Closed mkazl closed 1 year ago
Во-первых, в таблице 1 при описании уровня 3 гарантий аутентификации имеется неточность: вместо
Многофакторная аутентификация с использованием аппаратных КТ.
следует писать (https://github.com/bcrypto/bias/commit/10d7b195670f5345718e0ecf017b93cff9d8947e)
Многофакторная аутентификация с использованием аппаратного устройства и КТ.
Другими словами, при выборе аутентификаторов требуется выполнить 3 условия:
С учетом поправки понятна логика разрешенных комбинаций аутентификаторов:
В Проекте последняя комбинация сужается: в качестве аппаратного токена, дополнительного к программному КТ, может использоваться только OTP-токен (странно использовать два КТ). Запрет не соответствует декларации в таблице 1, его предлагается обсудить отдельно (https://github.com/bcrypto/bias/issues/57).
Упомянутая в замечании комбинация "однофакторный OTP-токен и однофакторный аппаратный КТ" не обеспечивает выполнение условия 1: оба токена относятся к фактору "чем я владею".
Структурный элемент стандарта: раздел 6, п. 6.1.2
В требовании ВТ.20 разрешена комбинация «статический пароль и однофакторный аппаратный КТ», но запрещена комбинация «однофакторный OTP-токен и однофакторный аппаратный КТ». При этом из обзора пакета ВТ неясно, чем статический пароль лучше однофакторного OTP-токена.
Предлагается либо добавить данную комбинацию в список разрешенных, либо дополнить обзор пакета ВТ таким образом, чтобы прослеживалась логика, по которой выбирались разрешенные комбинации.