IT 安全界似乎已经达成共识:用户往往是最薄弱的环节,人为错误或疏漏很容易就导致凭证被盗。事实上,凭证被盗引发了61%的数据泄露事件,由此产生的损失也增加了23%。那么如何降低这种风险呢?答案就是多因素认证(MFA),它是 IT 系统抵御安全漏洞的第一道防线,对于缺少安全策略的企业来说是最容易实现的安全措施。
本文将深入探讨多因素认证涉及的主要验证因素形式以及各种因素的特征,方便企业选择适合自己公司环境的多因素认证方案。
一、什么是验证因素?
在身份和访问管理(IAM)领域中,验证因素指用于确认用户身份的一种认证方式。例如,登录邮箱时,用户的邮箱地址就代表创建的身份。登录邮箱的密码就是一种验证因素,认证用户的邮箱身份。登录过程中包含的验证因素越多,安全性就越高。但是一味提高安全性对于用户来说可能反而是一种麻烦,因此 IT 管理员必须平衡安全性和用户体验。
二、最常见的三种验证因素
多因素认证中最常用的验证因素可以分为以下三类:
1、知识,也就是你知道的东西,如安全密保问题
2、持有物,也就是你拥有的东西,如 SMS 密码或硬件令牌
3、固有属性,也就是生理特征,如指纹或面部识别
业内也有人将验证因素分为五类,除了上述三种以外还包括用户所处的地理位置和用户行为。后两种因素不太常见,而且通常不够安全,因此本文将重点介绍前三种主要的验证因素。
三、知识因素:最不靠谱的安全措施
密码疲劳是当今社会真实存在的问题。在人人都有多设备、多账号的时代,管理所有账号多个密码、PIN 码和密保安全答案的确工作量巨大。这些知识因素占据了很多用户记忆存储的很大一部分。长此以往,用户就会选择最简单粗暴的方式——重复使用密码。
知识因素的问题可能要归结于人的天性:91%的用户了解重复使用密码的风险,但仍有 61%的人坚持这么做,原因在于人们比起安全漏洞更害怕忘记密码找回账号的麻烦。这也是为什么管理员需要在密码的基础上添加额外验证因素的原因。
四、持有物因素有哪些?
1)邮件和短信验证码
通过短信或邮件发送的验证码可以说是现在最普遍的第二验证因素,如果遇到恶意拦截,可能安全性也不是最高。此外,以移动网络或电子邮箱为目标的针对性攻击也比想象的更容易实施,而这类基本验证码也不能妥善应对。
2)基于时间的动态密码(TOTP)
TOTP 和邮件/短信验证码非常类似,但在安全性上却更胜一筹,主要归为以下2个原因:
a. 动态码是直接在用户所持设备上生成的,而且有严格的时间限制
b. 由于不涉及第三方网络且时间限制很短,潜在的违规风险大幅降低
3)推送通知
推送通知是复杂版的动态密码(TOTP),可以通过宁盾令牌 APP 轻松实现。用户无需输入动态密码(TOTP),只需在手机上确认身份认证的请求通知即可。
简单的一键确认不仅优化了用户体验,还能结合其他验证因素进一步提升安全性,例如 PIN 码、指纹或面部识别等。
4)硬件令牌
硬件令牌也称为通用第二因素(U2F)密钥,可以说是持有物因素中最安全的一种,除了丢失或被盗以外不存在其他的安全风险。用户可以将令牌直接插入设备或生成 TOTP 进行身份认证,比如宁盾硬件令牌就内置校验时钟和动态密码(TOTP)算法种子。
谷歌安全博客研究发现硬件令牌可以完全防止机器人暴力破解、批量网络钓鱼等针对性的账号接管攻击(ATO)。在基于硬件令牌的身份认证过程中,被盗凭证的可信权重显著降低。
除了安全优势之外,硬件令牌的使用也十分简单。USB形式的硬件令牌,终端用户需要插入系统后按下按钮,就能通过身份认证,快速访问授权资源。非插拔式的硬件令牌则需要及时输入令牌上生成的动态密码(TOTP)。
硬件令牌和其他持有物因素的一个重要区别在于,它将关键的安全措施与用户的个人设备分分离,进一步保障了企业的信息安全。
五、固有属性因素有哪些?
1)生物识别
与行为型生物特征不同,用户的物理生物特征无法更改且独立于任何设备,具体包括:
a. 指纹
b. 面部
c. 声纹
d. 虹膜或视网膜
在身份认证领域中,最常见的生物特征是指纹。虽然在技术上指纹也是可以伪造的,但要伪造成本很高,指纹识别技术也在不断改进。因此指纹通常被认为是一种比较安全的验证因素,尤其是和其他验证因素结合使用时安全性会进一步提升。
六、多因素认证和零信任
目前,78% 的 IT 安全企业认为自己缺乏足够的网络攻击防护,91% 的企业在今年增加了网络安全层面的预算。在网络犯罪愈演愈烈的今天,无论是弱密码还是被盗设备都有可能成为安全隐患,对于企业来说,最低限度的安全等于不安全。
这也是零信任安全策略的核心理念:对于一切未经认证的实体都不能信任。目前,业内认为零信任是一种最佳实践,尤其适合存在远程办公或混合场景的企业。
而建立零信任环境也离不开多因素认证(MFA),除了静态登录密码之外,用户只有通过二次认证才能获得信任,从而访问应用、设备、网络等 IT 资源。
![Asp.Net 验证[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)