Аутентификатор

Средства подтверждения личности пользователя

Аутентификатор — это средство , используемое для подтверждения личности пользователя, ^{[1] [2]} , то есть для выполнения цифровой аутентификации. Человек аутентифицируется в компьютерной системе или приложении, демонстрируя, что он или она владеет аутентификатором и контролирует его. ^{[3] [4]} В простейшем случае аутентификатором является обычный пароль .

Используя терминологию NIST Digital Identity Guidelines, ^[3] сторона, подлежащая аутентификации, называется заявителем, а сторона, проверяющая личность заявителя, называется верификатором . Когда заявитель успешно демонстрирует проверяющему обладание и контроль над одним или несколькими аутентификаторами посредством установленного протокола аутентификации, проверяющий может сделать вывод о личности истца.

Классификация

Аутентификаторы можно охарактеризовать с точки зрения секретов, факторов и физических форм.

Секреты аутентификатора

Каждый аутентификатор связан по крайней мере с одним секретом, который заявитель использует для демонстрации владения аутентификатором и контроля над ним. Поскольку злоумышленник может использовать этот секрет, чтобы выдать себя за пользователя, секрет аутентификатора должен быть защищен от кражи или потери.

Тип секрета является важной характеристикой аутентификатора. Существует три основных типа секрета аутентификатора: запомненный секрет и два типа криптографических ключей: симметричный ключ или закрытый ключ.

Запомненный секрет

Запомненный секрет предназначен для запоминания пользователем. Хорошо известным примером запоминаемого секрета является общий пароль , также называемый кодом-паролем, фразой-паролем или личным идентификационным номером (ПИН).

Секрет аутентификатора, известный как заявителю, так и проверяющему, называется общим секретом . Например, запомненный секрет может быть разглашен, а может и не разглашаться. Симметричный ключ является общим по определению. Закрытый ключ не передается.

Важным типом секрета, который одновременно запоминается и передается, является пароль. В особом случае пароля секретом является аутентификатор.

Криптографический ключ

Криптографический аутентификатор — это тот, который использует криптографический ключ . В зависимости от материала ключа криптографический аутентификатор может использовать криптографию с симметричным ключом или криптографию с открытым ключом . Оба избегают запоминания секретов, а в случае криптографии с открытым ключом также нет общих секретов , что является важным отличием.

Примеры криптографических аутентификаторов включают аутентификаторы OATH и аутентификаторы FIDO . Название OATH является аббревиатурой от слов «Open AuTHentication», а FIDO означает Fast IDentity Online. Оба являются результатом общеотраслевого сотрудничества по разработке открытой эталонной архитектуры с использованием открытых стандартов для содействия внедрению строгой аутентификации.

В качестве контрпримера: аутентификатор пароля не является криптографическим аутентификатором. Подробности смотрите в разделе #Examples.

Симметричный ключ

Симметричный ключ — это общий секрет, используемый для выполнения криптографии с симметричным ключом. Заявитель хранит свою копию общего ключа в специальном аппаратном аутентификаторе или программном аутентификаторе, реализованном на смартфоне. Верификатор хранит копию симметричного ключа.

Пара публичного и закрытого ключей

Пара открытого и закрытого ключей используется для выполнения криптографии с открытым ключом. Открытый ключ известен проверяющему (и ему доверяют), тогда как соответствующий закрытый ключ надежно привязан к аутентификатору. В случае использования специального аппаратного аутентификатора закрытый ключ никогда не выходит за пределы аутентификатора.

Факторы и формы аутентификатора

Аутентификатор — это что-то уникальное или отличительное для пользователя ( то, что у него есть ), активируется либо PIN-кодом ( то, что известно пользователю ), либо является биометрическим («что-то уникальное для него»). Аутентификатор, который обеспечивает только один из этих факторов, называется однофакторным аутентификатором, тогда как многофакторный аутентификатор включает в себя два или более факторов. Многофакторная аутентификация — это один из способов достижения многофакторной аутентификации . Комбинация двух или более однофакторных аутентификаторов не является многофакторной аутентификацией, но может подойти в определенных условиях.

Аутентификаторы могут принимать различные физические формы (за исключением запомненного секрета, который нематериален). Например, аутентификатор можно держать в руке или носить на лице, запястье или пальце. ^{[5] [6] [7]}

Аутентификатор удобно описывать с точки зрения его аппаратных и программных компонентов. Аутентификатор бывает аппаратным или программным в зависимости от того, хранится ли секрет в аппаратном или программном обеспечении соответственно.

Важный тип аппаратного аутентификатора называется ключом безопасности, ^[8] также называемым токеном безопасности (не путать с токенами доступа , токенами сеанса или другими типами токенов безопасности). Ключ безопасности хранит свой секрет на оборудовании, что предотвращает его экспорт. Ключ безопасности также устойчив к вредоносному ПО, поскольку секрет никогда не доступен программному обеспечению, работающему на хост-компьютере.

Программный аутентификатор (иногда называемый программным токеном ) может быть реализован на электронном устройстве общего назначения, таком как ноутбук , планшетный компьютер или смартфон . Например, программный аутентификатор, реализованный в виде мобильного приложения на смартфоне заявителя, является разновидностью телефонного аутентификатора. Чтобы предотвратить доступ к секрету, программный аутентификатор может использовать доверенную среду выполнения процессора или доверенный платформенный модуль (TPM) на клиентском устройстве.

Аутентификатор платформы встроен в конкретную платформу клиентского устройства, то есть реализован на устройстве. Напротив, роуминговый аутентификатор — это кроссплатформенный аутентификатор, реализованный вне устройства. Роуминг-аутентификатор подключается к платформе устройства через транспортный протокол, например USB .

Примеры

В следующих разделах описываются узкие классы аутентификаторов. Более подробную классификацию см. в Рекомендациях NIST по цифровой идентификации. ^[9]

Однофакторные аутентификаторы

Чтобы использовать аутентификатор, заявитель должен явно указать свое намерение пройти аутентификацию. Например, для установления намерения достаточно каждого из следующих жестов:

• Заявитель вводит пароль в поле пароля или
• Заявитель прикладывает палец к устройству считывания отпечатков пальцев или
• Заявитель нажимает кнопку, чтобы подтвердить одобрение

Последний называется тестом присутствия пользователя (TUP). Чтобы активировать однофакторный аутентификатор ( то, что у него есть ), заявителю может потребоваться выполнить TUP, что позволяет избежать непреднамеренного срабатывания аутентификатора.

Пароль — это секрет , который заявитель должен запомнить и передать проверяющему. Аутентификация пароля — это процесс, в ходе которого заявитель демонстрирует знание пароля, передавая его по сети проверяющему. Если переданный пароль соответствует ранее предоставленному секретному ключу, аутентификация пользователя прошла успешно.

КЛЯТВА ОТП

Одноразовые пароли (OTP) используются с 1980-х годов. ^{[ нужна цитация ] В 2004 году на ежегодной} конференции RSA было объявлено об открытой эталонной архитектуре аутентификации для безопасного создания одноразовых паролей . ^{[10] [11]} Инициатива по открытой аутентификации (OATH) была запущена годом позже. ^{В результате} этой работы выросли два стандарта IETF: алгоритм одноразового пароля (HOTP) на основе HMAC и алгоритм одноразового пароля на основе времени (TOTP) ^, определенные RFC 4226 и RFC 6238 соответственно. Под OATH OTP мы подразумеваем либо HOTP, либо TOTP. OATH подтверждает соответствие стандартам HOTP и TOTP. ^[12]

Традиционный пароль ( то, что известно ) часто сочетается с одноразовым паролем ( то, что у вас есть ) для обеспечения двухфакторной аутентификации. ^[13] И пароль, и OTP передаются по сети верификатору. Если пароль соответствует ранее предоставленному секретному ключу и проверяющий может подтвердить значение OTP, аутентификация пользователя прошла успешно.

Одноразовые пароли генерируются по требованию специальным аутентификатором OATH OTP, который инкапсулирует секрет, который ранее был передан верификатору. Используя аутентификатор, заявитель генерирует OTP с использованием криптографического метода. Верификатор также генерирует OTP, используя тот же криптографический метод. Если два значения OTP совпадают, проверяющий может сделать вывод, что заявитель владеет общим секретом.

Хорошо известным примером аутентификатора OATH является Google Authenticator , ^[14] телефонный аутентификатор, реализующий как HOTP, так и TOTP.

Мобильный Push

Мобильный push-аутентификатор — это, по сути, собственное приложение, работающее на мобильном телефоне заявителя. Приложение использует криптографию с открытым ключом для ответа на push-уведомления. Другими словами, мобильный push-аутентификатор — это однофакторный криптографический программный аутентификатор. Мобильный push-аутентификатор ( то, что у вас есть ) обычно сочетается с паролем ( то, что вам известно ) для обеспечения двухфакторной аутентификации. В отличие от одноразовых паролей, мобильное push-уведомление не требует наличия общего секрета, помимо пароля.

После того как заявитель проходит аутентификацию с помощью пароля, проверяющее лицо отправляет запрос на внеполосную аутентификацию доверенной третьей стороне, которая управляет инфраструктурой открытых ключей от имени проверяющего. Доверенная третья сторона отправляет push-уведомление на мобильный телефон заявителя. Заявитель демонстрирует владение аутентификатором и контроль над ним, нажимая кнопку в пользовательском интерфейсе, после чего аутентификатор отвечает утверждением с цифровой подписью. Доверенная третья сторона проверяет подпись утверждения и возвращает ответ аутентификации проверяющему.

Собственный протокол мобильной push-аутентификации работает по внешнему вторичному каналу, что обеспечивает гибкие возможности развертывания. Поскольку протокол требует открытого сетевого пути к мобильному телефону заявителя, если такой путь недоступен (например, из-за проблем с сетью), процесс аутентификации не может быть продолжен. ^[13]

ФИДО U2F

Универсальный двухфакторный аутентификатор FIDO (U2F) ( то, что у вас есть ) — это однофакторный криптографический аутентификатор, который предназначен для использования в сочетании с обычным веб-паролем . Поскольку аутентификатор использует криптографию с открытым ключом, U2F не требует дополнительного общего секрета, помимо пароля.

Чтобы получить доступ к аутентификатору U2F, заявителю необходимо выполнить тест присутствия пользователя (TUP), который помогает предотвратить несанкционированный доступ к функциям аутентификатора. На практике TUP состоит из простого нажатия кнопки.

Аутентификатор U2F взаимодействует с соответствующим веб- агентом пользователя , который реализует API JavaScript U2F. ^[15] Аутентификатор U2F обязательно реализует протокол CTAP1/U2F, один из двух протоколов, указанных в протоколе клиента FIDO для аутентификатора . ^[16]

В отличие от мобильной push-аутентификации, протокол аутентификации U2F полностью работает на переднем канале. Требуется две поездки туда и обратно. Первый путь туда и обратно — это обычная аутентификация по паролю. После того как заявитель проходит аутентификацию с помощью пароля, верификатор отправляет запрос соответствующему браузеру, который связывается с аутентификатором U2F через специальный API JavaScript. После того, как заявитель выполняет TUP, аутентификатор подписывает запрос и возвращает подписанное утверждение проверяющему через браузер.

Многофакторные аутентификаторы

Чтобы использовать многофакторный аутентификатор, заявитель выполняет полную проверку пользователя. Многофакторный аутентификатор ( то, что у человека есть ) активируется с помощью PIN-кода ( то, что человек знает ) или биометрических данных ( что-то уникальное для самого себя»; например, распознавание отпечатков пальцев, лица или голоса ) или какой-либо другой метод проверки. ^[3] ,

Банкоматная карта

Чтобы снять наличные в банкомате (банкомате), клиент банка вставляет карту банкомата в банкомат и вводит персональный идентификационный номер (ПИН-код). Введенный PIN-код сравнивается с PIN-кодом, хранящимся на чипе карты. Если они совпадают, можно продолжить снятие средств в банкомате.

Обратите внимание, что при снятии средств в банкомате используется запомненный секретный код (т. е. ПИН-код), но истинное значение секретного кода банкомату заранее неизвестно. Машина вслепую передает введенный ПИН-код на карту, которая сравнивает введенный клиентом секретный ПИН-код, хранящийся на чипе карты. Если они совпадают, карта сообщает банкомату об успехе, и транзакция продолжается.

Карта банкомата является примером многофакторного аутентификатора. Сама карта — это то, что у человека есть, а PIN-код, хранящийся в чипе карты, предположительно известен . Предъявление карты банкомату и демонстрация знания ПИН-кода — это своего рода многофакторная аутентификация.

Безопасная оболочка

Secure Shell (SSH) — это клиент-серверный протокол, который использует шифрование с открытым ключом для создания безопасного канала в сети. В отличие от традиционного пароля, ключ SSH является криптографическим аутентификатором. Основным секретом аутентификатора является закрытый ключ SSH, который используется клиентом для цифровой подписи сообщения. Соответствующий открытый ключ используется сервером для проверки подписи сообщения, что подтверждает, что заявитель владеет секретным ключом и контролирует его.

Чтобы избежать кражи, закрытый ключ SSH ( то, что у вас есть ) может быть зашифрован с использованием парольной фразы ( то, что вам известно ). Чтобы инициировать процесс двухфакторной аутентификации, заявитель передает парольную фразу клиентской системе.

Как и пароль, парольная фраза SSH является запоминаемым секретом, но на этом сходство заканчивается. В то время как пароль является общим секретом, который передается по сети, парольная фраза SSH не является общей, и, более того, использование парольной фразы строго ограничено клиентской системой. Аутентификация через SSH является примером аутентификации без пароля, поскольку она позволяет избежать передачи общего секрета по сети. Фактически, аутентификация SSH вообще не требует общего секрета.

ФИДО2

Стандарт протокола FIDO U2F стал отправной точкой для проекта FIDO2 — совместной работы Консорциума World Wide Web (W3C) и Альянса FIDO. Результаты проекта включают стандарт веб-аутентификации W3C ( WebAuthn ) и протокол FIDO Client to Authenticator (CTAP). ^[17] Вместе WebAuthn и CTAP обеспечивают надежное решение для аутентификации в Интернете.

Аутентификатор FIDO2, также называемый аутентификатором WebAuthn, использует криптографию с открытым ключом для взаимодействия с клиентом WebAuthn, то есть соответствующим веб- агентом пользователя , который реализует API JavaScript WebAuthn . ^[18] Аутентификатор может быть аутентификатором платформы, роуминговым аутентификатором или некоторой их комбинацией. Например, аутентификатор FIDO2, реализующий протокол CTAP2 ^[16], является роуминговым аутентификатором, который связывается с клиентом WebAuthn через один или несколько следующих вариантов транспорта: USB , связь ближнего радиуса действия (NFC) или Bluetooth с низким энергопотреблением (BLE). ). Конкретные примеры средств аутентификации платформы FIDO2 включают Windows Hello ^[19] и операционную систему Android . ^[20]

Аутентификатор FIDO2 может использоваться как в однофакторном, так и в многофакторном режиме. В однофакторном режиме аутентификатор активируется простой проверкой присутствия пользователя (например, нажатием кнопки). В многофакторном режиме аутентификатор ( то, что у человека есть ) активируется либо PIN-кодом ( то, что человек знает ), либо биометрическими данными («что-то уникальное для него»).

Код безопасности

Прежде всего, строгая аутентификация начинается с многофакторной аутентификации . Лучшее, что можно сделать для защиты личной учетной записи в Интернете, — это включить многофакторную аутентификацию. ^{[13] [21]} Существует два способа достижения многофакторной аутентификации:

1. Используйте многофакторный аутентификатор
2. Используйте комбинацию двух или более однофакторных аутентификаторов.

На практике общий подход заключается в объединении аутентификатора пароля ( того, что известно пользователю ) с другим аутентификатором ( того, что у вас есть ), например, криптографическим аутентификатором.

Вообще говоря, криптографический аутентификатор предпочтительнее аутентификатора, который не использует криптографические методы. При прочих равных условиях криптографический аутентификатор, использующий криптографию с открытым ключом, лучше, чем тот, который использует криптографию с симметричным ключом, поскольку последний требует общих ключей (которые могут быть украдены или использованы не по назначению).

Опять же, при прочих равных условиях, аппаратный аутентификатор лучше, чем программный, поскольку секрет аутентификатора предположительно лучше защищен аппаратно. Это предпочтение отражено в требованиях NIST, изложенных в следующем разделе.

Уровни надежности аутентификатора NIST

NIST определяет три уровня гарантии в отношении аутентификаторов. Самый высокий уровень надежности аутентификатора (AAL3) требует многофакторной аутентификации с использованием либо многофакторного аутентификатора, либо соответствующей комбинации однофакторных аутентификаторов. В AAL3 по крайней мере один из аутентификаторов должен быть криптографическим аппаратным аутентификатором. Учитывая эти основные требования, возможные комбинации аутентификаторов, используемые в AAL3, включают:

1. Многофакторный криптографический аппаратный аутентификатор
2. Однофакторный криптографический аппаратный аутентификатор, используемый совместно с каким-либо другим аутентификатором (например, аутентификатором пароля).

Дополнительную информацию об уровнях надежности аутентификатора см. в Рекомендациях NIST по цифровой идентификации. ^[9]

Ограниченные аутентификаторы

Как и уровни безопасности аутентификатора, понятие ограниченного аутентификатора является концепцией NIST. ^[3] Этот термин относится к аутентификатору, продемонстрировавшему неспособность противостоять атакам, что ставит под сомнение надежность аутентификатора. Федеральные агентства смягчают необходимость использования ограниченного аутентификатора, предлагая подписчикам альтернативный аутентификатор, который не имеет ограничений, и разрабатывая план перехода на случай, если в какой-то момент в будущем использование ограниченного аутентификатора будет запрещено.

В настоящее время использование телефонной сети общего пользования ограничено NIST. В частности, ограничена внеполосная передача одноразовых паролей (OTP) посредством записанных голосовых сообщений или SMS- сообщений. Более того, если агентство решает использовать OTP на основе голоса или SMS, это агентство должно убедиться, что OTP передается на телефон, а не на IP-адрес, поскольку учетные записи Voice over IP (VoIP) обычно не защищены многофакторной защитой. аутентификация. ^[9]

Сравнение

В качестве основы для сравнения удобно использовать пароли, поскольку широко известно, как использовать пароль. ^[22] В компьютерных системах пароли используются, по крайней мере, с начала 1960-х годов. ^{[23] [24]} В целом пароли использовались с древних времен. ^[25]

В 2012 году Бонно и др. оценила предложения по замене паролей за два десятилетия, систематически сравнивая веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. ^[26] (Цитируемый технический отчет представляет собой расширенную версию одноименной рецензируемой статьи. ^[27] ) Они обнаружили, что большинство схем лучше, чем пароли, с точки зрения безопасности, в то время как каждая схема хуже, чем пароли, с точки зрения развертывания. С точки зрения удобства использования некоторые схемы работают лучше, а некоторые хуже, чем пароли.

Google использовал систему оценки Бонно и др. для сравнения ключей безопасности с паролями и одноразовыми паролями. ^[28] Они пришли к выводу, что ключи безопасности более удобны в использовании и развертывании, чем одноразовые пароли, и более безопасны, чем пароли и одноразовые пароли.

Смотрите также

• Электронная аутентификация

Рекомендации

1. «Глоссарий национального обеспечения информации (IA)» (PDF) . Комитет по системам национальной безопасности . 26 апреля 2010 г. Архивировано (PDF) из оригинала 9 октября 2022 г. Проверено 31 марта 2019 г.
2. «Глоссарий телекоммуникационных терминов». Институт телекоммуникационных наук . 7 августа 1996 года . Проверено 31 марта 2019 г.
3. Грасси, Пол А.; Гарсия, Майкл Э.; Фентон, Джеймс Л. (июнь 2017 г.). «Специальная публикация NIST 800-63-3: Рекомендации по цифровой идентификации». Национальный институт стандартов и технологий (NIST). doi : 10.6028/NIST.SP.800-63-3 . Проверено 5 февраля 2019 г. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
4. Линдеманн, Рольф, изд. (11 апреля 2017 г.). «Технический словарь ФИДО». Альянс ФИДО . Проверено 26 марта 2019 г.
5. Бьянки, Андреа; Окли, Ян (2016). «Носимая аутентификация: тенденции и возможности» (PDF) . Это – информационные технологии . 58 (5): 255–262. doi : 10.1515/itit-2016-0010. S2CID  12772550. Архивировано (PDF) из оригинала 9 октября 2022 г.
6. Штейн, Скотт (26 июля 2018 г.). «Почему умные часы Wear OS не могут быть также ключами безопасности?». CNET . Проверено 31 марта 2019 г.
7. Уильямс, Бретт (27 июня 2017 г.). «Это умное кольцо обеспечивает мгновенные мобильные платежи с повышенной безопасностью». Машаемый . Проверено 31 марта 2019 г.
8. «Пример: ключи безопасности Google работают» . Альянс ФИДО . 7 декабря 2016 года . Проверено 26 марта 2019 г.
9. Грасси, Пол А.; Фентон, Джеймс Л.; Ньютон, Элейн М.; Перлнер, Рэй А.; Регеншайд, Эндрю Р.; Берр, Уильям Э.; Ричер, Джастин П. (2017). «Специальная публикация NIST 800-63B: Рекомендации по цифровой идентификации: аутентификация и управление жизненным циклом». Национальный институт стандартов и технологий (NIST). doi : 10.6028/NIST.SP.800-63b . Проверено 5 февраля 2019 г. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
10. Кучан, Берислав (24 февраля 2004 г.). «Анонсирована эталонная архитектура открытой аутентификации». Помогите Net Security . Проверено 26 марта 2019 г.
11. «Спецификации и технические ресурсы OATH» . Инициатива по открытой аутентификации . Проверено 26 марта 2019 г.
12. "Сертификация OATH" . Инициатива открытой аутентификации (OATH) . Проверено 3 февраля 2019 г.
13. Хоффман-Эндрюс, Джейкоб; Гебхарт, Джинни (22 сентября 2017 г.). «Руководство по распространенным типам двухфакторной аутентификации в Интернете». Фонд электронных границ . Проверено 26 марта 2019 г.
14. «Google Аутентификатор». Гитхаб . Проверено 3 февраля 2019 г.
15. Балфанц, Дирк; Биргиссон, Арнар; Ланг, Хуан, ред. (11 апреля 2017 г.). «FIDO U2F JavaScript API». Альянс ФИДО . Проверено 22 марта 2019 г.
16. Бранд, Кристиан; Ческис, Алексей; Эренсвард, Якоб; Джонс, Майкл Б.; Кумар, Акшай; Линдеманн, Рольф; Пауэрс, Адам; Веррепт, Йохан, ред. (30 января 2019 г.). «Протокол клиент-аутентификатор (CTAP)». Альянс ФИДО . Проверено 22 марта 2019 г.
17. «FIDO2: Выведя мир за пределы паролей» . Альянс ФИДО . Проверено 30 января 2019 г.
18. Балфанц, Дирк; Ческис, Алексей; Ходжес, Джефф; Джонс, Джей Си; Джонс, Майкл Б.; Кумар, Акшай; Ляо, Анджело; Линдеманн, Рольф; Лундберг, Эмиль (ред.). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1». Консорциум Всемирной паутины (W3C) . Проверено 30 января 2019 г.
19. Саймонс, Алекс (20 ноября 2018 г.). «Безопасный вход в вашу учетную запись Microsoft без пароля с помощью ключа безопасности или Windows Hello». Майкрософт . Проверено 6 марта 2019 г.
20. «Android теперь сертифицирован FIDO2, ускоряя глобальную миграцию помимо паролей» . БАРСЕЛОНА: Альянс ФИДО . 25 февраля 2019 г. . Проверено 6 марта 2019 г.
21. «Двухфакторная аутентификация (2FA); новое руководство NCSC» . Национальный центр кибербезопасности (NCSC). 8 августа 2018 г.
22. Хант, Трой (5 ноября 2018 г.). «Вот почему [Вставьте сюда] не средство для уничтожения паролей» . Проверено 24 марта 2019 г.
23. Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Он тоже был бесполезен». Проводной журнал . Проверено 22 марта 2019 г.
24. Хант, Трой (26 июля 2017 г.). «Пароли эволюционировали: руководство по аутентификации для современной эпохи» . Проверено 22 марта 2019 г.
25. Малемпати, Шрилатха; Могалла, Шаши (31 июля 2011 г.). «Древняя индийская настольная игра как инструмент аутентификации» (PDF) . Международный журнал сетевой безопасности и ее приложений . 3 (4): 154–163. дои : 10.5121/ijnsa.2011.3414.
26. Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Технический отчет – Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. дои : 10.48456/tr-817. ISSN  1476-2986 . Проверено 22 марта 2019 г.
27. Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). В поисках замены паролей: основа для сравнительной оценки схем веб-аутентификации . Симпозиум IEEE 2012 по безопасности и конфиденциальности. Сан-Франциско, Калифорния. стр. 553–567. CiteSeerX 10.1.1.473.2241 . дои :10.1109/СП.2012.44. 
28. Ланг, Хуан; Ческис, Алексей; Балфанц, Дирк; Шильдер, Мариус; Шринивас, Сампат (2016). «Ключи безопасности: второй практический криптографический фактор для современной сети» (PDF) . Финансовая криптография и безопасность данных, 2016. Архивировано (PDF) из оригинала 9 октября 2022 г. Проверено 26 марта 2019 г.