準(zhǔn)備好進(jìn)行更安全的身份驗證了嗎？請嘗試這些密碼替代方案和增強功能

Michael+Nadeau著+楊勇譯

關(guān)于使用密碼進(jìn)行身份驗證，最好的說法不過是——有總比沒有好。然而，像Equifax這樣引起普遍關(guān)注的泄露事件已經(jīng)暴露了數(shù)以百萬計的密碼和用戶ID，人們普遍質(zhì)疑這種稍有些贊美的說法。如果用戶認(rèn)識不到他們有些密碼已經(jīng)被泄露了，他們還會沉浸在虛假的安全感中，而這是非常危險的。

仍然依賴密碼身份驗證方式來訪問重要客戶和企業(yè)數(shù)據(jù)的公司同樣如此。只采用密碼的保護(hù)方式永遠(yuǎn)失效了，任何依賴這種方式的企業(yè)都將其業(yè)務(wù)和聲譽置于危險之中。即使避免了泄露事件，但由于Equifax事件，人們也越來越認(rèn)識到密碼保護(hù)有很多不足。如果這是您保護(hù)客戶數(shù)據(jù)所采用的方式，那么，客戶會再三考慮能不能信任您。

雙重身份驗證（2FA）、多重身份驗證（MFA）、行為分析和生物特征識別等替代方案已經(jīng)出現(xiàn)一段時間了，但采用率卻很低。日益惡化的威脅情形，以及越來越強的用戶意識減少了實施這些替代方案的障礙——障礙主要來自用戶抵制、復(fù)雜性和投資回報等因素。

所有這些替代方案都有可能被攻破，有的要比其他方式更容易攻破。IBM的X-Force紅色安全測試部高級管理顧問Dustin Heywood指出：“所有身份驗證方式，無論是指紋、人臉、虹膜掃描，所有這些都被分解成比特和字節(jié)，它們實際上是共享的秘密信息。”既然這些共享的秘密信息像密碼一樣以數(shù)字方式存儲，那么從理論上講完全可以竊取它們。不同之處在于，這做起來要難一些。

其目的是使犯罪分子很難獲取這些信息，以至于大多數(shù)網(wǎng)絡(luò)罪犯分子不得不去尋找其他更容易的攻擊方式。很多企業(yè)根據(jù)風(fēng)險、用戶考慮和被保護(hù)的數(shù)據(jù)的價值，組合使用了多種身份驗證方法，以達(dá)到合理的安全期望。

用戶認(rèn)識到了強身份驗證方式的價值

如果用戶抵制或者無動于衷，那么企業(yè)和面向用戶的網(wǎng)站采用的最好身份驗證計劃就可能會失敗。最近引人注目的泄露事件畢竟還是有一些積極的結(jié)果——用戶開始認(rèn)識到強身份驗證的價值，似乎更愿意接受一些由此帶來的不便。

獨立安全研究員Jessy Irwin認(rèn)為這種趨勢開始于2015年初的Anthem泄露事件?！坝脩魮?dān)心醫(yī)療信息被泄露?！倍鴮τ贓quifax，這類擔(dān)心還包括財務(wù)賬目。

雖然用戶更愿意接受更復(fù)雜的身份驗證方式來保護(hù)醫(yī)療和財務(wù)數(shù)據(jù)，但并不是所有的服務(wù)提供商都提供這類選擇。Irwin表示：“很多銀行，因為以前做過類似的工作，認(rèn)為與賬戶關(guān)聯(lián)的安全問題是第二個驗證要素，但事實并非如此。人們需要額外一層的保護(hù)，但卻不知道應(yīng)該打開什么。他們必須求助于客戶服務(wù)或者客戶代表，甚至是供應(yīng)鏈，來要求這些功能?！?/p>

缺乏要求增加安全層的機(jī)制，導(dǎo)致一些企業(yè)認(rèn)為沒有客戶對此有需求。Irwin表示：“有很多工作要做。人們知道自己有需求，但不知道到底需要什么。當(dāng)他們知道自己需要什么時，有時候卻沒有打開某些功能的選擇。這真是一場艱苦的戰(zhàn)斗?！?/p>

對競爭的擔(dān)憂阻礙了一些企業(yè)實施不同的身份驗證過程，因為這些過程可能會導(dǎo)致難以使用他們的服務(wù)。智能身份驗證提供商SecureAuth身份策略高級副總裁Robert Block表示：“當(dāng)涉及到用戶時，他們非常害怕會影響到用戶體驗。很大一部分原因是缺乏了解，實際上只要滿足合適的環(huán)境變量，總是有影響不大的方法?！?/p>

Block說：“用戶變得越來越聰明了。他們會問，‘如果我和你做生意，你能保護(hù)我的憑證嗎？你提供2FA嗎？如果是的話，我對這些方法有多少控制權(quán)？由于泄露事件的影響，如果還認(rèn)為用戶是懶惰的，不希望自己的用戶體驗被打斷，那么這種想法是錯誤的?！?/p>

實現(xiàn)更強身份驗證的難點不在于技術(shù)。Block說：“這涉及到人、過程和文化等因素。您能在周圍找到合適的人來決定哪些風(fēng)險是可以接受的嗎？我們要支持多少要素，怎樣把這些要素呈現(xiàn)給最終用戶？”

為能夠讓用戶接受，Block強調(diào)了靈活性?！盁o論您能承受什么樣的風(fēng)險，都應(yīng)該盡可能的靈活，這樣，最終用戶會覺得一切都在他們的掌控之中。”

只使用密碼身份驗證方式的危險之處

如果只使用密碼，那么對于黑客來說，破解或者竊取密碼和用戶ID易如反掌。即使您聽從建議，保護(hù)好這些密碼——也會如此。Irwin說：“有很多安全需求使得密碼變得更脆弱，而不是更強。很多人認(rèn)為，如果他們經(jīng)常性地更改密碼，那這就是良好的安全行為。其實不是。很多生成強密碼的規(guī)則反而不如以前了。這讓人更容易破解密碼。”

Irwin所指的規(guī)則已經(jīng)被廣泛使用了，它是基于國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）等標(biāo)準(zhǔn)組織早期的一些建議。NIST最近修訂了這些規(guī)則，以便更好地符合當(dāng)今威脅格局的現(xiàn)實，但大多數(shù)企業(yè)尚未采用這些規(guī)則。

Heywood說：“密碼的問題不在于密碼本身。它在某些方面實際很難處理。問題的關(guān)鍵在于密碼是一種共享的秘密信息。人們在網(wǎng)站之間重復(fù)使用密碼，所以您不僅依賴于您正在使用的網(wǎng)站的安全性，而且還依賴于您曾經(jīng)使用過密碼的每一個網(wǎng)站的安全性。秘密信息總是要被轉(zhuǎn)換的?！?/p>

密碼是使用很難進(jìn)行逆運算的哈希算法進(jìn)行轉(zhuǎn)換的。Heywood說，太多的網(wǎng)站使用的哈希算法已經(jīng)有幾十年的歷史了，而且曾被攻破過。使用目前的高速計算機(jī)，黑客比較容易對盜取的密碼進(jìn)行哈希逆運算?！艾F(xiàn)在有工作框架，可以利用這些框架，快速驗證這些憑證能否用于其他被攻破的網(wǎng)站，甚至實時驗證能否用于一些其他網(wǎng)站。”

為最大限度地降低密碼被攻破的風(fēng)險，越來越多的人使用密碼保管庫，借助于偽隨機(jī)發(fā)生器，使用很長的字符串對密碼進(jìn)行加密和隨機(jī)化處理。Heywood說：“一些偽隨機(jī)發(fā)生器由于實施不當(dāng)而被攻破了，但總比沒有好。”

雙重身份驗證：向前邁出的一小步

要求用戶除了密碼之外還要提供其他一些識別信息——這已成為安全驗證的最低標(biāo)準(zhǔn)。這些信息通常只有用戶自己知道，用于必須回答的安全問題，例如，“您的第一只狗叫什么名字”。也可以是通過短信發(fā)送到手機(jī)或者令牌設(shè)備（或者用戶擁有的設(shè)備）上的驗證碼。endprint

這里的“安全”是一個相對的概念。在Equifax泄露事件中，一些用戶的安全問題的答案也被攻破了。稍加思索，就很容易發(fā)現(xiàn)一些個人信息，比如母親婚前的名字或者某人出生的城市等。

通過短信發(fā)送驗證碼也好不到哪里。事實上，新的NIST指南警告說，黑客能夠攔截這些驗證碼。這在一定程度上是由于SS7（7號信令系統(tǒng)）固有的漏洞造成的，這是于1975年開發(fā)的一個協(xié)議，是電話網(wǎng)交換信息的基礎(chǔ)。利用這一漏洞的黑客可以訪問所有網(wǎng)絡(luò)流量。

Irwin說，SIM卡劫持事件也越來越多了。她說：“一名社交工程師會給AT&T或者Verizon客戶服務(wù)熱線打電話，假裝成要安裝新電話或者要對帳戶進(jìn)行更改的另一個人。他們現(xiàn)在可以控制設(shè)備的身份驗證，也能攔截短信密碼?！盜rwin指出，這種攻擊的目標(biāo)是黑客知道的有價值的用戶，比如比特幣帳戶，或者對重要數(shù)據(jù)有高級訪問權(quán)限的用戶。

使用令牌設(shè)備或者顯示驗證碼的令牌智能手機(jī)應(yīng)用程序會更安全一些。Irwin說：“您不必再依賴另一種機(jī)制來獲得驗證碼。黑客必須獲得您所擁有的特定的令牌，才能去攻擊第二個驗證因素。這工作量太大了。令牌是傳遞2FA驗證碼最強、最好的方法。”

對于用戶應(yīng)用程序來說，令牌的問題在于人們拒絕使用它們，因為這需要一臺單獨的設(shè)備和它們自己的應(yīng)用程序。Irwin說：“令牌可能還需要一些額外的工作?！彼J(rèn)為，如果用戶能更好地理解有什么好處，令牌應(yīng)用程序供應(yīng)商使其用起來更方便，那么它們將被更廣泛地采用。目前，傳遞驗證碼的令牌主要用在企業(yè)環(huán)境中。

無論是令牌還是智能手機(jī)，都要求擁有一種設(shè)備才能進(jìn)行訪問，這就避免了網(wǎng)絡(luò)犯罪帶來的損害。Edgewise網(wǎng)絡(luò)公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Harry Sverdlove說：“當(dāng)知道密碼的唯一方式是拿著一臺設(shè)備時，這就很難，甚至不可能發(fā)起大規(guī)模的攻擊。”

多重身份驗證：如果實施得好，會更強

MFA背后的想法是讓黑客更加難以訪問別人的賬戶。MFA通常需要一個用戶ID和密碼，一些您知道的東西，以及您擁有的東西。Heywood說：“如果已經(jīng)應(yīng)用了多重身份驗證，而我有你的密碼，那我就會去別的地方——在這些地方，管理員很懶，沒有使用多重身份驗證機(jī)制。MFA不是什么高招，但是除了專門的攻擊者之外，它對于阻止大部分攻擊還是非常有效的?！?/p>

MFA通常是一種分階段的過程，當(dāng)出現(xiàn)了警報時，會要求用戶提供額外的識別要素。它通常與基于風(fēng)險的身份驗證相結(jié)合使用。例如，用戶試圖從一臺新設(shè)備登錄，或者想訪問保護(hù)等級更高的區(qū)域的情況。Heywood說：“如果我經(jīng)常登錄看看我的收支情況，我的銀行一般不會要求提供第二個驗證要素。但如果我想把一千萬美元匯到英國，那他們會問我第一個孩子是誰，血型是什么，等等很多問題?！?/p>

Block說，從今年1月1日到10月5日，SecureAuth涉及到的驗證嘗試中的88%都是經(jīng)由第一個驗證要素處理的。他說：“為什么每次都要用第二個驗證要素給用戶增加負(fù)擔(dān)呢？”

Sverdlove說：“我們應(yīng)普及MFA的應(yīng)用。”他認(rèn)為，最可靠的方案應(yīng)包括用戶知道的東西（密碼、安全問題的答案）、您擁有的東西（智能手機(jī)、令牌設(shè)備）、您的位置，以及您自己的特征（生物識別、行為分析）等。

社交賬號登錄：可行但有風(fēng)險

相對于其他服務(wù)網(wǎng)站，谷歌、臉書、推特和Instagram這些大型社交媒體網(wǎng)站通常能更好地保護(hù)用戶ID和密碼數(shù)據(jù)。他們還提供2FA——至少作為一種選擇，并使用分析技術(shù)發(fā)現(xiàn)可能的非法登錄嘗試，一旦發(fā)現(xiàn)，就會要求提供更多的身份驗證信息。

有了社交賬號后，網(wǎng)站和移動應(yīng)用軟件允許人們使用他們的社交媒體帳戶進(jìn)行登錄，這通常作為標(biāo)準(zhǔn)密碼驗證的選項。用戶認(rèn)為這更多的是為了方便而不是為了提高安全性，但是網(wǎng)站和網(wǎng)絡(luò)服務(wù)提供商獲得了某種程度的安全驗證手段，否則他們可能沒有資源來實現(xiàn)自己的目標(biāo)。Jim Kaskade是JanRain的首席執(zhí)行官，其客戶身份和訪問管理系列解決方案包括了社交賬號登錄功能，他說，社交媒體網(wǎng)站和社交賬號身份服務(wù)提供商提供人員和技術(shù)來開發(fā)強大的身份驗證功能，為用戶身份提供現(xiàn)代化的保護(hù)。他說：“我們站在對安全作出了巨額投資的巨人的肩膀上。

社交賬號登錄的最大風(fēng)險是，用戶訪問過的所有網(wǎng)站，比如說谷歌，如果谷歌賬號被攻破，那么谷歌網(wǎng)站也將被攻破。攻擊者可以通過多種方式控制社交賬號：社交工程、創(chuàng)建虛假的個人資料，或者在暗網(wǎng)上購買用戶ID和密碼。用戶如果打開2FA等可選驗證功能，就能夠降低這方面的風(fēng)險，但很多用戶都沒有這樣做。

Irwin說：“社交賬號登錄很有趣，因為我們?yōu)槠浯蛟炝撕軓姷腛Auth。他們做兩件事：他們將您的社交媒體賬戶和服務(wù)聯(lián)系起來，而您不希望自己的社交媒體提供商參與其中，特別不希望他們有辦法有針對性的投放廣告?！彼a充說，社交媒體公司已經(jīng)擁有了太多的個人數(shù)據(jù)，甚至能夠以意想不到的方式使用這些數(shù)據(jù)。通過社交賬號登錄，這些公司就會有更多的信息，知道您在網(wǎng)上的所有人際關(guān)系。她說：“這不太好。有點令人不安?！?/p>

Irwin認(rèn)為社交賬號登錄在某些情況下也是有價值的。她說：“對于購物網(wǎng)站，或者用戶沒有設(shè)置好用戶名和密碼的網(wǎng)站，社交賬號登錄替用戶完成了他們應(yīng)做的很多工作。這不錯，但是也使社交媒體網(wǎng)站的密碼和用戶名變得非常、非常脆弱?！盜rwin說，那些對用戶有意見的家庭成員、家庭伴侶或者朋友有時會利用這個用戶的社交媒體賬號登錄來制造麻煩?！斑@可能是災(zāi)難性的。”

Kaskade認(rèn)為，巧妙實施社交賬號登錄驗證的公司能夠減輕這種方式帶來的相關(guān)風(fēng)險。例如，一家企業(yè)可以把社交賬號登錄作為“輕型”身份驗證方案的一部分，例如，使用臉書完成下載受控內(nèi)容等簡單服務(wù)，然后要求更高級別的安全登錄方式（例如，MFA）才能獲取更多的敏感信息，例如，訪問您的支票帳戶。endprint

他指出，即使銀行和醫(yī)療服務(wù)提供商也開始在可行的地方使用社交賬號登錄——這些機(jī)構(gòu)在保護(hù)個人數(shù)據(jù)方面受到了嚴(yán)格的監(jiān)管。他們這樣做會讓用戶感到很方便，減少了所謂的注冊和登錄疲勞，但他們顯然采用了其他身份驗證方式來增強社交賬號登錄方式。Janrain的社交賬號登錄產(chǎn)品支持通過設(shè)置用戶行為規(guī)則來增強安全性。Kaskade說：“如果有人從美國登錄，幾分鐘后又從中東登錄了，那就知道要通過簡單的規(guī)則集來增強MFA?！?/p>

生物特征識別：不像您想象的那么萬無一失

術(shù)語“生物特征識別”包括一系列身份驗證方法——掃描人的某些物理屬性，包括面部、眼睛的虹膜、心跳、靜脈圖案或者指紋等，以證明身份。這些屬性對個人來說是獨一無二的，但對于身份驗證目的，有利也有弊。

生物特征識別的一個優(yōu)點是它便于用戶使用。通過按壓拇指或者掃描面部，用戶不用記住密碼或者安全問題的答案，就能使用他們的設(shè)備或者服務(wù)。生物特征識別的缺點是絕非萬無一失。蘋果最新的面部識別技術(shù)被一張3D打印的臉破解了。不太先進(jìn)的人臉識別技術(shù)被驗證過的人的照片愚弄了。

一個人的生物特征數(shù)據(jù)是以數(shù)字檔案的方式存儲起來的，而這會被竊取。一旦出現(xiàn)這種情況，驗證就沒有用了。Sverdlove說：“我不是一個密碼迷，但您可以改變密碼。當(dāng)指紋被盜，面部信息被盜，DNA被盜時會發(fā)生什么？這些都是一成不變的，也是不可能改變的?！?/p>

竊取生物特征識別數(shù)據(jù)被認(rèn)為比竊取或者破解密碼更困難，盜賊要盜取個人生物特征識別數(shù)據(jù)的風(fēng)險也很低。如果盜賊以多個個人資料為目標(biāo)，那么風(fēng)險就會顯著增加。Sverdlove說：“存儲在交易所的數(shù)以百萬計的指紋將成為攻擊目標(biāo)。一旦被攻破了，就沒有任何挽回的余地了?！?/p>

Sverdlove建議，企業(yè)不要為生物特征識別數(shù)據(jù)只建立一個存儲庫。他說：“從過去的經(jīng)驗中吸取教訓(xùn)：不要把所有的東西都存儲在一個數(shù)據(jù)庫中。它會被偷的。”

基于風(fēng)險的身份驗證：不要密碼

密碼、MFA、社交賬號登錄和生物特征識別都把證明身份的責(zé)任落在了用戶身上?；陲L(fēng)險的身份驗證功能支持企業(yè)負(fù)起身份保證的責(zé)任。這不是一個新概念。例如，信用卡發(fā)卡機(jī)構(gòu)一直在使用基于風(fēng)險的分析方法，通過查找異常的交易模式來檢測欺詐行為。

設(shè)備度量，即行為生物特征識別，是基于風(fēng)險的一種身份驗證方式，旨在消除密碼。軟件分析打字模式、與屏幕的交互、設(shè)備IP地址或者地理位置，把這些數(shù)據(jù)和行為與特定用戶關(guān)聯(lián)起來。這種使用習(xí)慣的基本指標(biāo)信息是通過機(jī)器學(xué)習(xí)隨著時間推移而逐步建立起來的——盡管IP地址和位置等數(shù)據(jù)是直接從網(wǎng)絡(luò)中獲取的。

Block說：“您作為企業(yè)可以定義哪些地理位置是可接受的，哪些是不可接受的。我們開始記錄您作為一個個體是從哪里來的。我們繪制出您來自哪里，您的設(shè)備的瀏覽器類型，您可能使用的電話號碼，等等?！边@樣，軟件能夠確定呼叫是否來自某一地區(qū)已知的運營商。個人的設(shè)備使用習(xí)慣、基于風(fēng)險的身份驗證系統(tǒng)相結(jié)合，可以做出一個相當(dāng)準(zhǔn)確的決定：是否允許訪問而不需要密碼。

Irwin說：“您的最終用戶想，‘我不必再使用密碼了。這太好了，但是他們放棄了自己的超級私人信息，他們還不知道這些信息非常寶貴。您愿意應(yīng)用程序提供商知道您是怎樣使用手機(jī)的，您怎樣觸摸手機(jī)，您什么時候觸摸手機(jī)，您什么時候點擊“是”或者“否”嗎？我不希望打著我的名義來采集這些信息。有時這種情況會出現(xiàn)在應(yīng)用軟件里，主要是用于廣告目的?！?/p>

基于風(fēng)險的身份驗證并非萬無一失。人們的行為往往是可以預(yù)測的，但環(huán)境可能會導(dǎo)致變化，從而給欺詐提供了可以利用的偽造的結(jié)果。Sverdlove問道：“如果患了腕管綜合癥怎么辦？行為生物特征識別代表了將要應(yīng)用的另一種標(biāo)準(zhǔn)。它使用起來不應(yīng)該是排他的。”Sverdlove指出，一個人的數(shù)字行為指標(biāo)也可以被下定決心的罪犯分子欺騙或者改變，盡管不太容易。

打字或者屏幕滑動模式等指標(biāo)取決于用戶對設(shè)備的操作習(xí)慣。Block說：“鍵盤和屏幕指標(biāo)存在一些固有的問題，其中一些與應(yīng)用軟件密切相關(guān)。”這使得很難理解和解釋擊鍵行為。SecureAuth使用行為指標(biāo)，但也依賴基于硬件的指標(biāo)，例如，手機(jī)和設(shè)備類型。

找到最佳身份驗證策略

還沒有一種方法可以取代或者加強全系統(tǒng)的密碼身份驗證功能。企業(yè)應(yīng)采取基于風(fēng)險的方法，評估被保護(hù)數(shù)據(jù)的價值、被濫用的可能性，以及身份被竊取的后果。在大多數(shù)情況下，這意味著將身份驗證與應(yīng)用程序或者環(huán)境進(jìn)行匹配，并使用某種類型的MFA進(jìn)行備份。

例如，銀行可能要求客戶在登錄時只提供密碼。這樣，客戶可以看到他們賬戶的基本信息。如果客戶想要進(jìn)行交易，銀行則會要求更多的身份識別信息，例如驗證碼。同時，銀行使用行為分析軟件查看會話過程中的使用模式和設(shè)備指標(biāo)是否與該客戶相關(guān)信息相匹配。如果某些參數(shù)與預(yù)定參數(shù)不符，會要求進(jìn)一步的身份驗證，或者拒絕和限制訪問。

Block說：“我們認(rèn)為，在每一個身份驗證點，都應(yīng)該預(yù)先進(jìn)行一些風(fēng)險分析檢查，幫助您確定這個有效的用戶身份是否足夠可信，可以允許或者拒絕其訪問，或者使用另一個驗證要素對其進(jìn)一步進(jìn)行驗證?！彼a充說，SecureAuth的一些以消費者為中心的客戶正朝著這個方向發(fā)展，但整個行業(yè)還沒有這樣做。

大多數(shù)專家都認(rèn)為密碼不會很快消失，但確實有機(jī)會能夠減少人們需要管理的密碼數(shù)量，企業(yè)系統(tǒng)尤其如此。Block說：“我們已經(jīng)看到，企業(yè)要實行他們所謂的無密碼，而我要說是減少對密碼的依賴。如果他們的員工現(xiàn)在要管理20個不同的密碼，也許今后他們管理5個就可以了，其余的都是通過一些其他的基本身份驗證措施來進(jìn)行管理的?！眅ndprint