agievich
commented
2 years ago Во-первых, в таблице 1 при описании уровня 3 гарантий аутентификации имеется неточность: вместо
Многофакторная аутентификация с использованием аппаратных КТ.
следует писать (https://github.com/bcrypto/bias/commit/10d7b195670f5345718e0ecf017b93cff9d8947e)
Многофакторная аутентификация с использованием аппаратного устройства и КТ.
Другими словами, при выборе аутентификаторов требуется выполнить 3 условия:
- Многофакторность -- диверсификация аутентификации.
- Аппаратное устройство -- сильный фактор "что я имею".
- КТ -- высокая энтропия аутентификатора.
С учетом поправки понятна логика разрешенных комбинаций аутентификаторов:
- многофакторный аппаратный КТ (условия 1, 2, 3);
- однофакторный аппаратный КТ (условия 2, 3) + статический пароль (условие 1: второй фактор "что я знаю");
- однофакторный аппаратный КТ (условия 2, 3) + многофакторный OTP-токен (условие 1: второй фактор "что я знаю");
- программный КТ (условия 1, 3) + аппаратный токен (условие 2).
В Проекте последняя комбинация сужается: в качестве аппаратного токена, дополнительного к программному КТ, может использоваться только OTP-токен (странно использовать два КТ). Запрет не соответствует декларации в таблице 1, его предлагается обсудить отдельно (https://github.com/bcrypto/bias/issues/57).
Упомянутая в замечании комбинация "однофакторный OTP-токен и однофакторный аппаратный КТ" не обеспечивает выполнение условия 1: оба токена относятся к фактору "чем я владею".
Структурный элемент стандарта: раздел 6, п. 6.1.2
В требовании ВТ.20 разрешена комбинация «статический пароль и однофакторный аппаратный КТ», но запрещена комбинация «однофакторный OTP-токен и однофакторный аппаратный КТ». При этом из обзора пакета ВТ неясно, чем статический пароль лучше однофакторного OTP-токена.
Предлагается либо добавить данную комбинацию в список разрешенных, либо дополнить обзор пакета ВТ таким образом, чтобы прослеживалась логика, по которой выбирались разрешенные комбинации.