自数据保护需求出现以来,密码就成为人们验证用户身份的主要工具。现在,越来越多的用户需要从各种移动设备访问信息,同时,存储在服务器和云中的信息也越来越多,这就给随时随地办公开展业务创造了更广阔的空间。
然而,出现漏洞的几率也会随之上升,因为黑客们也尝试染指这些重要信息。有时情急之下,用户会偏向于使用简单熟悉的密码来访问单位网络或是云存储。
今天,我们就来了解一下,为何开发和实施强大的双重身份验证系统是保护企业避开安全泄露事件的重要法宝。
什么是双重身份验证?
双重身份验证(又称为 2FA),比基本的用户名和密码安全防护模式多了一层身份验证和确认。不采用双重身份验证,您只需要输入用户名和密码就可以了。此时,密码是您拥有的唯一身份验证因素。但多个帐户共用同一个用户名和密码会加剧身份盗用的风险。
双重身份验证是公认保护敏感数据的最佳做法,而且有时在处理特定类型信息时法规会强制规定采用双重身份验证。
为何双重身份验证必不可少?
窃取密码等用户凭据是获得数据擅自访问权限的钥匙。拥有了凭据才能访问帐户,然后再攻击服务器或数据库,或是部署恶意软件,窃取敏感信息。如果用户对所有服务都采用唯一的强密码,那他们就不太需要部署双重身份验证。
但确定多个帐户的唯一强密码组成并牢牢记住该密码却又非常困难,因此,很多用户为了图方便而放弃了信息安全。Verizon《2014 年度数据泄露调查报告》发现,三分之二的泄露事件是因密码较弱或失窃导致。
如果采用 2FA,一个验证因素失守并不会让攻击者轻易获得数据访问权限。因为,如果密码是验证因素一,那即使密码较弱,另一个因素也可以继续保护您的安全。
双重身份验证如何运作?
双重身份验证是在基本登录流程后的额外一步,从而筑起两道防线,加大潜在黑客的攻击难度。总体而言,该方法可以大大降低黑客攻击的成功率。降低对密码的依赖性,有助提高用户体验,最终减少整个网络的漏洞。
不同的身份验证方法
要想实现“双重”身份验证,方法有很多,但大多都是在用户名/密码的基础上,再增加一个独立的验证因素。
目前,一共有三种常用的身份验证方法:
- 掌握的信息,例如密码、PIN 码、图案、数字密码、或其他只有用户知道的基于信息的验证内容
- 拥有的物品,例如智能卡、令牌、密钥、手机、虚拟智能卡或是其他电子设备,这些大多是用户可以随身携带的实体物品,且就用户而言具备唯一性
- 您自身的信息,例如指纹、声纹或视网膜
下文即是一些常用的双重身份验证示例:
- 用银行卡(拥有的物品)和 PIN 码(掌握的信息)在 ATM 上取款
- 用公司 IT 部门发放的硬件令牌(拥有的物品)生成一个具体的数字,然后利用这个数字以及用户名和密码(掌握的信息)登录公司网络
- 用智能手机或平板电脑上之前授权过的应用程序(拥有的物品),以及用户名和密码(掌握的信息)访问个人银行帐户
- 在提供用户名和密码(掌握的信息)访问多个安全网站时,指定一个电子邮件帐户(您对其有访问权限的物品)来接受确认信息
- 通过专用智能手机(拥有的物品)来通过 SMS 消息接受数字验证码,然后再利用该验证码和用户名/密码(掌握的信息),登录安全站点
注意:基于 SSH 密钥或 SSL 证书的登录也可视为双重身份验证,因为,您需要提供密钥(拥有的物品)和密码(掌握的信息)才能解锁。但是,服务器并不知道您是否使用了密码,因此,它也不会知道您采用的是双重身份验证还是单一验证。
两步验证 VS 双重身份验证
两步验证将登录名(包括密码)和用户对智能手机/固定电话的物理操作相结合,以此验证对帐户的授权访问。用户可以开始输入一个 ID 和密码登录安全服务,但之后必须通过与帐户关联的电话号码,经由 SMS 消息或是语音通话,获得一个一次性验证码 (OTC) 或是一次性密码 (OTP)。输入这个额外的一次性凭据后,用户就完成了第二个验证步骤,或是身份验证的第二个验证因素。这背后的运作原理是,只有知道帐户的正确密码,且能实际操作专用关联物品的人才能访问该帐户。
很多网站会在用户从新设备访问帐户时,通过这种方法来验证用户的身份。例如,用户购买了新的台式机,或是从新的移动设备或之前未使用过的其他设备上进行连接,可能就需要完成一个额外的身份验证步骤。
这种高级版的登录防护方法常被人们称为“两步验证”法。很多数据安全专家、媒体记者和网站编辑也将之称为“双重身份验证”,并经常将这两个术语互换使用。但行业中的其他人士,如加密专家和高级身份验证解决方案的开发人员,则认为“两步验证”和“双重身份验证”是两个不同的术语,并对其进行了严格区分。他们从安全基础架构和方法论角度列举了两者的根本不同点,有助于大家了解不同身份验证方法下数据的安全级别,以及不同身份验证方法对保护用户和企业远离黑客攻击的能力。
双重身份验证有多安全?
双重身份验证的安全效果实际上要取决于多种因素,如实施方法、部署场景,以及攻击者在尝试击破所选双重身份验证方法时可用的资源。
如何实施双重身份验证?
要想实现双重身份验证,最常用的方法大多是将用户名/密码和另一个独立的验证因素相结合。有些双重身份验证方法比较常用,但在实际使用过程中,也有一些需要特别注意的安全难题(如下文所示)。如要提高防护的严密度,可以采用两个以上验证因素,实现多重身份验证 (MFA)。
脱机一次性密码 (OTP) 生成器
脱机 OTP 生成器包括传统的 OTP 令牌,后者通常是一个硬件或软件,用于生成多位密码,以证明用户拥有此令牌生成器。令牌可以为生成器和服务器提供相同的对称密钥,并使用数学算法根据当前时间或计数器来生成一次性密码。这些解决方案非常适合部署在离散的硬件中,但也可以部署在可于移动设备上运行的软件中。此种方法下进行身份验证,生成器设备不需要联网。
此时,系统的安全性取决于下列关键要素:
- 种子的安全性:如果攻击者感染了用于验证密码的 OTP 生成器或服务器,并获得该种子的访问权限,系统的安全性就会遭到破坏。之后,攻击者就可以随时生成正确的 OTP,如果攻击者也可以控制身份验证的第一验证因素(用户名/密码),他就可以伪装成最终用户。
- 用于提交 OTP 的渠道安全性:如上文所述,OTP 生成器本身是脱机的,而 OTP 生成器创建的一次性密码则是由用户通过联网设备提交的。不幸的是,如果用于发送 OTP 的设备被恶意软件感染,或是用户在社交网站上当受骗,提交此信息至虚假 Web 站点,攻击者就能以用户的名义执行单一身份验证。
- 令牌硬件的安全性:确保将硬件令牌提供给正确的最终用户且未被拦截,是另一需要重点注意的环节!
除上文列出的需要特别注意的安全难题外,硬件 OTP 令牌还存在多个缺点:
- 可用性:最终用户必须从令牌设备上复制 OTP 到要求身份验证的设备上。正确转录 6 至 8 位密码对用户而言也是个难题。多次尝试失败后,用户会感到挫败,进而不再愿意使用 2FA。如果通过移动设备上的软件应用程序部署 OTP,可用性问题会更突出,因为用户必须从生成一次性密码的另一个设备和应用程序,切换到原先的设备和应用程序上以输入 OTP。
- 可部署性:如果是硬件 OTP 令牌,采购、配置和分发令牌至最终用户的成本或许会非常高。这就意味着,很多大型企业将只为一小部分用户部署 2FA。将移动设备用作 OTP 生成器可在一定程度上降低成本,但却会提高风险,让移动设备上的恶意软件可以窃取在 OTP 生成算法中用作种子的对称密钥。
- 可维护性:OTP 令牌还存在其他隐性成本。硬件令牌需要电池,而且用户可能会丢失、破坏或忘记令牌,而替换或部署临时令牌的成本却会很高。此外,有些硬件令牌还内置使用期限设置;从本质上而言,令牌属于易耗物品,在特定时间后就会失效。
尽管令牌可以提供基于硬件的安全防护,但它还是有一定的前提,那就是您相信您的供应商不会被感染,同时也相信您的用户不会随意输入 OTP,会保护 OTP 服务器上的 OTP 密钥,且不介意相关成本。移动设备(如手机)上的 OTP 生成器应用程序可以借助硬件令牌解决一些问题,但同时也会提高手机上的对称密钥被攻击者窃取的风险,且无实际操作手机的限制。
通过短信/语音发送一次性密码
相对于使用专用硬件令牌或是应用程序,有些供应商提供的解决方案可以通过短信(发送至用户知道的电话号码),向用户发送服务器生成的 OTP,或者是致电,通过文字转换语音合成技术,读出 OTP。
使用此解决方案时,系统的安全性取决于下列稍有不同的因素上:
- 用于交付 OTP 的渠道安全性:用于接收 OTP 的电话号码的所有权是本解决方案的关键安全因素。如果最终用户的手机失窃,而窃贼知道用户名和密码,他们就能伪装成最终用户。另外,攻击者也可以通过克隆手机的 SIM 卡,接收/接听最终用户的短信或电话。有时,攻击者可能通过社交方式诱骗电话公司或是服务提供商将短信或电话转到新号码上(例如,“我的手机丢了,可否帮忙把电话和短信转到 xxx-xxxx?”)。最后,用户可能会尝试安装软件来截取并转发 OTP 给攻击者,例如较为复杂的 Hesperbot 攻击中,攻击者就是利用这个手法来攻击网银。
- 用于提交 OTP 的渠道安全性:如果用户安全收到 OTP,但却将它输入进受感染的应用程序或是 Web 浏览器中,攻击者就能进行实时攻击,与服务提供商进行有效会话。
尽管部署和维护传统 OTP 生成器的问题可能可以通过短信和语音 OTP 解决方案得以避免,但可能还是会存在很多相同的可用性问题。它们依然存在以下缺点:
- 成本变动性:有时候,2FA 的成本可能会按发出的短信或拨出的电话进行计算。预测交易量或许会是个难点,因此,付出的成本也有可能会出现波动。这就给 IT 部门造成预算难题。
- 可靠性:手机必须归用户所有,用户也必须能够使用通过短信或语音电话送达的 OTP。这个问题可能在有些情况下尤为突出。例如,跨国漫游的用户就可能在短时间内接收不到短信,或者会产生额外的投递费用。有些情况下,运营环境可能会禁止使用手机或是存在干扰;尤其是医疗环境下,它的电磁屏蔽区域可能就相对比较严格。
多数情况下,短信是比较易于部署且相对比较便宜的渠道,因此,个人银行和个人 Internet 应用程序也比较偏向于采用这个方法。即便如此,短信使用起来还是不太方便,尤其是对只有手机版的应用程序而言,所以,它的安全性可能就没有预想中那么高。
基于推送通知的身份验证
推送通知解决方案采用专用移动应用程序来接收批准身份验证尝试的请求。
基于推送通知的身份验证解决方案的安全性取决于该解决方案的实施方式:
- 加密材料的安全性:移动应用程序可能会使用公钥加密,方便手机生成加密密钥,解决推送通知投递难的问题。或者,也可以使用对称加密(有些情况下,推送通知可作为常用 OTP 的另一层防护,该应用程序基本上可解决 OTP 可用性难题)。这类解决方案的安全性将取决于对称密钥、私钥、或是设备上收到的会话令牌的安全性。
- 用户投递推送通知所用渠道的安全性:取决于用户使用的具体推送通知服务。
基于推送通知的系统可以解决传统 OTP 生成器的部署和维护问题,以及短信和语音投递的 OTP 解决方案的成本问题。此外,它们还有一个优点,即审核身份验证请求所用的设备和渠道完全独立,与原先用于发出身份验证请求的渠道不相干。
但是,该解决方案还是存在一些问题:
- 可靠性:与短信和语音投递的 OTP 相同,基于推送通知的解决方案的有效性取决于数据连接的可靠性。然而,该解决方案一般不会在每次验证身份时都产生流量费用,因此成本相对不高。
- 设备安全性:有时,要感染用户帐户必须要拥有最终用户的设备;但有些解决方案可能不需要用户名和密码即可触发身份验证,而且可能不需要用户对手机进行身份验证即可批准身份验证请求。
要点
随在线业务以及远程访问需求的增加,以及攻击者的动机和攻击手段的演变,保护数据的需求只会逐渐上涨。
虽然我们可以加强用户教育并培训用户提高警惕,同时开发出更多方法来保护身份可识别信息远离攻击者,但用户对速度和便利性的追求往往还是会压倒对漏洞的意识。
使用双重身份验证为用户提供了一个主动防护层,帮助用户确保只有经过合法授权的人才能访问他们的敏感信息。
赛门铁克将通过双重身份验证为您提供哪些帮助?
赛门铁克强大的用户身份验证解决方案提供了便捷、安全、基于云的双重用户身份验证和公钥基础架构 (PKI) 服务,保护个人用户、业务合作伙伴以及员工之间的互动和线上身份安全。
赛门铁克身份验证和防护服务 (VIP) 让用户能够极为便利地通过智能手机或平板电脑验证登录。简单、智能、安全。