用户应注意到各种多因子身份验证(MFA)方法的强项与弱点。
相比几年之前,如今熟悉“两步验证”、“强身份验证”、“2FA”、“MFA”等术语的人可是多了许多。通过增加至少1个除口令之外的验证因子到身份验证过程,多因子身份验证(MFA)解决方案可以更好地保护用户凭证并简化口令管理。这些额外的验证因子可以是你拥有的东西,比如令牌;或者你具备的东西,比如指纹或红膜扫描;还可以是某些只有你才知道的东西,比如口令。由于凭证盗窃吸引了安全行业的更多关注,很多MFA解决方案一拥而上,涌入市场。于是,问题来了:所有MFA方法都一样的有效吗?
说实在话,实现MFA的方法多种多样,安全效果自然也大相径庭。我们不妨分析一下常见MFA方法,看看哪种验证因子更为有效。
1. 一次性短信验证码(OTP)
用短信作为第二个身份验证因子很是常见。用短信向用户手机发送随机的六位数字,于是理论上只有持有正确手机的人才能通过验证,对吧?很不幸,答案是否定的。已有多种方法被证明可以黑掉OTP。比如说,2018年6月中旬,黑客就是通过短信拦截而黑掉了新闻娱乐网站Reddit。虽然黑客并未获得太多个人信息(Reddit的事件响应工作很棒),还是暴露出了短信身份验证码并不像人们通常以为的那么安全。利用蜂窝网络漏洞就能拦截短信。受害者手机上安装的恶意软件也能重定向短信到攻击者的手机。对手机运营商的社会工程攻击可以使攻击者复制出与受害者手机号相关联的新SIM卡,接收到受害者的OTP短信。实际上,美国标准与技术研究所(NIST)在2016年就不赞成使用短信身份验证了,认为该方法不再是安全的身份验证方法。但不幸的是,很多公司企业还在继续依赖短信OTP,给用户一种虚假的安全感。
2. 硬件令牌
作为现役MFA方法中的老大哥,硬件身份验证令牌常以带OTP显示屏的密钥卡的形式存在,硬件本身保护着其内部唯一密钥。但硬件密钥卡的缺陷也很明显。首先,用户不得不随身携带这个额外的设备;其次,贵;再次,需要物流递送;最后,必须不时更换。某些硬件令牌需要USB连接,在需要从手机或平板进行验证的时候就很棘手了。
3. 手机令牌
手机令牌很大程度上与硬件令牌类似,但是通过手机应用实现的。手机令牌最大的优势在于用户只需要带个智能手机就行了,而智能手机现在基本属于必备品,很多人忘带钥匙都不会忘带手机。真正的问题是要审查密钥进入手机的方式,也就是“激活过程”。以二维码提供所有密钥和凭证可不是个好主意,任何能复制你二维码的人都能掌握你令牌的副本。
4. 基于推送的身份验证令牌
一种脱胎于常见手机令牌和短信验证码的验证令牌,运用安全推送技术进行身份验证,因易用性提升而受到用户欢迎。与短信不同,推送消息不含OTP,而是包含只能被用户手机上特定App打开的加密信息。因此,用户拥有上下文相关信息可供判断登录尝试是否真实,然后快速同意或拒绝验证。如果同意,用户手机上的令牌应生成一个OTP,连同该同意授权一起发回以供验证使用。不是所有MFA解决方案都这么做,也就增加了推送同意消息被摹写和伪造的风险。
5. 基于二维码的身份验证令牌
基于推送的令牌需要手机的数据连接,基于二维码的身份验证则可以离线工作,通过二维码本身来提供上下文信息。用户以手机验证App扫描屏幕上的二维码,然后输入该App根据密钥、时间和上下文信息产生的OTP。用户在此过程中体验到的快捷方便很重要,是基于推送和基于二维码的令牌得以迅速推广开来的原因所在。
每种身份验证方法都有其优缺点,但人们选择MFA解决方案时还会有些很有趣的考虑。比如说,大多数人会认为硬件令牌比使用推送和二维码技术的手机令牌更安全。但实际情况却并非如此。举个例子,假设某个俄罗斯人试图用偷来的凭证登录某家公司的VPN。如果用户使用硬件令牌,攻击者可以给他打电话或发送网络钓鱼邮件,利用社会工程方法说服他给出OTP——很多用户最终都会给的。但如果该用户使用的是基于推送和二维码技术的手机令牌,他会收到一条推送信息,称:“您的账号请求从位于俄罗斯的计算机连接您的VPN。是否同意?”那攻击者就很难说服用户同意这种离谱的连接请求了。
如您所见,身份验证方法多种多样,但并不是每一种都能给您同等的安全。基于推送的令牌可能比硬件令牌更有效,但不是所有基于推送的令牌都采用同样的工作方式。推出MFA解决方案时要确保充分理解所选MFA方法的安全程度和风险等级。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】