网络安全 频道

静态密码已经"OUT" 探索身份验证新方式

  【IT168 专稿 文/kaduo】2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网?近日,IT168安全频道就此话题专门采访了飞天诚信OTP产品总监陈达先生。

  1、传统“账号+密码”身份验证方式的优缺点

  传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面:

  (1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护;

  (2)、静态密码安全性低,容易遭受各种形式的安全攻击;

  (3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密;

  (4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。

  因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。

  2、企业/个人到底需要什么样的身份验证方式?

  无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种:

  (1)、动态令牌

  动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。

  动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大幅的提高,但仍比证书认证稍弱一些。它有多种形态,如硬件令牌、软件令牌、手机令牌、短信令牌等,且应用范围十分广泛,它可以广泛应用于银行、证券、网游、电子商务、电子政务、网络教育、企业信息化等领域,可以保护多种类型的应用系统,如主机、各种网络设备以及各种使用计算机、手机、电话、数字电视等作为操作终端的应用系统。

  (2)、智能卡(IC卡)

  智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。

  智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。

  另外,智能卡需要配合读卡器使用,因此无论在易用性,还是在成本方面,都比动态令牌稍逊一筹。

  (3)、USB KEY

  USB KEY是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB KEY内置的密码算法实现对用户身份的认证。基于USB KEY身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式,目前运用在电子政务、网上银行。由于USB KEY采用软硬件相结合、一次一密的强双因子认证模式,所以它的安全级别较动态令牌高。

  但是,USB KEY在使用时需要在客户端安装软件,且需要插入到客户端才能使用,对客户端的接口有限制,所以应用范围也受到了限制。因此USB KEY在易用性和应用范围方面比动态令牌稍弱一些。

  (4)、生物识别技术

  生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、 DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。

  采用生物识别技术进行身份认证时,必须在客户端安装采集生理特征或行为方式的输入设备,它可能会存在误认和误拒的现象,可能会导致正确的用户被拒绝访问,而非法用户被允许访问等情况的发生。同时,它的应用范围也有所限制,例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。

  陈达强调,个人或企业可以根据其对应用安全等级的实际需求选择相应的身份认证技术,例如,针对安全性要求很高的应用(如较大金额的网上交易等)中,可以选用USB KEY来进行身份认证;如果对于安全性要求一般,同时要求易用性的场合下,比如小额支付或移动互联网身份认证,都可以选用动态令牌来进行身份认证。

  3、双因素身份认证的原理与应用

  身份认证是在计算机网络中确认操作者身份的过程,对用户的身份认证基本方法可以分为这三种:

    (1) 根据用户所知道的信息来证明用户的身份,如静态密码等;
    (2) 根据用户所拥有的东西来证明用户的身份,如动态令牌、智能卡、USB Key等;
    (3) 根据用户所具有的生物特征来证明用户的身份,如指纹、虹膜、语音等。

  所谓的双因素身份认证,就是将以上任意两种认证方法结合起来,对用户的身份进行认证。双因素身份认证将进一步加强认证的安全性。目前使用比较广泛的双因素身份认证方案有:静态口令 + 动态令牌;静态口令 + USB KEY等。

  双因素身份认证的应用领域十分广泛,它可以广泛应用于银行、证券、网游、电子商务、电子政务、网络教育、企业信息化等领域,可以保护多种类型的应用系统,如主机、各种网络设备以及各种使用计算机、手机、电话、数字电视等作为操作终端的应用系统。

  双因素身份认证可以普及到用户日常网站、论坛的登录中,用户日常网站、论坛在采用双因素身份认证方式时,可以采用网站、论坛原来的登录密码作为一个认证因素,再将动态令牌、USB KEY等作为另外一个认证因素,构成双因素认证机制。通过采用双因素身份认证,可以为日常网站、论坛的登录提供更高安全级别的保障。

  双因素身份验证实现的难易程度要根据所选择的认证因素类型来决定。目前使用比较广的双因素身份验证方式有“静态口令 + 动态令牌”和“静态口令 + USB KEY”,这两种方式都需要通过后端认证平台和终端设备配合起来实现的。采用不同类型的认证因素,对于普通用户和企业的要求也不一样。但是总的来说,目前的采用的双因素身份验证方案都较成熟,且已经有较多的应用经验,所以实施起来并不复杂。从使用和维护的角度,对于普通用户和企业来说,门槛也不高。

  相比较而言,动态令牌的实施部署和维护成本比较低,而USB KEY的实施维护成本非常高,同时,使用USB KEY需要用户有较高的电脑专业知识。

  另外,双因素身份验证的成本也需要根据所选择的认证因素类型来决定。双因素身份验证需要由后端认证平台和终端设备配合起来实现,所以成本也需要包含这两方面。就目前的应用情况来看,主流的双因素身份验证方式的总体成本还是能让大家接受的。

  4、完整的企业数据保护方案是这个样子的……

  双因素身份验证主要在验证用户身份合法性方面起保护作用,以防止非法人员盗用、冒用合法用户身份登录到应用系统进行非法操作。对于企业的数据安全,除了身份验证保护之外,还需要从以下几方面来确保企业的数据安全:

  (1)、数据加密。保存有机密数据的移动设备容易丢失或被盗,而通过公司网络或互联网传输的数据可能会遭到截取,这将会给企业重要数据带来巨大风险。因此,对于重要、敏感数据,需要对数据进行加密之后再存储或传输。数据加密可以采用各种加密算法来实现。

  (2)、数据备份。数据备份对于保护企业数据安全来说,是十分必要的。如果由于系统故障、人为误操作或其它因素导致的数据丢失,则需要通过备份的数据来恢复数据。

  (3)、数据丢失(泄漏)防护。目前,大多数企业比较关注外部威胁,而忽略了企业内部漏洞,特别是由于企业自身的行为无意引起的数据泄漏,例如数据存储设备(手提电脑、U盘等)的丢失造成的数据泄漏,已经给企业的数据安全带来了巨大的威胁,这也加大了企业对数据泄漏防御(DLP)技术的需求。

  (4)、数据保护其它措施。除了上述措施之外,企业还需要有合理的数据管理、数据保护策略和条例,来保护重要数据不受损害、窃取和篡改。

  5、双因素身份验证技术的未来

  陈达谈到,随着信息化程度的深化、应用不断变化以及客户个性化需求的不断提出,认证因素将呈多样性的发展趋势,同时,随着移动通讯技术、云计算等各种新技术的发展,结合了这些新技术的双因素身份验证方案也将会得到广泛的关注和应用。

  双因素身份认证是在终端设备和后台认证系统配合下实现的,因此,未来的终端设备将在易用性、形态多样性、应用灵活性等方面得到进一步发展;而后台认证系统将会朝着可以为各种认证终端设备提供统一身份认证的方向发展,同时在性能、稳定性、兼容互通性等方面将得到进一步提高。最后,陈达介绍说,目前飞天诚信已和Intel合作在国内首家推出了基于酷睿CPU的动态口令云认证中心。

0
相关文章