillåter användning av out-of-band-autentiseringsmekanismer (t.ex. SMS, röst på PSTN), har NIST uttryckt missnöje och det kan komma att tas bort i framtid, enligt NIST SP 800-63B. https://pages.nist.gov/800-63-3/sp800-63b.html

Multifaktorautentisering är otroligt viktigt för att hålla skurkarna borta från CDE:n. Hur du skyddar faktorerna för multifaktorautentisering är avgörande, så ingen post-its med lösenord eller obevakade smartcards / OTP-tokens / smartphones från och med nu!

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com