2011年的互聯(lián)網(wǎng)密碼泄露事件剛剛過去不久，最近又據(jù)某站點在微博中爆出《頭條：疑上萬服務(wù)器賬號泄露》——部分漢化開源遠(yuǎn)程服務(wù)器管理軟件Putty、WinSCP、SSH Secure等被爆內(nèi)置后門，截至目前PuTTY后門服務(wù)器已有上萬賬戶泄露，管理員手中的海量數(shù)據(jù)面臨重大安全危機(jī)。

修改密碼，亡羊補(bǔ)牢

每一次面對密碼泄露事件之后，大凡給出的建議方案都是例如“建議盡快修改密碼，策略加固”之類的，以此避免短時間內(nèi)重復(fù)出現(xiàn)密碼泄露情況，算是亡羊補(bǔ)牢方案，無法解決密碼認(rèn)證自身的靜態(tài)屬性，只要存在偷盜，靜態(tài)密碼認(rèn)證機(jī)制即面臨其固有的風(fēng)險。由于各種盜竊技術(shù)五花八門，防不勝防，很多時候管理員無法控制服務(wù)器登陸密碼被盜。

是否有一種方法，即使非法用戶獲取了賬號密碼之后，仍然無法成功訪問我們管理的服務(wù)器資源？

嘗試考慮一次性密碼技術(shù)

一次性密碼技術(shù)絕對不是一個新的概念，簡而言之即根據(jù)特定算法計算出來隨即變化的密碼且一次使用有效，目前通行的是基于時間型的它每隔60/30秒變化一個密碼，然而在服務(wù)器登陸認(rèn)證場景下，它確實是最為合適的。

為什么這樣說？目前服務(wù)器一次性密碼認(rèn)證解決方法是在賬戶密碼認(rèn)證技術(shù)之上，再增加一層一次性密碼認(rèn)證，從而形成雙因子認(rèn)證，后門Putty/ WinSCP/SSH Secure通過植入木馬獲取用戶賬戶、密碼、一次性密碼信息并上傳至其服務(wù)器中，非法用戶利用盜竊的賬號、密碼、一次性密碼進(jìn)行非授權(quán)訪問，由于該一次性密碼已經(jīng)使用失效，因此仍然成功訪問服務(wù)器。

尤其像IDC、電信運(yùn)營商、網(wǎng)游、大型企業(yè)、政府、互聯(lián)網(wǎng)企業(yè)等，其服務(wù)器數(shù)量十分龐大，傳統(tǒng)定期為服務(wù)器修改高強(qiáng)度密碼方案可以減少猜測導(dǎo)致的非授權(quán)訪問幾率，但仍無法解決偷盜引起的非法登入，另一方面處理修改、遺忘而導(dǎo)致的重置密碼相關(guān)的IT管理成本日益增加，采用一次性密碼在提升服務(wù)器認(rèn)證安全同時亦可減少以上開銷。

在服務(wù)器管理上，目前通常采用硬件令牌作為一次性密碼生成器，由于密碼產(chǎn)生無需與服務(wù)器接觸，因此適合遠(yuǎn)程訪問服務(wù)器。

由于一次性密碼認(rèn)證借助Linux/UNIX內(nèi)置的PAM認(rèn)證，具體可參考寧盾的《用PAM結(jié)合動態(tài)密碼提升Linux服務(wù)器訪問安全》中提及的方案，需要增加的就是認(rèn)證服務(wù)器軟件，然后配置PAM認(rèn)證即可，同時它可以與服務(wù)器證書機(jī)制并存，進(jìn)一步提升訪問安全，越來越多的企業(yè)在服務(wù)器管理中已經(jīng)采用了一次性密碼方案。

以上是筆者實施過多家企業(yè)服務(wù)器一次性密碼認(rèn)證的一點淺薄心得，歡迎批評指正。