無密碼身份認證,跟密碼說再見!
傳統賬號認證過程中,不管是靜態密碼、證書還是動態令牌,都需要把使用者持有的憑證傳輸到服務端進行驗證,但在驗證過程中存在偽造使用者憑證進行攻擊的風險。
基於以上問題,派拉軟體在統一身份管理系統中緊跟技術前沿,整合FIDO2協議以及AI行為分析模型,在保證使用者身份和裝置安全的同時可以進行無密碼登入,使得賬戶的安全性和便捷性同時得到保障。
根據Pew Research的統計,在2017年只有12%的受訪者使用密碼管理器,甚至有49%的受訪者把密碼寫在紙上。Verizon在《2018年資料洩露調查報告》中指出,81.1%的資料洩露事件都是由於密碼洩漏而引起的。為提高賬戶的安全性,賬號認證的安全方式共經歷了三次進化。
靜態密碼認證
安全行業有一個共識:密碼終將會消失。但是從目前的情況來看,密碼的壽命還會很長,甚至在數量上還有越來越多的趨勢。靜態密碼是由使用者自己設定的,一些人為方便記憶,將密碼設定為生日或是純數字,結果遭遇不法分子的輕鬆破解。目前,靜態密碼存在如下風險:
1.靜態密碼的易用性和安全性互相排斥,兩者不能兼顧,簡單容易記憶的密碼安全性弱,複雜的靜態密碼安全性高但是不易記憶和維護;
2.靜態密碼安全性低,容易遭受各種形式的安全攻擊;
3.靜態密碼的風險成本高,一旦洩密將可能造成最大程度的損失,而且在發生損失以前,通常不知道靜態密碼已經洩密;
4.靜態密碼的使用和維護不方便,特別一個使用者有幾個甚至十幾個靜態密碼需要使用和維護時,靜態密碼遺忘及遺忘以後所進行的掛失、重置等操作通常需要花費不少的時間和精力,非常影響正常的使用。
靜態密碼安全由於等級過低很容易被惡意人員或駭客猜到、破解,從而引發資訊洩露事件。有調查表明,超過80%的駭客入侵事件,都是利用了被盜口令或者弱口令,目前,身份竊取已成為駭客最主要的攻擊點。
安全裝置認證
為了進一步提高賬戶安全性,雙因素身份認證應運而生。最普遍的2FA方式就是簡訊驗證碼,OTP動態令牌,基於USBKey的CA認證等等。
簡訊驗證碼依賴信任手機和SIM卡以及運營商基站,但手機和SIM存在丟失、被盜,基站存在被偽造的情況,甚至駭客可以透過釣魚網站、中間人攻擊等手段獲取使用者正確的驗證碼,從而導致簡訊驗證碼驗證方式的安全性大打折扣;
OTP動態令牌,UsbKey CA證書使用獨立硬體作為身份認證的入口,要隨身帶硬體裝置並且依賴負責的後端伺服器來管理,成本較大且在使用過程中十分不便捷,同時,沒有統一的認證標準各個廠商各自維護自有協議。
生物特徵認證
為了賬戶的安全性和便捷性同時得到保障,使用人體特有的生物特徵作為驗證手段是非常有吸引力的,隨著計算機演算法的發展,生物特徵識別的準確率越來越精確,而生物識別的硬體裝置也越來越便宜高效,大部分手機廠商已經內建了豐富的生物識別裝置,使得生物特徵認證越來越受到歡迎。目前的一個趨勢是採用即插即用的本地身份認證,使用者的隱私、生物特徵資訊及其產生的私鑰儲存在可信裝置手機之中,具有更好的安全性、便捷性、適配性以及隱私保護性。
FIDO(Fast IDentity Online)
線上快速身份驗證聯盟立於2012年,它的目標是建立一套開放、可擴充套件的標準協議,支援對Web應用的非密碼安全認證,消除或減弱使用者對密碼的依賴。
FIDO認證主要是透過無密碼UAF和第二因子U2F來實現安全登入。
無密碼的UAF
使用者攜帶含有UAF的客戶裝置(通常手機或pc就已內建有采集裝置)
使用者出示一個本地的生物識別特徵(指紋、人臉、聲紋
網站可以選擇是否儲存密碼
使用者選擇一個本地的認證方案(例如按一下指紋、看一下攝像頭、對麥克說話,輸入一個PIN等)把他的裝置註冊到線上服務上去。只需要一次註冊,之後使用者再需要去認證時,就可以簡單的重複一個認證動作即可。使用者在進行身份認證時,不在需要輸入他們的密碼了。UAF也允許組合多種認證方案,比如指紋+PIN。
UAF適用於典型的2C業務場景,基於手機、平板、智慧手錶內建的生物識別裝置進行驗證無需增加其他裝置。
第二因子的U2F
使用者攜帶U2F裝置,瀏覽器支援這個裝置
使用者出示U2F裝置,瀏覽器讀取裝置證書
網站可以使用簡單的密碼(比如4個數字的PIN)
U2F是在現有的使用者名稱+密碼認證的基礎之上,增加一個更安全的認證因子用於登入認證。使用者可以像以前一樣透過使用者名稱和密碼登入服務,服務會提示使用者出示一個第二因子裝置來進行認證。U2F可以使用簡單的密碼(比如4個數字的PIN)而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB裝置上的按鍵或者放入NFC。
U2F適用於典型的2B業務場景,基本PC使用者的使用場景,企業可以為內部人員配備專業的FIDO裝置硬體用於應用系統的登入認證。
FIDO認證在整個身份協議棧位於身份鑑別層,派拉軟體IAM產品結合FIDO和基於AI行為分析技術,整個使用者登入過程如下:
1. 使用者登入,透過瀏覽器獲取手機APP,收集客戶端資訊、裝置指紋、上下文、地理位置等資訊,提交到服務端;
2. 服務端根據AI及大資料演算法模型,對客戶端資訊進行分析計算風險值,並根據不同的風險等級,讓客戶端採用不同安全等級的認證方式;
3. 客戶端收到認證請求後採用FIDO或其他認證提交認證憑據;
4. 服務端驗證透過,給客戶端頒發Token。
在網際網路時代下,個人生物特徵資料的敏感性對身份認證技術提出了更高的要求,堅持統一的身份認證規範和標準,打破壁壘才能真正實現開放共贏。近年來,隨著FIDO相關國際標準的釋出,FIDO聯盟也在吸引著越來越多的網際網路巨頭加入,FIDO將會在更多的專案產品中落地。
相關文章
- 密碼安全和無密碼身份認證那些事兒密碼
- 身份認證的盡頭竟然是無密碼 ?密碼
- 微軟賬戶將支援無密碼身份認證登入微軟密碼
- ssh無密碼登入認證失敗密碼
- redis配置認證密碼Redis密碼
- 無密碼身份驗證:安全、簡單且部署快速密碼
- 為什麼無密碼認證能夠有效密碼
- 無密碼身份驗證如何保障使用者隱私安全?密碼
- Redis使用認證密碼登入Redis密碼
- redis設定認證密碼操作Redis密碼
- SSH認證免密碼登入密碼
- MySQL密碼加密認證的簡單指令碼MySql密碼加密指令碼
- 1.6.5. 使用密碼檔案認證密碼
- 數字認證:密碼上雲之道密碼
- 無密碼驗證:客戶端密碼客戶端
- swift 郵箱、密碼、手機號、身份證驗證正則Swift密碼
- 作業系統認證與ORACLE密碼檔案認證方式作業系統Oracle密碼
- 靜態密碼已經”OUT”探索身份驗證新方式密碼
- jQuery Validate驗證確認密碼是否相同jQuery密碼
- Laravel5.3 Passport API 認證 密碼模式使用LaravelPassportAPI密碼模式
- 【重要】統一管理碎片程式碼,跟混亂程式碼說再見
- JQuery表單驗證(包括:使用者名稱,手機號,密碼,確認密碼,驗證碼60s)jQuery密碼
- 增強版實名認證介面-Java身份證實名認證介面程式碼-身份認證Java
- 1.6.5.1. 準備使用密碼檔案進行身份驗證密碼
- 用Perl來管理Apache驗證身份時所用的密碼(轉)Apache密碼
- 配置ssh-agent免密碼認證入門教程密碼
- 說說密碼檔案Passwordfile(一)密碼
- 說說密碼檔案Passwordfile(二)密碼
- 說說密碼檔案Passwordfile(三)密碼
- nginx配置kibana訪問使用者名稱和密碼認證、及無認證訪問配置Nginx密碼
- Oracle 密碼驗證方式Oracle密碼
- C++身份核驗介面程式碼、身份證OCR、身份證實名認證APIC++API
- 希爾密碼(hill密碼)密碼
- Oracle OS認證、口令檔案、密碼丟失處理Oracle密碼
- ssh免認證配置後還是提示輸入密碼密碼
- SSH無密碼驗證可能出現的問題密碼
- 密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案密碼
- ORACLE 密碼驗證函式Oracle密碼函式