無密碼身份認證,跟密碼說再見!

派拉軟體發表於2021-07-16




圖片



傳統賬號認證過程中,不管是靜態密碼、證書還是動態令牌,都需要把使用者持有的憑證傳輸到服務端進行驗證,但在驗證過程中存在偽造使用者憑證進行攻擊的風險。


基於以上問題,派拉軟體統一身份管理系統中緊跟技術前沿,整合FIDO2協議以及AI行為分析模型,在保證使用者身份和裝置安全的同時可以進行無密碼登入,使得賬戶的安全性和便捷性同時得到保障。


根據Pew Research的統計,在2017年只有12%的受訪者使用密碼管理器,甚至有49%的受訪者把密碼寫在紙上。Verizon在《2018年資料洩露調查報告》中指出,81.1%的資料洩露事件都是由於密碼洩漏而引起的。為提高賬戶的安全性,賬號認證的安全方式共經歷了三次進化。


圖片

靜態密碼認證

安全行業有一個共識:密碼終將會消失。但是從目前的情況來看,密碼的壽命還會很長,甚至在數量上還有越來越多的趨勢。靜態密碼是由使用者自己設定的,一些人為方便記憶,將密碼設定為生日或是純數字,結果遭遇不法分子的輕鬆破解。目前,靜態密碼存在如下風險:


1.靜態密碼的易用性和安全性互相排斥,兩者不能兼顧,簡單容易記憶的密碼安全性弱,複雜的靜態密碼安全性高但是不易記憶和維護;

2.靜態密碼安全性低,容易遭受各種形式的安全攻擊;

3.靜態密碼的風險成本高,一旦洩密將可能造成最大程度的損失,而且在發生損失以前,通常不知道靜態密碼已經洩密;

4.靜態密碼的使用和維護不方便,特別一個使用者有幾個甚至十幾個靜態密碼需要使用和維護時,靜態密碼遺忘及遺忘以後所進行的掛失、重置等操作通常需要花費不少的時間和精力,非常影響正常的使用。


靜態密碼安全由於等級過低很容易被惡意人員或駭客猜到、破解,從而引發資訊洩露事件。有調查表明,超過80%的駭客入侵事件,都是利用了被盜口令或者弱口令,目前,身份竊取已成為駭客最主要的攻擊點。


安全裝置認證

為了進一步提高賬戶安全性,雙因素身份認證應運而生。最普遍的2FA方式就是簡訊驗證碼,OTP動態令牌,基於USBKey的CA認證等等。


簡訊驗證碼依賴信任手機和SIM卡以及運營商基站,但手機和SIM存在丟失、被盜,基站存在被偽造的情況,甚至駭客可以透過釣魚網站、中間人攻擊等手段獲取使用者正確的驗證碼,從而導致簡訊驗證碼驗證方式的安全性大打折扣;


OTP動態令牌,UsbKey CA證書使用獨立硬體作為身份認證的入口,要隨身帶硬體裝置並且依賴負責的後端伺服器來管理,成本較大且在使用過程中十分不便捷,同時,沒有統一的認證標準各個廠商各自維護自有協議。


生物特徵認證

為了賬戶的安全性和便捷性同時得到保障,使用人體特有的生物特徵作為驗證手段是非常有吸引力的,隨著計算機演算法的發展,生物特徵識別的準確率越來越精確,而生物識別的硬體裝置也越來越便宜高效,大部分手機廠商已經內建了豐富的生物識別裝置,使得生物特徵認證越來越受到歡迎。目前的一個趨勢是採用即插即用的本地身份認證,使用者的隱私、生物特徵資訊及其產生的私鑰儲存在可信裝置手機之中,具有更好的安全性、便捷性、適配性以及隱私保護性。



 FIDO(Fast IDentity Online)

線上快速身份驗證聯盟立於2012年,它的目標是建立一套開放、可擴充套件的標準協議,支援對Web應用的非密碼安全認證,消除或減弱使用者對密碼的依賴。

FIDO認證主要是透過無密碼UAF和第二因子U2F來實現安全登入。


圖片

無密碼的UAF

使用者攜帶含有UAF的客戶裝置(通常手機或pc就已內建有采集裝置)

使用者出示一個本地的生物識別特徵(指紋、人臉、聲紋

網站可以選擇是否儲存密碼

使用者選擇一個本地的認證方案(例如按一下指紋、看一下攝像頭、對麥克說話,輸入一個PIN等)把他的裝置註冊到線上服務上去。只需要一次註冊,之後使用者再需要去認證時,就可以簡單的重複一個認證動作即可。使用者在進行身份認證時,不在需要輸入他們的密碼了。UAF也允許組合多種認證方案,比如指紋+PIN。

UAF適用於典型的2C業務場景,基於手機、平板、智慧手錶內建的生物識別裝置進行驗證無需增加其他裝置。


圖片



第二因子的U2F

使用者攜帶U2F裝置,瀏覽器支援這個裝置


使用者出示U2F裝置,瀏覽器讀取裝置證書


網站可以使用簡單的密碼(比如4個數字的PIN)


U2F是在現有的使用者名稱+密碼認證的基礎之上,增加一個更安全的認證因子用於登入認證。使用者可以像以前一樣透過使用者名稱和密碼登入服務,服務會提示使用者出示一個第二因子裝置來進行認證。U2F可以使用簡單的密碼(比如4個數字的PIN)而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB裝置上的按鍵或者放入NFC。


U2F適用於典型的2B業務場景,基本PC使用者的使用場景,企業可以為內部人員配備專業的FIDO裝置硬體用於應用系統的登入認證。



圖片

FIDO認證在整個身份協議棧位於身份鑑別層,派拉軟體IAM產品結合FIDO和基於AI行為分析技術,整個使用者登入過程如下:




圖片




圖片






1. 使用者登入,透過瀏覽器獲取手機APP,收集客戶端資訊、裝置指紋、上下文、地理位置等資訊,提交到服務端;


2. 服務端根據AI及大資料演算法模型,對客戶端資訊進行分析計算風險值,並根據不同的風險等級,讓客戶端採用不同安全等級的認證方式;


3. 客戶端收到認證請求後採用FIDO或其他認證提交認證憑據;


4. 服務端驗證透過,給客戶端頒發Token。


在網際網路時代下,個人生物特徵資料的敏感性對身份認證技術提出了更高的要求,堅持統一的身份認證規範和標準,打破壁壘才能真正實現開放共贏。近年來,隨著FIDO相關國際標準的釋出,FIDO聯盟也在吸引著越來越多的網際網路巨頭加入,FIDO將會在更多的專案產品中落地。



圖片

相關文章