Uwierzytelnianie osobnym kanałem – Out of band authentication (OOBA), to proces uwierzytelniania, który wykorzystuje kanał komunikacyjny oddzielony od podstawowego kanału komunikacyjnego dwóch jednostek próbujących nawiązać uwierzytelnione połączenie. Korzystanie z oddzielnego kanału uwierzytelniania znacznie utrudnia atakującemu przechwycenie i osłabienie procesu uwierzytelniania. Wymaga to od atakującego złamania zabezpieczeń dwóch kanałów komunikacji.
Uwierzytelnianie osobnym kanałem -przykładowe formy uwierzytelniania obejmują:
- Kody wysyłane do urządzenia mobilnego za pośrednictwem wiadomości SMS,
- Uwierzytelnianie za pośrednictwem kanału głosowego,
- Kody wysyłane do aplikacji mobilnej za pośrednictwem powiadomień push,
Kody wysyłane do lub odbierane z zaufanego środowiska uruchomieniowego, podłączonego do urządzenia hosta próbującego nawiązać uwierzytelnione połączenie (tj. TEE zaimplementowane przez procesor, oddzielny bezpieczny element wbudowany w hosta. Również oddzielny bezpieczny element podłączony do hosta przez USB lub inny port).
OOBA jest powszechnie używany w serwisach bankowości internetowej. Aby zakończyć proces logowania, kod uwierzytelniający jest wysyłany SMS-em na urządzenie mobilne posiadacza konta.
CZY CZYTNIK BIOMETRYCZNY LAPTOPA JEST UWAŻANY ZA OOB?
Czytnik biometryczny na laptopie można uznać za środek do przeprowadzania uwierzytelniania typu Out of Band. Pod warunkiem, że implementuje oddzielny kanał komunikacyjny, który nie jest dostępny ze środowiska operacyjnego głównego kanału komunikacyjnego. Na przykład, jeśli czytnik biometryczny jest zaimplementowany przy użyciu elementu, który może bezpiecznie komunikować się z usługą zdalnego uwierzytelniania (za pośrednictwem zabezpieczonego kanału komunikacyjnego typu end-to-end, który kończy się wewnątrz bezpiecznego elementu), wówczas można go uznać za uwierzytelnianie poza pasmem .
CZY ZABEZPIECZONA ENKLAWA JEST CZYNNIKIEM OOB?
Korzystanie z zabezpieczonej enklawy można uznać za czynnik OOB. Warunkiem jest, że bezpieczny kanał komunikacyjny jest prawidłowo ustanowiony między zaufanym środowiskiem uruchomieniowym enklawy a serwerem uwierzytelniającym. Dzięki temu uwierzytelnianie jest całkowicie niedostępne dla atakującego, który mógł naruszyć urządzenie hosta.
