多因子身份驗證(MFA)技術盤點
用戶應注意到各種多因子身份驗證(MFA)方法的強項與弱點。
相比幾年之前,如今熟悉“兩步驗證”、“強身份驗證”、“2FA”、“MFA”等術語的人可是多了許多。通過增加至少1個除口令之外的驗證因子到身份驗證過程,多因子身份驗證(MFA)解決方案可以更好地保護用戶憑證并簡化口令管理。這些額外的驗證因子可以是你擁有的東西,比如令牌;或者你具備的東西,比如指紋或紅膜掃描;還可以是某些只有你才知道的東西,比如口令。由于憑證盜竊吸引了安全行業(yè)的更多關注,很多MFA解決方案一擁而上,涌入市場。于是,問題來了:所有MFA方法都一樣的有效嗎?
說實在話,實現(xiàn)MFA的方法多種多樣,安全效果自然也大相徑庭。我們不妨分析一下常見MFA方法,看看哪種驗證因子更為有效。
1. 一次性短信驗證碼(OTP)
用短信作為第二個身份驗證因子很是常見。用短信向用戶手機發(fā)送隨機的六位數(shù)字,于是理論上只有持有正確手機的人才能通過驗證,對吧?很不幸,答案是否定的。已有多種方法被證明可以黑掉OTP。比如說,2018年6月中旬,黑客就是通過短信攔截而黑掉了新聞娛樂網(wǎng)站Reddit。雖然黑客并未獲得太多個人信息(Reddit的事件響應工作很棒),還是暴露出了短信身份驗證碼并不像人們通常以為的那么安全。利用蜂窩網(wǎng)絡漏洞就能攔截短信。受害者手機上安裝的惡意軟件也能重定向短信到攻擊者的手機。對手機運營商的社會工程攻擊可以使攻擊者復制出與受害者手機號相關聯(lián)的新SIM卡,接收到受害者的OTP短信。實際上,美國標準與技術研究所(NIST)在2016年就不贊成使用短信身份驗證了,認為該方法不再是安全的身份驗證方法。但不幸的是,很多公司企業(yè)還在繼續(xù)依賴短信OTP,給用戶一種虛假的安全感。
2. 硬件令牌
作為現(xiàn)役MFA方法中的老大哥,硬件身份驗證令牌常以帶OTP顯示屏的密鑰卡的形式存在,硬件本身保護著其內部唯一密鑰。但硬件密鑰卡的缺陷也很明顯。首先,用戶不得不隨身攜帶這個額外的設備;其次,貴;再次,需要物流遞送;最后,必須不時更換。某些硬件令牌需要USB連接,在需要從手機或平板進行驗證的時候就很棘手了。
3. 手機令牌
手機令牌很大程度上與硬件令牌類似,但是通過手機應用實現(xiàn)的。手機令牌最大的優(yōu)勢在于用戶只需要帶個智能手機就行了,而智能手機現(xiàn)在基本屬于必備品,很多人忘帶鑰匙都不會忘帶手機。真正的問題是要審查密鑰進入手機的方式,也就是“激活過程”。以二維碼提供所有密鑰和憑證可不是個好主意,任何能復制你二維碼的人都能掌握你令牌的副本。
4. 基于推送的身份驗證令牌
一種脫胎于常見手機令牌和短信驗證碼的驗證令牌,運用安全推送技術進行身份驗證,因易用性提升而受到用戶歡迎。與短信不同,推送消息不含OTP,而是包含只能被用戶手機上特定App打開的加密信息。因此,用戶擁有上下文相關信息可供判斷登錄嘗試是否真實,然后快速同意或拒絕驗證。如果同意,用戶手機上的令牌應生成一個OTP,連同該同意授權一起發(fā)回以供驗證使用。不是所有MFA解決方案都這么做,也就增加了推送同意消息被摹寫和偽造的風險。
5. 基于二維碼的身份驗證令牌
基于推送的令牌需要手機的數(shù)據(jù)連接,基于二維碼的身份驗證則可以離線工作,通過二維碼本身來提供上下文信息。用戶以手機驗證App掃描屏幕上的二維碼,然后輸入該App根據(jù)密鑰、時間和上下文信息產生的OTP。用戶在此過程中體驗到的快捷方便很重要,是基于推送和基于二維碼的令牌得以迅速推廣開來的原因所在。
每種身份驗證方法都有其優(yōu)缺點,但人們選擇MFA解決方案時還會有些很有趣的考慮。比如說,大多數(shù)人會認為硬件令牌比使用推送和二維碼技術的手機令牌更安全。但實際情況卻并非如此。舉個例子,假設某個俄羅斯人試圖用偷來的憑證登錄某家公司的VPN。如果用戶使用硬件令牌,攻擊者可以給他打電話或發(fā)送網(wǎng)絡釣魚郵件,利用社會工程方法說服他給出OTP——很多用戶最終都會給的。但如果該用戶使用的是基于推送和二維碼技術的手機令牌,他會收到一條推送信息,稱:“您的賬號請求從位于俄羅斯的計算機連接您的VPN。是否同意?”那攻擊者就很難說服用戶同意這種離譜的連接請求了。
如您所見,身份驗證方法多種多樣,但并不是每一種都能給您同等的安全。基于推送的令牌可能比硬件令牌更有效,但不是所有基于推送的令牌都采用同樣的工作方式。推出MFA解決方案時要確保充分理解所選MFA方法的安全程度和風險等級。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
