احراز هویت چندعاملی
احراز هویت چند عاملی (MFA) یک روش تأیید هویت ادعایی کاربر است که در آنکاربر تنها پس از ارائه 2 یا چند قطعه شواهد (یا عوامل) به یک مکانیزم احراز هویت دسترسی می یابد: دانش (چیزی که تنها آنها می دانند )، مالکیت (چیزی که تنها آنها دارند) و ذات (چیزی که تنها آنها هستند).
احراز هویت دو عاملی (همچنین به عنوان 2FA شناخته میشود) یک نوع (زیر مجموعه) از احراز هویت چند عاملی است.این یک روش تأیید هویت ادعا کاربر با استفاده از ترکیبی از دو عامل متفاوت است که عبارتند از:1) چیزی که آنها می دانند، 2) چیزی است که آنها دارند و یا 3) چیزی که آنها هستند.
یک نمونه خوب از احراز هویت دو عاملی خروج پول از دستگاه خودپرداز است؛ فقط ترکیبی صحیح از یک کارت بانکی (چیزی که کاربر دارای آن است) و یک PIN (شماره شناسایی شخصی، چیزی که کاربر می داند) اجازه میدهد تا معامله انجام شود.
تایید دو مرحلهای یا تصدیق دو مرحلهای روشی است برای تأیید هویت مدعی هویت با استفاده از چیزی که آنها میدانند ( رمز عبور ) و عامل دیگری غیر از چیزی که آنها دارند یا چیزی که آنها هستند.یک مثال از یک گام دوم، تکرار چیزی است که از طریق مکانیسم خارج از باند برای آنها فرستاده میشود. یا دومین مرحله ممکن است یک عدد ۶ رقمی باشد که توسط یک برنامه (رایانه) کاربردی تولید میشود که برای کاربر و سیستم تأیید مشترک است.
عوامل تأیید هویت
استفاده از عوامل تأیید هویت چندگانه برای اثبات هویت خود بر اساس این فرض است که یک بازیگر غیر مجاز بعید است بتواند فاکتورهای مورد نیاز برای دسترسی را فراهم کند. اگر در یک اقدام احراز هویت حداقل یکی از اجزاء غلط یا ارائه نادرست باشد، هویت کاربر با اطمینان کافی تأیید نشده و دسترسی به دارایی (به عنوان مثال، یک ساختمان یا داده) که توسط احراز هویت چند عاملی محافظت میشود مسدود باقی میماند. عوامل تأیید هویت یک تأیید هویت چندگانه ممکن است شامل موارد زیر باشد
- برخی از جسم فیزیکی در اختیار کاربر، مانند یک کارت حافظه USB با رمزهای مخفی، کارت بانکی، یک کلید و
- برخی از رازهای شناخته شده کاربر مانند گذرواژه، PIN، TAN و غیره
- برخی از مشخصات فیزیکی کاربر (بیومتریک)، مانند یک اثر انگشت، عدسی چشم، صدا، سرعت تایپ، الگو در فواصل فشار کلید و غیره
عوامل دانش
عوامل دانش رایجترین شکل از اعتبار سنجی هستند. در این شکل، لازم است که کاربر اطلاعات محرمانه را به منظور تأیید هویت اثبات کند.
گذرواژه یک کلمه رمز یا رشته از حروف است که برای تأیید هویت کاربر استفاده میشود. بسیاری از تکنیکهای احراز هویت چند عامل به رمز عبور به عنوان یک عامل تأیید اعتبار اعتماد دارند.اینها شامل هر دو نوع دیگر هستند که از چند کلمه ( یک گذرواژه ) و شماره شناسایی شخصی ( PIN ) کوتاه و صرفاً عددی که عموماً برای دسترسی به خودپرداز استفاده میشوند را شامل میشوند. بهطور سنتی، از رمزهای عبور انتظار میرود که به خاطر سپرده شوند.
بسیاری از سوالات رمزی مانند "شما کجا متولد شدید؟" نمونههای ضعیفی از فاکتور دانش هستند، زیرا ممکن است به گروه گسترده ای از افراد شناخته شده باشند یا بتوانند مورد تحقیق قرار گیرند.
فاکتورهای مالکیت
فاکتورهای مالکیت (چیزی که تنها کاربر دارد) برای احراز هویت برای قرن ها، به شکل کلید یک قفل استفاده شدهاست. اصل اساسی این است که کلید شامل یک رمز است که بین قفل و کلید به اشتراک گذاشته شدهاست، و همین اصل تأیید اعتبار فاکتور در سیستمهای کامپیوتری را بر عهده دارد. نشانه امنیتی نمونه ای از یک عامل مالکیت است.
نشانه های قطع شده
نشانههای قطع شده هیچ ارتباطی با رایانه مشتری ندارند. آنها معمولاً از یک صفحه داخلی ساخته شده برای نمایش دادههای احراز هویت تولید شدهاستفاده میکنند که به صورت دستی توسط کاربر وارد میشوند.
نشانه های متصل
نشانههای متصل دستگاههایی هستند که به صورت فیزیکی به رایانه متصل میشوند تا مورد استفاده قرار گیرند. این دستگاهها به صورت خودکار دادهها را انتقال میدهند.انواع مختلفی از جمله خوانندگان کارت، برچسبهای بیسیم و نشانههای USB وجود دارد.
نشانه های نرمافزاری
نشانه های نرمافزاری (نشانه نرمافزاری a.k.a)یک نوع از ابزار امنیتی اعتبارسنجی دو فاکتوری است که ممکن است برای مجوز استفاده از خدمات کامپیوتری استفاده شود. نشانههای نرمافزاری بر روی یک وسیله الکترونیکی متداول مانند کامپیوتر رومیزی، لپ تاپ، PDA یا تلفن همراه ذخیره میشود و میتوان آن را تکثیر کرد. (نشانگرهای سخت افزاری کنتراست، جایی که اعتبارها در یک دستگاه سخت افزاری اختصاصی ذخیره میشوند و بنابراین نمیتوانند تکرار شوند (تهاجم فیزیکی دستگاه).)
عوامل ذاتی
اینها عوامل مرتبط با کاربر هستند و معمولاً روشهای بیومتریک، از جمله خوانندگان اثر انگشت، اسکنر شبکیه یا تشخیص صدا هستند.
تایید هویت دو مرحلهای تلفن همراه
احراز هویت دو مرحله ای تلفن همراه امنتر از حفاظت از یکباره رمزعبور است اما از نگرانیهای امنیتی رنج میبرد. تلفنها ممکن است همانندسازی شوند، برنامهها میتوانند بر روی چندین تلفن اجرا شوند و پرسنل تعمیر و نگهداری تلفن همراه میتوانند متون SMS را بخوانند. بهطور کلی تلفن همراه را نمی توان بهطور کلی به خطر انداخت، به این معنی که تلفن دیگر چیزی نیست که قفط کاربر دارد.
اشکال اصلی احراز هویت، از جمله چیزی که کاربر دارای آن است، این است که کاربر باید در تمام زمانها عملاً در همه جا به دنبال نشانه فیزیکی (USB stick، کارت بانکی، کلید یا مشابه) باشد.از دست دادن و سرقت یک خطر است.بسیاری از سازمانها ممنوعالخروج کردن دستگاههای USB و الکترونیکی،و بسیاری از ماشینهای مهم پورت USB در داخل و خارج از محل را به دلیل بدافزار و خطر سرقت اطلاعات ، در اختیار ندارند.نشانههای فیزیکی معمولاً نیاز به یک نشانه جدید برای هر حساب و سیستم جدید ندارند.خرید و متعاقباً جایگزینی نشانهها از این نوع، هزینهها را شامل میشود. به علاوه ، تضادهای ذاتی و توازن اجتنابناپذیر بین قابلیت استفاده و امنیت وجود دارد.
احراز هویت دو مرحلهای تلفن همراه شامل وسایلی مانند تلفنهای همراه و گوشیهای هوشمند به منظور ارایه یک روش جایگزین که از چنین موضوعاتی اجتناب کند توسعه داده شد.برای تأیید اعتبار خود، افراد می توانند از کدهای دسترسی شخصی خود به دستگاه ( چیزی که تنها کاربر فردی می داند) استفاده کنند، به علاوه یک رمز عبور یکبار معتبر، پویا، معمولاً شامل 4 تا 6 رقمی است. کد عبور را میتوان به وسیله SMS یا اعلان از طریق فشار به دستگاه تلفن همراه خود ارسال کرد یا میتوان آن را با استفاده از نرمافزار Generator یک بار گذرواژه تولید کرد. در هر سه مورد، فایده استفاده از یک تلفن همراه این است که نیازی به یک نشانه اختصاصی اضافی ندارد، چرا که کاربرها معمولاً دستگاههای تلفن همراه خود را در تمام زمانها حمل میکنند.
تا سال 2018، SMS برای حسابهای مبتنی بر مصرف، وسیعترین روش احراز هویت چند منظوره بودهاست.با وجود محبوبیت تأیید اس ام اس، NIST ایالات متحده آن را به عنوان یک نوع احراز هویت محکوم کرده و طرفداران امنیتی آن را به صورت عمومی مورد انتقاد قرار دادهاند.
در سالهای 2016 و 2017، هر دو شرکت گوگل و اپل، تایید هویت دو مرحلهای کاربر را با اعلان فشار به عنوان روش جایگزین شروع کردند.
امنیت نشانههای امنیتی تلفن همراه بهطور کامل به امنیت عملیاتی اپراتور تلفن همراه بستگی دارد و میتواند به راحتی توسط سرویسهای تلفنی یا شبیه سازی سیم کارت توسط سازمانهای امنیت ملی تخریب شود.
مزایا
- نشانه دیگری لازم نیست چون از دستگاههای همراه استفاده میکند که معمولاً در تمام مدت حمل میشوند.
- همانطور که آنها بهطور مداوم تغییر میکنند،کدهای پویای تولید شده برای استفاده از logهای ثابت امنتر هستند.
- بسته به نوع راه حل، کدهای عبور استفاده شده به صورت خودکار جایگزین میشوند تا اطمینان حاصل شود که کد معتبر همیشه در دسترس است. مشکلات انتقال / پذیرش از ورود به سیستم جلوگیری نمیکند.
معایب
کاربر زمانی که احراز هویت لازم باشد باید یک تلفن همراه شارژ شده که در محدوده یک شبکه تلفن همراه است را حمل کنند،اگر گوشی نمیتواند پیامها را نمایش دهد، از قبیل آسیب دیدن یا تعطیلی برای به روز رسانی یا به دلیل افراط در دمای هوا ( به عنوان مثال در فصل زمستان )، دسترسی اغلب بدون برنامههای پشتیبان غیرممکن خواهد شد.
- کاربر باید شماره تلفن همراه شخصی خود را با ارائه دهنده به اشتراک بگذارد، حریم خصوصی شخصی را کاهش داده و بهطور بالقوه هرزنامه را اجازه میدهد.
- حاملهای تلفن همراه ممکن است از کاربر برای دریافت کارمزد پیام رسانی استفاده کنند.
- پیغامهای متنی به تلفنهای همراه با استفاده از SMS ناامن هستند و میتوانند متوقف شوند. بنابراین اشخاص ثالث میتوانند این نشانه را بدزدند و از آنها استفاده کنند.
- پیامهای متنی ممکن است فوراً تحویل داده نشوند و تاخیرهای اضافی در فرایند تأیید هویت اضافه شوند.
- بازیابی حساب معمولاً از احراز هویت دو عامل تلفن همراه جلوگیری میکند.
- گوشیهای هوشمند مدرن هم برای مرور ایمیل و هم برای دریافت SMS به کار میروند. ایمیل معمولاً همیشه وارد سیستم میشود. بنابراین اگر گوشی گم شود یا به سرقت برود، تمام حسابهایی که ایمیل آن کلیدی است، میتواند هک شود زیرا گوشی میتواند عامل دوم را دریافت کند. بنابراین تلفنهای هوشمند دو عامل را به یک عامل ترکیب میکنند.
- تلفنهای همراه به سرقت رفته، بهطور بالقوه به دزد اجازه دسترسی به حسابهای کاربری را میدهد.
- شبیه سازی سیم کارت دسترسی هکرها به ارتباطات تلفن همراه را فراهم میکند. حملات مهندسی اجتماعی علیه شرکتهای اپراتور تلفن همراه، منجر به تحویل دادن سیم کارتهای تکراری به جنایتکاران شدهاست.
پیشرفت در احراز هویت دو عامل تلفن همراه
پیشرفت در پژوهش در احراز هویت دو عاملی برای تلفنهای همراه روشهای مختلفی را در نظر میگیرد که در آن یک عامل دوم میتواند در حالی اجرا شود که مانع برای کاربر نشود. با استفاده مداوم و بهبود در دقت سخت افزار تلفن همراه مانند GPS، میکروفون و ژیروسکوپ / شتاب سنج، توانایی استفاده از آنها به عنوان عامل دوم احراز هویت، قابل اعتمادتر شدهاست.ه عنوان مثال، با ثبت صدای محیط از یک دستگاه تلفن همراه و مقایسه آن با ثبت صدای محیط از کامپیوتر در همان اتاقی که کاربر سعی در تأیید هویت دارد، ، فرد قادر است فاکتور دوم مؤثر احراز هویت داشته باشد.این کار همچنین مقدار زمان و تلاش مورد نیاز برای تکمیل فرایند را کاهش میدهد.
قوانین و مقررات
صنعت کارت پرداخت ( PCI ) استاندارد امنیت داده، الزامات 8.3، نیاز به استفاده از MFA برای تمام دسترسی به شبکه که خارج از شبکه از محیط داده کارت ( CDE ) سرچشمه میگیرد نیاز دارد. با استفاده از PCI-DSS نسخه 3.2، استفاده از MFA برای تمام دسترسی اداری به CDE، حتی اگر کاربر در یک شبکه اعتماد باشد نیز مورد نیاز است.
ایالات متحده
جزئیات برای تأیید هویت در ایالات متحده با دستورالعمل 12 رئیسجمهور امنیت ملی (HSPD-12) تعریف شدهاست.
روشهای تایید اعتبار موجود شامل سه نوع " عوامل " اصلی است. روشهای تأیید هویت که به بیش از یک عامل وابسته هستند در مقایسه با روشهای تک عاملی دشوارتر هستند.
استانداردهای قانونی IT برای دسترسی به سیستمهای دولتی فدرال نیاز به استفاده از احراز هویت چند عامل برای دسترسی به منابع حساس IT دارد، برای مثال هنگام ورود به دستگاههای شبکه برای انجام وظایف اداری و دسترسی به هر کامپیوتر با استفاده از ورود مجاز.
انتشارات ویژه NIST 800-63-3 انواع مختلفی از احراز هویت دو عامل را مورد بحث قرار میدهد و راهنمایی در مورد استفاده از آنها در فرایندهای کسب و کار که نیاز به سطوح مختلف اطمینان دارند، ارائه میدهد.
در سال 2005، شورای بررسی آزمونهای موسسه مالی فدرال ایالات متحده، راهنماییهایی برای موسسات مالی ارائه داد که موسسات مالی ارزیابیهای مبتنی بر ریسک را انجام می دهند، برنامههای آگاهی مشتری را ارزیابی میکنند و اقدامات امنیتی را برای تأیید صحت اعتبار مشتریان از راه دور برای دسترسی به خدمات مالی آنلاین، رسماً توصیه میکنند. روشهای تأیید اعتبار که به بیش از یک عامل بستگی دارند (بهطور خاص، آنچه کاربر می داند، دارد، و است) برای تعیین هویت کاربر. در پاسخ به این انتشار، بسیاری از فروشندگان احراز هویت بهطور نامناسبی از چالش سوء استفاده، تصاویر مخفی و سایر روشهای مبتنی بر دانش به عنوان احراز هویت چند عامل استفاده کردند.با توجه به سردرگمی و پذیرش وسیع این روش ها، در 15 اوت 2006، FFIEC دستورالعملهای تکمیلی را منتشر کرد که بیان میکند که با تعریف یک سیستم تأیید هویت چندگانه "حقیقی" باید از موارد مشخص سه عامل تأیید هویت که تعریف کرده، استفاده کند، و تنها از چندین نمونه از یک عامل منفرد استفاده نکند.
امنیت
به گفته موافقان، تأیید اعتبار چند عاملی میتواند شیوع دزدی هویت اینترنتی و سایر تقلب آنلاین را کاهش دهد، چرا که گذرواژه قربانی دیگر کافی نخواهد بود تا به اطلاعات خود دسترسی دائمی داشته باشد.با این حال، بسیاری از رویکردهای احراز هویت چند عاملی در برابرفیشینگ ، مرورگر، و حملات میانی آسیبپذیر هستند.
احراز هویت چند عامل ممکن است در برابر تهدیدات مدرن، نظیر ATM، فیشینگ و نرمافزارهای مخرب، ناکارآمد باشد.
در ماه مه سال 2017 O2 Telefónica، یک ارائه دهنده خدمات تلفن همراه آلمانی، تأیید کرد که مجرمان سایبری از آسیب پذیریSS7 به منظور دور زدن احراز هویت دو مرحله ای پیامک برای برداشت غیر مجاز از حسابهای بانکی کاربران استفاده کردهاند.مجرمان ابتدا کامپیوترهای دارنده حساب را به منظور سرقت حسابهای بانکی و شماره تلفن خود آلوده کردند.سپس مهاجمان دسترسی به یک ارایهدهنده خدمات تقلبی را خریداری کرده و مسیری را برای شماره تلفن قربانی به یک گوشی کنترل شده توسط آنها راه اندازی کردند.در نهایت، مهاجمان به حسابهای بانکی آنلاین قربانیان وارد شدند و درخواست پول در حسابها به حسابهای متعلق به مجرمان را کردند.SMS به شمارههای تلفن که توسط مهاجمان کنترل می شد وصل شده بود و مجرمان پول را به خارج منتقل میکردند.
اجرای ملاحظات
بسیاری از محصولات احراز هویت چند عامل نیاز به استفاده از نرمافزارهای مشتری برای ایجاد سیستمهای تأیید هویت چند عامل دارند. برخی از فروشندگان بستههای نصب جداگانه برای ورود به شبکه، گواهینامه دسترسی به وب و گواهینامه اتصال ، VPN ایجاد کردهاند. برای چنین محصولاتی ممکن است چهار یا پنج بسته نرمافزاری متفاوت برای خاموش کردن کامپیوتر شخصی به منظور استفاده از کارت شناسایی یاکارت هوشمند وجود داشته باشد. این به چهار یا پنج بسته که در آن کنترل نسخه باید انجام شود، و چهار یا پنج بسته برای بررسی درگیری با برنامههای کاربردی کسب و کار ترجمه میشود. اگر دسترسی را با استفاده از صفحات وب مدیریت کنید، می توانید هزینههای فوق را به یک برنامه محدود کنید. با سایر راه حلهای احراز هویت چند عامل، مانند نشانههای مجازی و برخی محصولات سخت افزاری، هیچ نرمافزاری نباید توسط کاربران نهایی نصب شود.
اشکالاتی برای تأیید اعتبار چند عاملی وجود دارد که بسیاری از رویکردها را از گسترده شدن منع میکند.بعضی از مصرف کنندگان دچار مشکلی در ردیابی سخت افزار یا پلاگین USB میشوند. بسیاری از مصرف کنندگان مهارتهای فنی لازم برای نصب یک گواهینامه نرمافزار جانبی مشتری را ندارند.بهطور کلی، راهحلهای چند عاملی نیازمند سرمایهگذاری بیشتر برای اجرا و هزینههای نگهداری هستند. اکثر سیستمهای مبتنی بر نشانه، اختصاصی هستند و برخی فروشندگان برای هر کاربر هزینه سالیانه دریافت میکنند. استقرار نشانه سختافزاری به لحاظ منطقی چالش برانگیز است. ممکن است نوع سختافزار آسیبدیده یا از دست رفته و صدور نشانهها در صنایع بزرگ مانند بانکها یا حتی در شرکتهای بزرگ لازم باشد. علاوه بر هزینههای استقرار، تأیید اعتبار چند عاملی اغلب هزینههای پشتیبانی اضافی را همراه دارد. نظرسنجی سال ۲۰۰۸ از بیش از ۱۲۰ اتحادیه اعتباری آمریکا توسط ژورنال اتحادیه اعتبار ، هزینههای پشتیبانی مربوط به تأیید اعتبار دو عاملی را گزارش داد. در گزارش خود، اسناد نرمافزاری و ابزار نوار ابزار برای داشتن بالاترین هزینههای پشتیبانی گزارش شدهاست.
نمونه
چندین سرویس وب محبوب ، اعتبار سنجی چند عاملی را به کار میگیرند، معمولاً به عنوان یک ویژگی اختیاری که بهطور پیشفرض غیرفعال شدهاست.
- احراز هویت دو عامل
- بسیاری از خدمات اینترنتی ( در میان آنها: گوگل، آمازون AWS ) از الگوریتم رمز عبور زمان باز مبتنی بر زمان ( TOTP ) برای پشتیبانی از اعتبارسنجی دو مرحلهای استفاده میکند.
جستارهای وابسته
منابع
- ↑ "Two-factor authentication: What you need to know (FAQ) – CNET". CNET. Retrieved 2015-10-31.
- ↑ "How to extract data from an iCloud account with two-factor authentication activated". iphonebackupextractor.com. Retrieved 2016-06-08.
- ↑ "The Difference Between Two-Factor and Two-Step Authentication". lifehacker.com. Retrieved 2018-01-16.
- ↑ Watts, Steve (2015-07). "NFC and 2FA: the death of the password?". Network Security. 2015 (7): 19–20. doi:10.1016/s1353-4858(15)30061-1. ISSN 1353-4858.
- ↑ "Securenvoy – what is 2 factor authentication?". Archived from the original on 18 June 2018. Retrieved April 3, 2015.
- ↑ Borde, Duncan de (2007-07). "Selecting a two-factor authentication system". Network Security. 2007 (7): 17–20. doi:10.1016/s1353-4858(07)70066-1. ISSN 1353-4858.
- ↑ van Tilborg, Henk C.A.; Jajodia, Sushil, eds. (2011). Encyclopedia of Cryptography and Security, Volume 1. Springer Science & Business Media. p. 1305. ISBN 9781441959058.
- ↑ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2015-07-01). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment". IEEE Transactions on Dependable and Secure Computing. 12 (4): 428–442. doi:10.1109/tdsc.2014.2355850. ISSN 1545-5971.
- ↑ Fujii, Haruhiko; Tsuruoka, Yukio (2014-03-01). "Two-Factor User Authentication with SMS and Voiceprint Challenge Response". International Journal for Information Security Research. 4 (1): 383–390. doi:10.20533/ijisr.2042.4639.2014.0044. ISSN 2042-4639.
- ↑ Kemshall, Andy (2011-04). "Why mobile two-factor authentication makes sense". Network Security. 2011 (4): 9–12. doi:10.1016/s1353-4858(11)70038-1. ISSN 1353-4858.
- ↑ Keclik, M.; Lojda, Zd.; Bures, Zd.; Malis, Fr. (2009-04-24). "Alkaline Phosphatase in Serum and Liver in Patients with Cholelithiasis". Acta Medica Scandinavica. 167 (3): 159–170. doi:10.1111/j.0954-6820.1960.tb03532.x. ISSN 0001-6101.
- ↑ Windham, Lane (2018-01-18). "9to5". University of North Carolina Press. doi:10.5149/northcarolina/9781469632070.003.0008.
- ↑ "The camphor flame: popular Hinduism and society in India". Choice Reviews Online. 30 (04): 30–2016-30-2016. 1992-12-01. doi:10.5860/choice.30-2016. ISSN 0009-4978.
- ↑ "Standard Vs. Premium Text Message Charges". Retrieved 2017-07-12.
- ↑ SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 آرخیو:1002.3171
- ↑ Rosenblatt, Seth; Cipriani, Jason (June 15, 2015). "Two-factor authentication: What you need to know (FAQ)". CNET. Retrieved 2016-03-17.
- ↑ Pearce, Lynne (2017-02-27). "Preventing falls in hospital". Nursing Management. 23 (10): 11–11. doi:10.7748/nm.23.10.11.s11. ISSN 1354-5760.
- ↑ "Location Authentication - Inside GNSS". www.insidegnss.com. Archived from the original on 18 April 2018. Retrieved 7 June 2018.
- ↑ "Continuous voice authentication for a mobile device".
- ↑ "DARPA presents: Continuous Mobile Authentication - Behaviosec". 22 October 2013. Archived from the original on 12 June 2018. Retrieved 7 June 2018.
- ↑ "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX". www.usenix.org. Retrieved 2016-02-24.
- ↑ "Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. Retrieved 2016-07-25.
- ↑ &NA; (2010-03). "Neurology on the ʼNet". Neurology Now. 6 (2): 10. doi:10.1097/01.nnn.0000370186.07300.d9. ISSN 1553-3271.
- ↑ US Security Directive as issued on August 12, 2007 بایگانیشده در سپتامبر ۱۶, ۲۰۱۲ توسط Wayback Machine
- ↑ "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment", August 15, 2006
- ↑ "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches".
- ↑ Pickard، Todd (۲۰۱۶). The Administrative Process: Credentialing, Privileges, and Maintenance of Certification. Cham: Springer International Publishing. صص. ۲۵–۳۰. شابک ۹۷۸۳۳۱۹۲۵۲۸۴۱.
- ↑ "NIST releases draft digital identity guidelines". Biometric Technology Today. 2017 (3): 1. 2017-03. doi:10.1016/s0969-4765(17)30040-1. ISSN 0969-4765.
- ↑ "FFIEC Press Release". 2005-10-12. Retrieved 2011-05-13.
- ↑ FFIEC (2006-08-15). "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). Retrieved 2012-01-14.
- ↑ "A huge step forward". Clinical Pharmacist. 2014. doi:10.1211/cp.2014.11134798. ISSN 2053-6178.
- ↑ Renaud, Karen; Renaud, Gareth (2017-10). "To phish, or not to phish…". Network Security. 2017 (10): 20. doi:10.1016/s1353-4858(17)30105-8. ISSN 1353-4858.
- ↑ Schneier, Bruce (2005-04-01). "Two-factor authentication". Communications of the ACM. 48 (4): 136. doi:10.1145/1053291.1053327. ISSN 0001-0782.
- ↑ Schneier، Bruce (۲۰۱۵-۱۰-۰۹). Identification and Authentication. Indianapolis, Indiana: Wiley Publishing, Inc. صص. ۱۳۵–۱۵۰. شابک ۹۷۸۱۱۱۹۱۸۳۶۳۱.
- ↑ How Hackers Hack. Indianapolis, Indiana: John Wiley & Sons, Inc. ۲۰۱۷-۰۴-۲۰. صص. ۹–۲۱. شابک ۹۷۸۱۱۱۹۳۹۶۲۶۰.
- ↑ "Study Sheds New Light On Costs, Affects Of Multi-Factor".
- ↑ GORDON, WHITSON (3 September 2012). "Two-Factor Authentication: The Big List Of Everywhere You Should Enable It Right Now". LifeHacker. Australia. Archived from the original on 17 January 2018. Retrieved 1 November 2012.