En 400-6655-581
5
返回列表
> 資源中心 > 技術(shù)干貨 | 動(dòng)態(tài)口令解讀及其應(yīng)用

技術(shù)干貨 | 動(dòng)態(tài)口令解讀及其應(yīng)用

2020-04-03瀏覽次數(shù):974

動(dòng)態(tài)口令(Dynamic Password)是根據(jù)專門的算法生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合,每個(gè)密碼只能使用一次。


動(dòng)態(tài)口令認(rèn)證就是在登錄過程中加入不確定因素,使每次登錄時(shí)傳送的認(rèn)證信息都不相同,以提高登錄過程安全性。動(dòng)態(tài)口令認(rèn)證技術(shù)消除了靜態(tài)口令認(rèn)證技術(shù)的大部分安全缺陷,能有效抵抗靜態(tài)口令認(rèn)證技術(shù)所面臨的主要安全威脅和攻擊,為網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供了更加安全可靠的用戶身份認(rèn)證保障。


動(dòng)態(tài)口令是變動(dòng)的口令,其變動(dòng)來源于產(chǎn)生口令的運(yùn)算因子是變化的。動(dòng)態(tài)口令的產(chǎn)生因子一般都采用雙運(yùn)算因子(two factor)


其一,為用戶的私有密鑰。它是代表用戶身份的識(shí)別碼,是固定不變的。

其二,為變動(dòng)因子。


正是變動(dòng)因子的不斷變化,才產(chǎn)生了不斷變動(dòng)的動(dòng)態(tài)口令。采用不同的變動(dòng)因子,形成了不同的動(dòng)態(tài)口令認(rèn)證技術(shù):

1. 基于時(shí)間同步(Time Synchronous)認(rèn)證技術(shù);

2. 基于事件同步(Event Synchronous)認(rèn)證技術(shù);

3. 挑戰(zhàn)/應(yīng)答方式的非同(Challenge/Response Asynchronous)認(rèn)證技術(shù)。


01
時(shí)間同步

基于令牌和服務(wù)器的時(shí)間同步,通過運(yùn)算來生成一致的動(dòng)態(tài)口令,基于時(shí)間同步的令牌,一般更新率為30秒/60秒,每30秒/60秒產(chǎn)生一個(gè)新口令。

02
事件同步

基于事件同步的令牌,其原理是通過某一特定的事件次序及相同的種子值作為輸入,在算法中運(yùn)算出一致的密碼,其運(yùn)算機(jī)理決定了其整個(gè)工作流程同時(shí)鐘無關(guān),不受時(shí)鐘的影響,但由于其算法的一致性,其口令是預(yù)先可知的,通過令牌,你可以預(yù)先知道今后的多個(gè)密碼,故當(dāng)令牌遺失且沒有使用PIN碼對(duì)令牌進(jìn)行保護(hù)時(shí),存在非法登陸的風(fēng)險(xiǎn),故使用事件同步的令牌,對(duì)PIN碼的保護(hù)是十分必要的。

03
挑戰(zhàn)/應(yīng)答

對(duì)于挑戰(zhàn)/應(yīng)答令牌,由于在令牌和服務(wù)器之間除相同的算法外沒有需要進(jìn)行同步的條件,故能夠有效地解決令牌失步的問題,降低對(duì)應(yīng)用的影響,同時(shí)極大地增加了系統(tǒng)的可靠性。挑戰(zhàn)/應(yīng)答令牌使用的缺點(diǎn)主要是在使用時(shí),用戶需多一個(gè)輸入挑戰(zhàn)值的步驟,對(duì)于操作人員,增加了復(fù)雜度,故在應(yīng)用時(shí),將根據(jù)用戶應(yīng)用的敏感程度和對(duì)安全的要求程度來選擇密碼的生成方式。


上述三種動(dòng)態(tài)口令身份認(rèn)證方式的性能比較見下表:




生成動(dòng)態(tài)口令的常見方式



目前主要用于動(dòng)態(tài)口令的生成方式主要有硬件令牌、手機(jī)APP令牌等方式:


硬件令牌


硬件令牌當(dāng)前較主流的技術(shù)方式是基于時(shí)間同步的方式,它每30秒/60秒變換一次動(dòng)態(tài)口令,動(dòng)態(tài)口令一次有效,它產(chǎn)生6位/8位動(dòng)態(tài)數(shù)字。硬件令牌已經(jīng)被市場(chǎng)接受,且有很多廠商使用。硬件令牌的優(yōu)點(diǎn)不僅非常安全,而且使用非常方便。



手機(jī)APP令牌


手機(jī)APP令牌是用來生成動(dòng)態(tài)口令的手機(jī)客戶端軟件,在生成動(dòng)態(tài)口令的過程中,不會(huì)產(chǎn)生任何通信及費(fèi)用,不存在通信信道中被截取的可能性。使用手機(jī)作為動(dòng)態(tài)口令生成的載體,即使欠費(fèi)和無信號(hào)對(duì)其都不產(chǎn)生任何影響,由于其在具有高安全性、零成本、無需單獨(dú)攜帶,在移動(dòng)互聯(lián)網(wǎng)的浪潮下,現(xiàn)代人出門及時(shí)忘了帶錢包,也不會(huì)忘記拿手機(jī),相比硬件令牌,手機(jī)APP令牌的成本更低、使用更便捷。





動(dòng)態(tài)口令的典型應(yīng)用



1. 身份認(rèn)證


在用戶進(jìn)行登錄認(rèn)證時(shí),目前主流的方式仍然是用戶名加密碼的方式進(jìn)行認(rèn)證。用戶的密碼過于簡(jiǎn)單或容易被猜中,用戶使用密碼存在不良習(xí)慣,都可能造成密碼的失竊。而用戶的密碼過于復(fù)雜,則極有可能造成用戶忘記密碼的情況發(fā)生。

使用動(dòng)態(tài)口令替代密碼,用戶在登錄認(rèn)證時(shí),只需要用戶名+動(dòng)態(tài)口令,即可完成認(rèn)證,用戶登錄時(shí),一次一密,用戶使用便捷,安全性也能得到提高。



2. 二次認(rèn)證


在用戶已經(jīng)登錄了之后,當(dāng)進(jìn)行一些較敏感、較重要的業(yè)務(wù)/數(shù)據(jù)操作時(shí),可以要求對(duì)用戶的身份進(jìn)行一次動(dòng)態(tài)口令方式的二次認(rèn)證,已登錄用戶必須再次輸入當(dāng)前登錄用戶所對(duì)應(yīng)的動(dòng)態(tài)口令,對(duì)用戶的身份進(jìn)行再次核驗(yàn),從而對(duì)敏感數(shù)據(jù)進(jìn)行二次保護(hù),能極大地提升系統(tǒng)的安全性。


3. 雙因素認(rèn)證


在傳統(tǒng)的用戶名+密碼的方式之上,引入動(dòng)態(tài)口令,進(jìn)行用戶名+密碼+動(dòng)態(tài)口令的雙因素認(rèn)證方式。相比傳統(tǒng)的用戶名+密碼方式,加入動(dòng)態(tài)口令進(jìn)行雙因素認(rèn)證,即使用戶名、密碼被泄露,但依然用戶的身份不被仿冒。

最常見的雙因素認(rèn)證場(chǎng)景為VPN的登錄認(rèn)證,采用雙因素認(rèn)證,能極大地保護(hù)內(nèi)部資源不被入侵。




派拉軟件新一代MFA產(chǎn)品ParaSecure Multi-Factor Authentication(MFA),采用微服務(wù)架構(gòu)設(shè)計(jì),除了提供OTP動(dòng)態(tài)口令服務(wù)外,更可提供各種生物特征識(shí)別如指紋、人臉、聲紋等認(rèn)證手段,安全連接云、員工、客戶、供應(yīng)鏈、物聯(lián)網(wǎng)。



更可基于用戶行為的風(fēng)險(xiǎn)識(shí)別,支持根據(jù)用戶所在地點(diǎn)、終端、訪問習(xí)慣等場(chǎng)景信息,制定差異化的認(rèn)證策略,利用大數(shù)據(jù)技術(shù)和AI算法,以身份數(shù)據(jù)為基礎(chǔ)建立風(fēng)險(xiǎn)引擎,引入風(fēng)險(xiǎn)模型算法,根據(jù)用戶訪問習(xí)慣、特征判別風(fēng)險(xiǎn)等級(jí),智能化身份識(shí)別驗(yàn)證。