“可信设备”本身就是一个因素吗？

Question

受其他地方讨论的启发，我一直在想，在多因素认证中，“可信设备”的概念是否被认为是一种独立的因素？

给定的上下文是移动应用程序已登录到需要身份验证的服务。登录后，该服务将从现在起信任该设备。移动应用程序现在可以使用设备自己的身份验证方法(密码、密码、指纹、人脸识别)来验证应用程序的使用。

“可信设备”与指纹的结合是否被认为是一种多因素认证？

Answer 1

是的，可信设备是可能的附加身份验证因素。保护的力度取决于如何实施。理想情况下，您应该拥有一个硬件保护的机器绑定证书(如TPM中的证书)。此外，可以使用cookie、deviceid或无保护的客户端证书来实现这一功能。

在只有弱保护的情况下，它仍然是抵御某些攻击的有效手段。但这也是为了方便用户:如果设备是以前看到的，可能不需要其他额外的检查。

信任设备的趋势来自于诸如Zero信任体系结构(这很有趣)、端点安全和SASE、Cloud或注册的云应用程序设备(比如Azure Active，您可以在这里向组织租户注册个人设备)。

对于新的无密码身份验证器，协议通常依赖于对设备的身份验证，因为设备保护凭据。

Answer 2

如果身份验证是在一个单独的系统(服务器)上完成的，“您拥有的东西”可以包括应用程序正在运行的设备。但是，您必须确定您“信任”什么作为身份验证因素。

• 向用户公开的设备ID或其他设备生成的数据。
• 由认证系统发送并防止复制的证书或存储的秘密。

信任的强度和所涉信任的适当程度将取决于您所执行的风险评估。

但是，正如您所看到的，被用作身份验证因素的不是设备，而是正在进行身份验证的设备中的数据。一旦你调整你的注意力以适应这个现实，事情就会变得更清晰。