用戶(hù)應(yīng)注意到各種多因子身份驗(yàn)證(MFA)方法的強(qiáng)項(xiàng)與弱點(diǎn)。

[[247271]]

相比幾年之前，如今熟悉“兩步驗(yàn)證”、“強(qiáng)身份驗(yàn)證”、“2FA”、“MFA”等術(shù)語(yǔ)的人可是多了許多。通過(guò)增加至少1個(gè)除口令之外的驗(yàn)證因子到身份驗(yàn)證過(guò)程，多因子身份驗(yàn)證(MFA)解決方案可以更好地保護(hù)用戶(hù)憑證并簡(jiǎn)化口令管理。這些額外的驗(yàn)證因子可以是你擁有的東西，比如令牌;或者你具備的東西，比如指紋或紅膜掃描;還可以是某些只有你才知道的東西，比如口令。由于憑證盜竊吸引了安全行業(yè)的更多關(guān)注，很多MFA解決方案一擁而上，涌入市場(chǎng)。于是，問(wèn)題來(lái)了：所有MFA方法都一樣的有效嗎?

說(shuō)實(shí)在話(huà)，實(shí)現(xiàn)MFA的方法多種多樣，安全效果自然也大相徑庭。我們不妨分析一下常見(jiàn)MFA方法，看看哪種驗(yàn)證因子更為有效。

1. 一次性短信驗(yàn)證碼(OTP)

用短信作為第二個(gè)身份驗(yàn)證因子很是常見(jiàn)。用短信向用戶(hù)手機(jī)發(fā)送隨機(jī)的六位數(shù)字，于是理論上只有持有正確手機(jī)的人才能通過(guò)驗(yàn)證，對(duì)吧?很不幸，答案是否定的。已有多種方法被證明可以黑掉OTP。比如說(shuō)，2018年6月中旬，黑客就是通過(guò)短信攔截而黑掉了新聞娛樂(lè)網(wǎng)站Reddit。雖然黑客并未獲得太多個(gè)人信息(Reddit的事件響應(yīng)工作很棒)，還是暴露出了短信身份驗(yàn)證碼并不像人們通常以為的那么安全。利用蜂窩網(wǎng)絡(luò)漏洞就能攔截短信。受害者手機(jī)上安裝的惡意軟件也能重定向短信到攻擊者的手機(jī)。對(duì)手機(jī)運(yùn)營(yíng)商的社會(huì)工程攻擊可以使攻擊者復(fù)制出與受害者手機(jī)號(hào)相關(guān)聯(lián)的新SIM卡，接收到受害者的OTP短信。實(shí)際上，美國(guó)標(biāo)準(zhǔn)與技術(shù)研究所(NIST)在2016年就不贊成使用短信身份驗(yàn)證了，認(rèn)為該方法不再是安全的身份驗(yàn)證方法。但不幸的是，很多公司企業(yè)還在繼續(xù)依賴(lài)短信OTP，給用戶(hù)一種虛假的安全感。

2. 硬件令牌

作為現(xiàn)役MFA方法中的老大哥，硬件身份驗(yàn)證令牌常以帶OTP顯示屏的密鑰卡的形式存在，硬件本身保護(hù)著其內(nèi)部唯一密鑰。但硬件密鑰卡的缺陷也很明顯。首先，用戶(hù)不得不隨身攜帶這個(gè)額外的設(shè)備;其次，貴;再次，需要物流遞送;最后，必須不時(shí)更換。某些硬件令牌需要USB連接，在需要從手機(jī)或平板進(jìn)行驗(yàn)證的時(shí)候就很棘手了。

3. 手機(jī)令牌

手機(jī)令牌很大程度上與硬件令牌類(lèi)似，但是通過(guò)手機(jī)應(yīng)用實(shí)現(xiàn)的。手機(jī)令牌最大的優(yōu)勢(shì)在于用戶(hù)只需要帶個(gè)智能手機(jī)就行了，而智能手機(jī)現(xiàn)在基本屬于必備品，很多人忘帶鑰匙都不會(huì)忘帶手機(jī)。真正的問(wèn)題是要審查密鑰進(jìn)入手機(jī)的方式，也就是“激活過(guò)程”。以二維碼提供所有密鑰和憑證可不是個(gè)好主意，任何能復(fù)制你二維碼的人都能掌握你令牌的副本。

4. 基于推送的身份驗(yàn)證令牌

一種脫胎于常見(jiàn)手機(jī)令牌和短信驗(yàn)證碼的驗(yàn)證令牌，運(yùn)用安全推送技術(shù)進(jìn)行身份驗(yàn)證，因易用性提升而受到用戶(hù)歡迎。與短信不同，推送消息不含OTP，而是包含只能被用戶(hù)手機(jī)上特定App打開(kāi)的加密信息。因此，用戶(hù)擁有上下文相關(guān)信息可供判斷登錄嘗試是否真實(shí)，然后快速同意或拒絕驗(yàn)證。如果同意，用戶(hù)手機(jī)上的令牌應(yīng)生成一個(gè)OTP，連同該同意授權(quán)一起發(fā)回以供驗(yàn)證使用。不是所有MFA解決方案都這么做，也就增加了推送同意消息被摹寫(xiě)和偽造的風(fēng)險(xiǎn)。

5. 基于二維碼的身份驗(yàn)證令牌

基于推送的令牌需要手機(jī)的數(shù)據(jù)連接，基于二維碼的身份驗(yàn)證則可以離線(xiàn)工作，通過(guò)二維碼本身來(lái)提供上下文信息。用戶(hù)以手機(jī)驗(yàn)證App掃描屏幕上的二維碼，然后輸入該App根據(jù)密鑰、時(shí)間和上下文信息產(chǎn)生的OTP。用戶(hù)在此過(guò)程中體驗(yàn)到的快捷方便很重要，是基于推送和基于二維碼的令牌得以迅速推廣開(kāi)來(lái)的原因所在。

每種身份驗(yàn)證方法都有其優(yōu)缺點(diǎn)，但人們選擇MFA解決方案時(shí)還會(huì)有些很有趣的考慮。比如說(shuō)，大多數(shù)人會(huì)認(rèn)為硬件令牌比使用推送和二維碼技術(shù)的手機(jī)令牌更安全。但實(shí)際情況卻并非如此。舉個(gè)例子，假設(shè)某個(gè)俄羅斯人試圖用偷來(lái)的憑證登錄某家公司的VPN。如果用戶(hù)使用硬件令牌，攻擊者可以給他打電話(huà)或發(fā)送網(wǎng)絡(luò)釣魚(yú)郵件，利用社會(huì)工程方法說(shuō)服他給出OTP——很多用戶(hù)最終都會(huì)給的。但如果該用戶(hù)使用的是基于推送和二維碼技術(shù)的手機(jī)令牌，他會(huì)收到一條推送信息，稱(chēng)：“您的賬號(hào)請(qǐng)求從位于俄羅斯的計(jì)算機(jī)連接您的VPN。是否同意?”那攻擊者就很難說(shuō)服用戶(hù)同意這種離譜的連接請(qǐng)求了。

如您所見(jiàn)，身份驗(yàn)證方法多種多樣，但并不是每一種都能給您同等的安全?；谕扑偷牧钆瓶赡鼙扔布钆聘行?，但不是所有基于推送的令牌都采用同樣的工作方式。推出MFA解決方案時(shí)要確保充分理解所選MFA方法的安全程度和風(fēng)險(xiǎn)等級(jí)。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文