什么是开放环境?无边界或者已知边界不可控即为开放环境,互联网就是典型的开放环境,再例如:部署公开云服务、开启远程移动办公的环境,其传统网络边界已经被打破,也属于开放环境。
什么是双因素认证?Two-factor authentication,简称 2FA。双因素认证就是指,通过认证同时需要两个因素的证据。采用了基于时间、事件和密钥三个变量而产生的一次性密码来代替传统的静态密码。
身份验证因素是不同类型的身份验证方式。常用的一些身份因素包括以下4类:
1、了解的内容:仅限用户掌握的信息,如密码或某个安全问题的答案。
2、拥有的内容:拥有某个实际物品的用户。如身份证、钥匙,密码硬件钥匙或可以发送代码的移动设备。
3、生物特征数据:这些数据是一些可以用于用户身份验证的专属生物特征,如指纹、视网膜扫描和面部ID。
4、环境数据:可以用于限制某个地理区域内用户的身份验证,例如 GPS 等基于地点的工具,还有不同工作环境中的背景噪音数据等。
需要注意:使用两种相同身份验证因素并不符合双因素身份验证的条件。例如需要一个密码和安全问题wifi身份验证出问题,这其实是单因素身份验证。两者都与“了解的内容”这个因素有关。
目前常用手机短信息是双因素身份验证方式中最不安全的一种。短信息协议并非十分安全,而且短消息容易被拦截和伪造,SIM也可以克隆,更不用说伪基站等工具。
使用移动设备实施双因素身份验证还有其他更加安全的方式:TOTP 的全称是”基于时间的一次性密码”(Time-based One-time Password)。它是公认的可靠解决方案,已经写入国际标准 RFC6238。
例如:通过一款加密程度极高的安全应用程序发送验证代码。Google 等很多主要互联网服务使用基于时间的一次性密码 (TOTP)。有了基于时间的一次性密码,客户可以基于某一时刻创建一个临时的一次性代码(常常是在智能手机上运行一款应用程序)。这些代码的有效期很短,通常不到一分钟。攻击者很难在如此短的时间内截获并破译代码。
还有一种被称作“隔音”的新型双因素身份验证技术,这种技术需要使用移动设备和笔记本电脑内置麦克风收集的环境噪音。隔音的工作原理是对比环境噪音样本,以确保两台设备都在一个房间内。
如今越来越多地需要验证身份的环境使用生物特征信息(例如指纹或面部)作为第二个身份验证步骤,虽然这使双重身份验证更加便捷,甚至“安全”,但这种安全与生物体本身绑定,几乎无法改变,违背了“密码应当是可修改”的这一基本安全原则,因此,不推荐使用生物特征信息作为第二个身份验证步骤。
其实双因素认证最安全的还是物理设备加密码的方式,例如:银行卡就是最常见的双因素认证,用户必须同时提供银行卡和密码,才能取到现金。
在开放环境中,基于密码的安全性在攻击者面前不堪一击。窃取密码的手段数不胜数:网络窃听、中间人攻击、鱼叉攻击、水坑攻击、密码重用、认证重放、旁路猜解、暴力攻击等,因此wifi身份验证出问题,双因素身份验证应当作为开放环境中的标配安全措施。
现在零信任网络已经成为安全共识,笔者认为可以基于时间、事件和密钥三个变量产生第二身份验证因素,并将其作为零信任网络中微边界的安全基元数据,分别基于时间、事件和密钥来驱动网络安全自识别,天然具备抵御0day攻击的能力,同时摆脱传统网络边界中要MAC(强制访问控制)规则和RBAC(基于角色的访问控制)规则日益臃肿庞大的困境,在网络安全和网络效率间取得“鱼与熊掌兼得”的效果。
本文到此结束,希望对大家有所帮助!
