傳統(tǒng)賬號(hào)認(rèn)證過程中,不管是靜態(tài)密碼、證書還是動(dòng)態(tài)令牌,都需要把用戶持有的憑證傳輸?shù)椒?wù)端進(jìn)行驗(yàn)證,但在驗(yàn)證過程中存在偽造用戶憑證進(jìn)行攻擊的風(fēng)險(xiǎn)。
基于以上問題,派拉軟件在統(tǒng)一身份管理系統(tǒng)中緊跟技術(shù)前沿,集成FIDO2協(xié)議以及AI行為分析模型,在保證用戶身份和設(shè)備安全的同時(shí)可以進(jìn)行無(wú)密碼登錄,使得賬戶的安全性和便捷性同時(shí)得到保障。
根據(jù)Pew Research的統(tǒng)計(jì),在2017年只有12%的受訪者使用密碼管理器,甚至有49%的受訪者把密碼寫在紙上。Verizon在《2018年數(shù)據(jù)泄露調(diào)查報(bào)告》中指出,81.1%的數(shù)據(jù)泄露事件都是由于密碼泄漏而引起的。為提高賬戶的安全性,賬號(hào)認(rèn)證的安全方式共經(jīng)歷了三次進(jìn)化。
靜態(tài)密碼認(rèn)證
安全行業(yè)有一個(gè)共識(shí):密碼終將會(huì)消失。但是從目前的情況來(lái)看,密碼的壽命還會(huì)很長(zhǎng),甚至在數(shù)量上還有越來(lái)越多的趨勢(shì)。靜態(tài)密碼是由用戶自己設(shè)定的,一些人為方便記憶,將密碼設(shè)置為生日或是純數(shù)字,結(jié)果遭遇不法分子的輕松破解。目前,靜態(tài)密碼存在如下風(fēng)險(xiǎn):
1.靜態(tài)密碼的易用性和安全性互相排斥,兩者不能兼顧,簡(jiǎn)單容易記憶的密碼安全性弱,復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護(hù);
2.靜態(tài)密碼安全性低,容易遭受各種形式的安全攻擊;
3.靜態(tài)密碼的風(fēng)險(xiǎn)成本高,一旦泄密將可能造成最大程度的損失,而且在發(fā)生損失以前,通常不知道靜態(tài)密碼已經(jīng)泄密;
4.靜態(tài)密碼的使用和維護(hù)不方便,特別一個(gè)用戶有幾個(gè)甚至十幾個(gè)靜態(tài)密碼需要使用和維護(hù)時(shí),靜態(tài)密碼遺忘及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)不少的時(shí)間和精力,非常影響正常的使用。
靜態(tài)密碼安全由于等級(jí)過低很容易被惡意人員或黑客猜到、破解,從而引發(fā)信息泄露事件。有調(diào)查表明,超過80%的黑客入侵事件,都是利用了被盜口令或者弱口令,目前,身份竊取已成為黑客最主要的攻擊點(diǎn)。
安全設(shè)備認(rèn)證
為了進(jìn)一步提高賬戶安全性,雙因素身份認(rèn)證應(yīng)運(yùn)而生。最普遍的2FA方式就是短信驗(yàn)證碼,OTP動(dòng)態(tài)令牌,基于USBKey的CA認(rèn)證等等。
短信驗(yàn)證碼依賴信任手機(jī)和SIM卡以及運(yùn)營(yíng)商基站,但手機(jī)和SIM存在丟失、被盜,基站存在被偽造的情況,甚至黑客可以通過釣魚網(wǎng)站、中間人攻擊等手段獲取用戶正確的驗(yàn)證碼,從而導(dǎo)致短信驗(yàn)證碼驗(yàn)證方式的安全性大打折扣;
OTP動(dòng)態(tài)令牌,UsbKey CA證書使用獨(dú)立硬件作為身份認(rèn)證的入口,要隨身帶硬件設(shè)備并且依賴負(fù)責(zé)的后端服務(wù)器來(lái)管理,成本較大且在使用過程中十分不便捷,同時(shí),沒有統(tǒng)一的認(rèn)證標(biāo)準(zhǔn)各個(gè)廠商各自維護(hù)自有協(xié)議。
生物特征認(rèn)證
為了賬戶的安全性和便捷性同時(shí)得到保障,使用人體特有的生物特征作為驗(yàn)證手段是非常有吸引力的,隨著計(jì)算機(jī)算法的發(fā)展,生物特征識(shí)別的準(zhǔn)確率越來(lái)越精確,而生物識(shí)別的硬件設(shè)備也越來(lái)越便宜高效,大部分手機(jī)廠商已經(jīng)內(nèi)置了豐富的生物識(shí)別設(shè)備,使得生物特征認(rèn)證越來(lái)越受到歡迎。目前的一個(gè)趨勢(shì)是采用即插即用的本地身份認(rèn)證,用戶的隱私、生物特征信息及其產(chǎn)生的私鑰保存在可信設(shè)備手機(jī)之中,具有更好的安全性、便捷性、適配性以及隱私保護(hù)性。
FIDO(Fast IDentity Online)
在線快速身份驗(yàn)證聯(lián)盟立于2012年,它的目標(biāo)是創(chuàng)建一套開放、可擴(kuò)展的標(biāo)準(zhǔn)協(xié)議,支持對(duì)Web應(yīng)用的非密碼安全認(rèn)證,消除或減弱用戶對(duì)密碼的依賴。
FIDO認(rèn)證主要是通過無(wú)密碼UAF和第二因子U2F來(lái)實(shí)現(xiàn)安全登錄。
無(wú)密碼的UAF
用戶攜帶含有UAF的客戶設(shè)備(通常手機(jī)或pc就已內(nèi)置有采集設(shè)備)
用戶出示一個(gè)本地的生物識(shí)別特征(指紋、人臉、聲紋)
網(wǎng)站可以選擇是否保存密碼
用戶選擇一個(gè)本地的認(rèn)證方案(例如按一下指紋、看一下攝像頭、對(duì)麥克說話,輸入一個(gè)PIN等)把他的設(shè)備注冊(cè)到在線服務(wù)上去。只需要一次注冊(cè),之后用戶再需要去認(rèn)證時(shí),就可以簡(jiǎn)單的重復(fù)一個(gè)認(rèn)證動(dòng)作即可。用戶在進(jìn)行身份認(rèn)證時(shí),不在需要輸入他們的密碼了。UAF也允許組合多種認(rèn)證方案,比如指紋+PIN。
UAF適用于典型的2C業(yè)務(wù)場(chǎng)景,基于手機(jī)、平板、智能手表內(nèi)置的生物識(shí)別設(shè)備進(jìn)行驗(yàn)證無(wú)需增加其他設(shè)備。
第二因子的U2F
用戶攜帶U2F設(shè)備,瀏覽器支持這個(gè)設(shè)備
用戶出示U2F設(shè)備,瀏覽器讀取設(shè)備證書
網(wǎng)站可以使用簡(jiǎn)單的密碼(比如4個(gè)數(shù)字的PIN)
U2F是在現(xiàn)有的用戶名+密碼認(rèn)證的基礎(chǔ)之上,增加一個(gè)更安全的認(rèn)證因子用于登錄認(rèn)證。用戶可以像以前一樣通過用戶名和密碼登錄服務(wù),服務(wù)會(huì)提示用戶出示一個(gè)第二因子設(shè)備來(lái)進(jìn)行認(rèn)證。U2F可以使用簡(jiǎn)單的密碼(比如4個(gè)數(shù)字的PIN)而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB設(shè)備上的按鍵或者放入NFC。
U2F適用于典型的2B業(yè)務(wù)場(chǎng)景,基本PC用戶的使用場(chǎng)景,企業(yè)可以為內(nèi)部人員配備專業(yè)的FIDO設(shè)備硬件用于應(yīng)用系統(tǒng)的登錄認(rèn)證。
FIDO認(rèn)證在整個(gè)身份協(xié)議棧位于身份鑒別層,派拉軟件IAM產(chǎn)品結(jié)合FIDO和基于AI行為分析技術(shù),整個(gè)用戶登錄過程如下:
1. 用戶登錄,通過瀏覽器獲取手機(jī)APP,收集客戶端信息、設(shè)備指紋、上下文、地理位置等信息,提交到服務(wù)端;
2. 服務(wù)端根據(jù)AI及大數(shù)據(jù)算法模型,對(duì)客戶端信息進(jìn)行分析計(jì)算風(fēng)險(xiǎn)值,并根據(jù)不同的風(fēng)險(xiǎn)等級(jí),讓客戶端采用不同安全等級(jí)的認(rèn)證方式;
3. 客戶端收到認(rèn)證請(qǐng)求后采用FIDO或其他認(rèn)證提交認(rèn)證憑據(jù);
4. 服務(wù)端驗(yàn)證通過,給客戶端頒發(fā)Token。
在互聯(lián)網(wǎng)時(shí)代下,個(gè)人生物特征數(shù)據(jù)的敏感性對(duì)身份認(rèn)證技術(shù)提出了更高的要求,堅(jiān)持統(tǒng)一的身份認(rèn)證規(guī)范和標(biāo)準(zhǔn),打破壁壘才能真正實(shí)現(xiàn)開放共贏。近年來(lái),隨著FIDO相關(guān)國(guó)際標(biāo)準(zhǔn)的發(fā)布,F(xiàn)IDO聯(lián)盟也在吸引著越來(lái)越多的互聯(lián)網(wǎng)巨頭加入,F(xiàn)IDO將會(huì)在更多的項(xiàng)目產(chǎn)品中落地。