使用一次性密碼會給企業帶來數據風險
使用一次性密碼(OTP)作為身份驗證的第二個因素的驗證方法越來越普及,但是一些安全專家警告說,如果這些密碼沒有得到良好部署,可能會讓企業比完全沒有使用一次性密碼的企業更加不安全,一些批評家將Facebook部署一次性密碼作為典型的例子。
Facebook近日向用戶宣布,現在他們可以使用移動電話來通過短信接收一次性密碼,可以使用一次性密碼在20分鐘中內登錄他們的帳戶,用戶可以在他們不信任的計算機上考慮使用這種密碼登錄。
“可以說,Facebook的這個方法讓用戶的帳號更加不安全了。如果你離開你的電腦或者當登錄到Facebook時,沒有鎖上你的手機,其他人就可以訪問你的帳戶,并且將手機更改為其他手機來控制,”Sophos公司的高級安全顧問Chet Wisniewski表示,他還補充道,大部分人的手機都沒有啟用密碼保護,而手機又非常容易丟失。“現在我們可以隨時隨地遠程訪問網絡,Facebook認為這個功能可以為在圖書館、網吧和機場的用戶提供‘安全’的方式來登錄帳戶,而不會讓你的信息暴露給可能安裝在這些計算機上的惡意軟件。”
根據RSA公司的產品營銷經理Rachael Stockton表示,并不是所有的一次性密碼都是以相同方法創建的。
“有的方法比其他方法更加安全。短信比其他驗證方法更加容易被破解,”她表示,“硬件和軟件一次性密碼一般都被認為比短信傳動的一次性密碼更加安全,但是這些驗證方法都應該作為安全保護分層方法的一部分,包括基于風險的身份驗證等。”
當你在選擇適合的方法時,Stockton建議決策要點應該放在必要的安全水平、需要保護的信息的價值、便于最終用戶使用以及一次性密碼形成因素的成本等。
部署一次性密碼的企業應該考慮提供一個以上的OTP形成因素,她表示,“當企業為不同的用戶群部署一次性密碼時,他們需要考慮提供多種選擇的身份驗證形式和方法,畢竟不同用戶群要求各不相同,”Stockton表示,“短信獲取密碼可能對于某些用戶很便利,但對于那些手機經常不在身邊的人就不便利了。此外,他們還需要考慮現在和將來,他們所需要支持的大量應用程序,并且確保他們的解決方案能夠整合所有這些應用程序。”
同時,不管選擇的是哪種一次性密碼或者企業的規模有多大,一次性密碼都只是確保機器和帳戶安全的保護生態系統的一部分,而不是全部。
“最后,不管公司是向大型還是小型企業部署一次性密碼,他們都需要部署擁有強大管理控制能力的系統,考慮到配置、管理、報告和審計這些重要業務資產的重要性,”Stockton表示。
Sophos公司的Wisniewski認為,一次性密碼應該能夠在更好的身份驗證發展方面發揮重要的作用,但與此同時,大家也不能把它當作是安全的靈丹妙藥。
“多因素身份驗證是保護可信任計算機和安全地遠程訪問網絡的很棒的方法,”他表示,“多因素身份管理并不能解決所有問題,但是能夠解決密碼被共享和被破解的問題。”
與Stockton的意見一樣,他警告說,一次性密碼和其他多因素身份驗證的方法只有在不容易受到漏洞攻擊的系統中發揮強大的作用。
“多因素身份驗證方法并不能解決數據盜竊惡意軟件將信息發送給網絡罪犯的問題。如果你使用密碼的計算機已經受到惡意軟件的感染,那么你是使用常用密碼登錄還是一次性密碼登錄都是一樣,”Wisniewski表示,“一旦計算機被攻擊,你可能可以通過使用一次性密碼來保護你的密碼,但是你訪問或者輸入的所有數據都出于威脅之中。如果系統非常重要,而你需要遠程訪問該系統,并且你愿意部署額外的身份驗證方法,那么被訪問的數據可能太重要以至于不應該冒著數據可能被惡意軟件截取的風險。”
【編輯推薦】
