Двух-чего-то-там аутентификация
Styran Vlad
06.06.2013 20:12:00
Как многие уже слышали, LinkedIn, вслед за Google и Facebook, ввел так называемую двухфакторную аутентификацию пользователей. Вношу поправку.
Все мы знаем, что фактор аутентификации это:
или известный пользователю кусок данных (например, пароль),
или принадлежащий пользователю редкий (или уникальный) предмет (например, криптографический токен),
или, снова таки, уникальный элемент строения тела пользователя (отпечаток пальца, рисунок сетчатки глаза, форма кисти руки и пр.)
Если пользователь предъявляет системе два разных фактора, такая аутентификация называется двухфакторной. Если пользователь представляет системе два экземпляра одного фактора (в случае с LinkedIn так и есть), такая аутентификация не называется двухфакторной. Предъявление двух паролей, один из которых пользователь знает, а второй получает через SMS, называется двухканальной.
Можно, конечно, возразить, что в этом случае вторым фактором является телефонный аппарат или SIM-карта пользователя, но это уже полемика: SIM-карта клонируется или "восстанавливается" через уязвимости организационных процессов центра поддержки абонентов мобильной сети, так что у нас редко есть уверенность в том, что в настоящий момент номер мобильного телефона принадлежит конкретному пользователю.
securitylab.ru
*
