本文講的是下一代雙因子身份認證什麼樣?,暴力破解攻擊可被各種形式的雙因子身份認證緩解,比如基于時間的令牌、短信和使用手機的身份認證。如今,新的競争者出現了:通用雙因子身份認證(U2F)。
U2F是線上快速身份認證(FIDO)聯盟支援的一個身份認證标準。FIDO聯盟成員涵蓋了技術産業頂級公司和廠商。
U2F協定通過一鍵激活的USB令牌裝置實作。U2F結合了質詢-響應身份認證和公鑰加密。伺服器向用戶端Web浏覽器發送質詢請求,浏覽器再向USB裝置送出請求。
該USB裝置随即亮燈,敦促使用者按下按鈕激活裝置。一旦被激活,裝置便會簽署質詢,向浏覽器傳回被簽名的資料,再交回給伺服器。
U2F機制以多種方式提供更強壯的安全。頂級制造商透露,該裝置主打硬體随機數産生功能,用于在注冊階段建立随機數。注冊過程中,伺服器會向裝置提供一個“AppId”。然後,該随機數和AppId,成為使用裝置中所存私鑰的散列消息認證函數(HMAC)的輸入參數。
HMAC的輸出,是特定于該個人服務的私鑰。該新産生的私鑰随後與AppId一起,再行HMAC,其産生的MAC與上述随機數組合形成“密鑰句柄”。一個公鑰便經由該新私鑰産生,并連同該密鑰句柄被傳回至伺服器。
通過身份認證,該服務向裝置發送AppId、密鑰句柄和質詢,裝置使用這些資料來産生同樣的私鑰以簽署質詢。然後,伺服器與公鑰比對被簽署的質詢,確定是經由正确的密鑰簽署的。令牌也有計數器,防止重播攻擊——伺服器需認證計數器數值大于之前收到的數字。
這就是確定U2F免遭網絡釣魚的過程。因為攻擊者必須知道AppId和密鑰句柄才可以成功冒充服務。另外,即便攻擊者入侵了不同服務的多個身份認證資料庫,因為每個服務都建立唯一的密鑰,攻擊者也就無法關聯裝置使用者了。這種做法可有效減小資料洩露漏洞的影響,比如心髒滴血、雲滴血和行錘擊(Rowhammer)。
廠商還寫了裝置認證證書,可用于認證令牌生産廠商。該證書由數字證書認證機構簽發,包含廠商和模型資訊。
U2F為基于時間的令牌提供了幾個優勢。不需要電池(除了基于藍牙的裝置),不會因時間漂移而同步失敗。私鑰存儲在無法抽取的裝置上,不會被克隆。
U2F加密狗價格普遍在10-20美元之間,有特殊安全需求的人士,也可以自己制作,成本大約5美元。DIY方式讓使用者可以對私鑰和認證證書生成擁有控制權。
僅使用USB令牌的方式隻針對計算機有效,限制了其在移動裝置上的使用。市場上也有一些U2F裝置除USB外還用近場通訊(NFC)或藍牙。對這些令牌僅有的擔憂,就是遺失。是以,建議多注冊幾個以備不時之需。
目前,谷歌Chrome和Opera都支援U2F。火狐浏覽器需要裝插件才支援U2F。測試中發現,有些伺服器端實作隻支援Chrome。
對U2F标準的采納,加速了很多使用它的Web服務,比如Facebook、整個谷歌平台、Dropbox和GitHub。U2F還能以 Linux Pam 子產品的形式實作。
U2F當然不能解決所有網絡安全問題,但肯定是在正确的方向上邁進。
原文釋出時間為:四月 12, 2017
本文作者:nana
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛