IT 安全界似乎已經達成共識:使用者往往是最薄弱的環節,人為錯誤或疏漏很容易就導緻憑證被盜。事實上,憑證被盜引發了61%的資料洩露事件,由此産生的損失也增加了23%。那麼如何降低這種風險呢?答案就是多因素認證(MFA),它是 IT 系統抵禦安全漏洞的第一道防線,對于缺少安全政策的企業來說是最容易實作的安全措施。
本文将深入探讨多因素認證涉及的主要驗證因素形式以及各種因素的特征,友善企業選擇适合自己公司環境的多因素認證方案。
一、什麼是驗證因素?
在身份和通路管理(IAM)領域中,驗證因素指用于确認使用者身份的一種認證方式。例如,登入郵箱時,使用者的郵箱位址就代表建立的身份。登入郵箱的密碼就是一種驗證因素,認證使用者的郵箱身份。登入過程中包含的驗證因素越多,安全性就越高。但是一味提高安全性對于使用者來說可能反而是一種麻煩,是以 IT 管理者必須平衡安全性和使用者體驗。
二、最常見的三種驗證因素
多因素認證中最常用的驗證因素可以分為以下三類:
1、知識,也就是你知道的東西,如安全密保問題
2、持有物,也就是你擁有的東西,如 SMS 密碼或硬體令牌
3、固有屬性,也就是生理特征,如指紋或面部識别
業内也有人将驗證因素分為五類,除了上述三種以外還包括使用者所處的地理位置和使用者行為。後兩種因素不太常見,而且通常不夠安全,是以本文将重點介紹前三種主要的驗證因素。
三、知識因素:最不靠譜的安全措施
密碼疲勞是當今社會真實存在的問題。在人人都有多裝置、多賬号的時代,管理所有賬号多個密碼、PIN 碼和密保安全答案的确工作量巨大。這些知識因素占據了很多使用者記憶存儲的很大一部分。長此以往,使用者就會選擇最簡單粗暴的方式——重複使用密碼。
知識因素的問題可能要歸結于人的天性:91%的使用者了解重複使用密碼的風險,但仍有 61%的人堅持這麼做,原因在于人們比起安全漏洞更害怕忘記密碼找回賬号的麻煩。這也是為什麼管理者需要在密碼的基礎上添加額外驗證因素的原因。
四、持有物因素有哪些?
1)郵件和短信驗證碼
通過短信或郵件發送的驗證碼可以說是現在最普遍的第二驗證因素,如果遇到惡意攔截,可能安全性也不是最高。此外,以移動網絡或電子郵箱為目标的針對性攻擊也比想象的更容易實施,而這類基本驗證碼也不能妥善應對。
2)基于時間的動态密碼(TOTP)
TOTP 和郵件/短信驗證碼非常類似,但在安全性上卻更勝一籌,主要歸為以下2個原因:
a. 動态碼是直接在使用者所持裝置上生成的,而且有嚴格的時間限制
b. 由于不涉及第三方網絡且時間限制很短,潛在的違規風險大幅降低
3)推送通知
推送通知是複雜版的動态密碼(TOTP),可以通過甯盾令牌 APP 輕松實作。使用者無需輸入動态密碼(TOTP),隻需在手機上确認身份認證的請求通知即可。
簡單的一鍵确認不僅優化了使用者體驗,還能結合其他驗證因素進一步提升安全性,例如 PIN 碼、指紋或面部識别等。
4)硬體令牌
硬體令牌也稱為通用第二因素(U2F)密鑰,可以說是持有物因素中最安全的一種,除了丢失或被盜以外不存在其他的安全風險。使用者可以将令牌直接插入裝置或生成 TOTP 進行身份認證,比如甯盾硬體令牌就内置校驗時鐘和動态密碼(TOTP)算法種子。
谷歌安全部落格研究發現硬體令牌可以完全防止機器人暴力破解、批量網絡釣魚等針對性的賬号接管攻擊(ATO)。在基于硬體令牌的身份認證過程中,被盜憑證的可信權重顯著降低。
除了安全優勢之外,硬體令牌的使用也十分簡單。USB形式的硬體令牌,終端使用者需要插入系統後按下按鈕,就能通過身份認證,快速通路授權資源。非插拔式的硬體令牌則需要及時輸入令牌上生成的動态密碼(TOTP)。
硬體令牌和其他持有物因素的一個重要差別在于,它将關鍵的安全措施與使用者的個人裝置分分離,進一步保障了企業的資訊安全。
五、固有屬性因素有哪些?
1)生物識别
與行為型生物特征不同,使用者的實體生物特征無法更改且獨立于任何裝置,具體包括:
a. 指紋
b. 面部
c. 聲紋
d. 虹膜或視網膜
在身份認證領域中,最常見的生物特征是指紋。雖然在技術上指紋也是可以僞造的,但要僞造成本很高,指紋識别技術也在不斷改進。是以指紋通常被認為是一種比較安全的驗證因素,尤其是和其他驗證因素結合使用時安全性會進一步提升。
六、多因素認證和零信任
目前,78% 的 IT 安全企業認為自己缺乏足夠的網絡攻擊防護,91% 的企業在今年增加了網絡安全層面的預算。在網絡犯罪愈演愈烈的今天,無論是弱密碼還是被盜裝置都有可能成為安全隐患,對于企業來說,最低限度的安全等于不安全。
這也是零信任安全政策的核心理念:對于一切未經認證的實體都不能信任。目前,業内認為零信任是一種最佳實踐,尤其适合存在遠端辦公或混合場景的企業。
而建立零信任環境也離不開多因素認證(MFA),除了靜态登入密碼之外,使用者隻有通過二次認證才能獲得信任,進而通路應用、裝置、網絡等 IT 資源。
![Asp.Net 驗證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)