靜態密碼已經”OUT”探索身份驗證新方式

知與誰同發表於2017-09-04
本文講的是靜態密碼已經”OUT” 探索身份驗證新方式,2011年末爆發了中國網際網路史上最為嚴重的網站資料洩漏事件,很多中招使用者開始修改自己的密碼,“今天你改密碼了嗎?”成了最流行的網路問候語,很多使用者都在抱怨改密碼改到手軟。想起網際網路剛剛在國內興起時候的一個名詞:“網上衝浪”,現在看來,如今的網際網路使用者依然是在用一個賬號+一個密碼在網際網路上肆無忌憚的“衝浪”。隨著黑客技術的不斷進步,這種傳統的賬號+密碼的身份驗證方式是否依然適合今天的網際網路?近日,IT168安全頻道就此話題專門採訪了飛天誠信OTP產品總監陳達先生。

  1、傳統“賬號+密碼”身份驗證方式的優缺點

  傳統的“賬號+密碼”身份驗證方式中提及的密碼為靜態密碼,是由使用者自己設定的一串靜態資料,靜態密碼一旦設定之後,除非使用者更改,否則將保持不變。陳達談到,這也就導致了靜態密碼的安全性缺點,比如容易被偷看、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊、木馬攻擊等。為了從一定程度上提高靜態密碼的安全性,使用者可以定期對密碼進行更改,但是這又導致了靜態密碼在使用和管理上的困難,特別是當一個使用者有幾個甚至幾十個密碼需要處理時,非常容易造成密碼記錯和密碼遺忘等問題,而且也很難要求所有的使用者都能夠嚴格執行定期修改密碼的操作,即使使用者定期修改,密碼也會有相當一段時間是固定的。從總體上來說,靜態密碼的缺點和不足主要表現在以下幾個方面:

  (1)、靜態密碼的易用性和安全性互相排斥,兩者不能兼顧,簡單容易記憶的密碼安全性弱,複雜的靜態密碼安全性高但是不易記憶和維護;

  (2)、靜態密碼安全性低,容易遭受各種形式的安全攻擊;

  (3)、靜態密碼的風險成本高,一旦洩密將可能造成最大程度的損失,而且在發生損失以前,通常不知道靜態密碼已經洩密;

  (4)、靜態密碼的使用和維護不便,特別一個使用者有幾個甚至十幾個靜態密碼需要使用和維護時,靜態密碼遺忘及遺忘以後所進行的掛失、重置等操作通常需要花費不少的時間和精力,非常影響正常的使用感受。

  因此,靜態密碼機制雖然使用和部署非常簡單,但從安全性上講,靜態密碼屬於單因素的身份認證方式,已無法滿足網際網路對於身份認證安全性的需求。

  2、企業/個人到底需要什麼樣的身份驗證方式?

  無論是確保個人資訊的隱私性,還是企業保護核心資料的安全性,採用全新的身份驗證方式已經是勢在必行。我們盤點了目前可以用的大部分身份驗證方式,除了靜態密碼之外,今天可以採用的身份驗證方式還有如下幾種:

  (1)、動態令牌

  動態令牌是用於產生動態口令的身份認證終端裝置,它需要配合後臺認證系統進行使用。動態口令也稱一次性口令。動態口令是變動的口令,其變動來源於產生口令的運算因子的變化,比如時間、次數、交易金額、對方帳號、交易流水號等資訊。動態口令的產生因子一般都採用多運算因子:其一為令牌的種子金鑰,它是代表使用者身份的識別碼,是固定不變的;其二為變動因子,正是這些變動因子的不斷變化,才產生了不斷變動的動態口令。

  動態令牌簡單、易用,且由於口令不斷變化,口令用過之後立即作廢,所以安全性較靜態口令有較大幅的提高,但仍比證書認證稍弱一些。它有多種形態,如硬體令牌、軟體令牌、手機令牌、簡訊令牌等,且應用範圍十分廣泛,它可以廣泛應用於銀行、證券、網遊、電子商務、電子政務、網路教育、企業資訊化等領域,可以保護多種型別的應用系統,如主機、各種網路裝置以及各種使用計算機、手機、電話、數字電視等作為操作終端的應用系統。

  (2)、智慧卡(IC卡)

  智慧卡(IC卡)內建積體電路晶片晶片中存有與使用者身份相關的資料,並封裝成外形與磁卡類似的卡片形式。智慧卡由專門的廠商通過專門的裝置生產,是不可複製的硬體。智慧卡由合法使用者隨身攜帶,登入時必須將智慧卡插入專用的讀卡器讀取其中的資訊,以驗證使用者的身份。

  智慧卡認證是通過智慧卡硬體不可複製來保證使用者身份不會被仿冒。然而由於每次從智慧卡中讀取的資料是靜態的,通過記憶體掃描或網路監聽等技術還是很容易擷取到使用者的身份驗證資訊,因此還是存在安全隱患。

  另外,智慧卡需要配合讀卡器使用,因此無論在易用性,還是在成本方面,都比動態令牌稍遜一籌。

  (3)、USB KEY

  USB KEY是一種USB介面的硬體裝置,它內建微控制器或智慧卡晶片,可以儲存使用者的金鑰或數字證書,利用USB KEY內建的密碼演算法實現對使用者身份的認證。基於USB KEY身份認證系統主要有兩種應用模式:一是基於衝擊/響應的認證模式,二是基於PKI體系的認證模式,目前運用在電子政務、網上銀行。由於USB KEY採用軟硬體相結合、一次一密的強雙因子認證模式,所以它的安全級別較動態令牌高。

  但是,USB KEY在使用時需要在客戶端安裝軟體,且需要插入到客戶端才能使用,對客戶端的介面有限制,所以應用範圍也受到了限制。因此USB KEY在易用性和應用範圍方面比動態令牌稍弱一些。

  (4)、生物識別技術

  生物識別技術是通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括:聲紋(d-ear)、指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特徵包括:簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高階生物識別技術;將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術;將血管紋理識別、人體氣味識別、 DNA識別等歸為“深奧的”生物識別技術,指紋識別技術目前應用廣泛的領域有門禁系統、微型支付等。

  採用生物識別技術進行身份認證時,必須在客戶端安裝採集生理特徵或行為方式的輸入裝置,它可能會存在誤認和誤拒的現象,可能會導致正確的使用者被拒絕訪問,而非法使用者被允許訪問等情況的發生。同時,它的應用範圍也有所限制,例如指紋、虹膜等識別技術就無法用在電話委託系統、電視遙控器等應用中。

  陳達強調,個人或企業可以根據其對應用安全等級的實際需求選擇相應的身份認證技術,例如,針對安全性要求很高的應用(如較大金額的網上交易等)中,可以選用USB KEY來進行身份認證;如果對於安全性要求一般,同時要求易用性的場合下,比如小額支付或移動網際網路身份認證,都可以選用動態令牌來進行身份認證。

  3、雙因素身份認證的原理與應用

  身份認證是在計算機網路中確認操作者身份的過程,對使用者的身份認證基本方法可以分為這三種:

    (1) 根據使用者所知道的資訊來證明使用者的身份,如靜態密碼等;
(2) 根據使用者所擁有的東西來證明使用者的身份,如動態令牌、智慧卡、USB Key等;
(3) 根據使用者所具有的生物特徵來證明使用者的身份,如指紋、虹膜、語音等。

  所謂的雙因素身份認證,就是將以上任意兩種認證方法結合起來,對使用者的身份進行認證。雙因素身份認證將進一步加強認證的安全性。目前使用比較廣泛的雙因素身份認證方案有:靜態口令 + 動態令牌;靜態口令 + USB KEY等。

  雙因素身份認證的應用領域十分廣泛,它可以廣泛應用於銀行、證券、網遊、電子商務、電子政務、網路教育、企業資訊化等領域,可以保護多種型別的應用系統,如主機、各種網路裝置以及各種使用計算機、手機、電話、數字電視等作為操作終端的應用系統。

  雙因素身份認證可以普及到使用者日常網站、論壇的登入中,使用者日常網站、論壇在採用雙因素身份認證方式時,可以採用網站、論壇原來的登入密碼作為一個認證因素,再將動態令牌、USB KEY等作為另外一個認證因素,構成雙因素認證機制。通過採用雙因素身份認證,可以為日常網站、論壇的登入提供更高安全級別的保障。

  雙因素身份驗證實現的難易程度要根據所選擇的認證因素型別來決定。目前使用比較廣的雙因素身份驗證方式有“靜態口令 + 動態令牌”和“靜態口令 + USB KEY”,這兩種方式都需要通過後端認證平臺和終端裝置配合起來實現的。採用不同型別的認證因素,對於普通使用者和企業的要求也不一樣。但是總的來說,目前的採用的雙因素身份驗證方案都較成熟,且已經有較多的應用經驗,所以實施起來並不複雜。從使用和維護的角度,對於普通使用者和企業來說,門檻也不高。

  相比較而言,動態令牌的實施部署和維護成本比較低,而USB KEY的實施維護成本非常高,同時,使用USB KEY需要使用者有較高的電腦專業知識。

  另外,雙因素身份驗證的成本也需要根據所選擇的認證因素型別來決定。雙因素身份驗證需要由後端認證平臺和終端裝置配合起來實現,所以成本也需要包含這兩方面。就目前的應用情況來看,主流的雙因素身份驗證方式的總體成本還是能讓大家接受的。

  4、完整的企業資料保護方案是這個樣子的……

  雙因素身份驗證主要在驗證使用者身份合法性方面起保護作用,以防止非法人員盜用、冒用合法使用者身份登入到應用系統進行非法操作。對於企業的資料安全,除了身份驗證保護之外,還需要從以下幾方面來確保企業的資料安全:

  (1)、資料加密。儲存有機密資料的移動裝置容易丟失或被盜,而通過公司網路或網際網路傳輸的資料可能會遭到擷取,這將會給企業重要資料帶來巨大風險。因此,對於重要、敏感資料,需要對資料進行加密之後再儲存或傳輸。資料加密可以採用各種加密演算法來實現。

  (2)、資料備份。資料備份對於保護企業資料安全來說,是十分必要的。如果由於系統故障、人為誤操作或其它因素導致的資料丟失,則需要通過備份的資料來恢復資料。

  (3)、資料丟失(洩漏)防護。目前,大多數企業比較關注外部威脅,而忽略了企業內部漏洞,特別是由於企業自身的行為無意引起的資料洩漏,例如資料儲存裝置(手提電腦、U盤等)的丟失造成的資料洩漏,已經給企業的資料安全帶來了巨大的威脅,這也加大了企業對資料洩漏防禦(DLP)技術的需求。

  (4)、資料保護其它措施。除了上述措施之外,企業還需要有合理的資料管理、資料保護策略和條例,來保護重要資料不受損害、竊取和篡改。

  5、雙因素身份驗證技術的未來

  陳達談到,隨著資訊化程度的深化、應用不斷變化以及客戶個性化需求的不斷提出,認證因素將呈多樣性的發展趨勢,同時,隨著移動通訊技術、雲端計算等各種新技術的發展,結合了這些新技術的雙因素身份驗證方案也將會得到廣泛的關注和應用。

  雙因素身份認證是在終端裝置和後臺認證系統配合下實現的,因此,未來的終端裝置將在易用性、形態多樣性、應用靈活性等方面得到進一步發展;而後臺認證系統將會朝著可以為各種認證終端裝置提供統一身份認證的方向發展,同時在效能、穩定性、相容互通性等方面將得到進一步提高。最後,陳達介紹說,目前飛天誠信已和Intel合作在國內首家推出了基於酷睿CPU的動態口令雲認證中心。

作者:kaduo
來源:it168網站
原文標題:靜態密碼已經”OUT” 探索身份驗證新方式


相關文章