傳統(tǒng)賬號認(rèn)證過程中,不管是靜態(tài)密碼、證書還是動態(tài)令牌,都需要把用戶持有的憑證傳輸?shù)椒?wù)端進(jìn)行驗(yàn)證,但在驗(yàn)證過程中存在偽造用戶憑證進(jìn)行攻擊的風(fēng)險。
基于以上問題,派拉軟件在統(tǒng)一身份管理系統(tǒng)中緊跟技術(shù)前沿,集成FIDO2協(xié)議以及AI行為分析模型,在保證用戶身份和設(shè)備安全的同時可以進(jìn)行無密碼登錄,使得賬戶的安全性和便捷性同時得到保障。
根據(jù)Pew Research的統(tǒng)計(jì),在2017年只有12%的受訪者使用密碼管理器,甚至有49%的受訪者把密碼寫在紙上。Verizon在《2018年數(shù)據(jù)泄露調(diào)查報告》中指出,81.1%的數(shù)據(jù)泄露事件都是由于密碼泄漏而引起的。為提高賬戶的安全性,賬號認(rèn)證的安全方式共經(jīng)歷了三次進(jìn)化。
靜態(tài)密碼認(rèn)證
安全行業(yè)有一個共識:密碼終將會消失。但是從目前的情況來看,密碼的壽命還會很長,甚至在數(shù)量上還有越來越多的趨勢。靜態(tài)密碼是由用戶自己設(shè)定的,一些人為方便記憶,將密碼設(shè)置為生日或是純數(shù)字,結(jié)果遭遇不法分子的輕松破解。目前,靜態(tài)密碼存在如下風(fēng)險:
1.靜態(tài)密碼的易用性和安全性互相排斥,兩者不能兼顧,簡單容易記憶的密碼安全性弱,復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護(hù);
2.靜態(tài)密碼安全性低,容易遭受各種形式的安全攻擊;
3.靜態(tài)密碼的風(fēng)險成本高,一旦泄密將可能造成最大程度的損失,而且在發(fā)生損失以前,通常不知道靜態(tài)密碼已經(jīng)泄密;
4.靜態(tài)密碼的使用和維護(hù)不方便,特別一個用戶有幾個甚至十幾個靜態(tài)密碼需要使用和維護(hù)時,靜態(tài)密碼遺忘及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)不少的時間和精力,非常影響正常的使用。
靜態(tài)密碼安全由于等級過低很容易被惡意人員或黑客猜到、破解,從而引發(fā)信息泄露事件。有調(diào)查表明,超過80%的黑客入侵事件,都是利用了被盜口令或者弱口令,目前,身份竊取已成為黑客最主要的攻擊點(diǎn)。
安全設(shè)備認(rèn)證
為了進(jìn)一步提高賬戶安全性,雙因素身份認(rèn)證應(yīng)運(yùn)而生。最普遍的2FA方式就是短信驗(yàn)證碼,OTP動態(tài)令牌,基于USBKey的CA認(rèn)證等等。
短信驗(yàn)證碼依賴信任手機(jī)和SIM卡以及運(yùn)營商基站,但手機(jī)和SIM存在丟失、被盜,基站存在被偽造的情況,甚至黑客可以通過釣魚網(wǎng)站、中間人攻擊等手段獲取用戶正確的驗(yàn)證碼,從而導(dǎo)致短信驗(yàn)證碼驗(yàn)證方式的安全性大打折扣;
OTP動態(tài)令牌,UsbKey CA證書使用獨(dú)立硬件作為身份認(rèn)證的入口,要隨身帶硬件設(shè)備并且依賴負(fù)責(zé)的后端服務(wù)器來管理,成本較大且在使用過程中十分不便捷,同時,沒有統(tǒng)一的認(rèn)證標(biāo)準(zhǔn)各個廠商各自維護(hù)自有協(xié)議。
生物特征認(rèn)證
為了賬戶的安全性和便捷性同時得到保障,使用人體特有的生物特征作為驗(yàn)證手段是非常有吸引力的,隨著計(jì)算機(jī)算法的發(fā)展,生物特征識別的準(zhǔn)確率越來越精確,而生物識別的硬件設(shè)備也越來越便宜高效,大部分手機(jī)廠商已經(jīng)內(nèi)置了豐富的生物識別設(shè)備,使得生物特征認(rèn)證越來越受到歡迎。目前的一個趨勢是采用即插即用的本地身份認(rèn)證,用戶的隱私、生物特征信息及其產(chǎn)生的私鑰保存在可信設(shè)備手機(jī)之中,具有更好的安全性、便捷性、適配性以及隱私保護(hù)性。
FIDO(Fast IDentity Online)
在線快速身份驗(yàn)證聯(lián)盟立于2012年,它的目標(biāo)是創(chuàng)建一套開放、可擴(kuò)展的標(biāo)準(zhǔn)協(xié)議,支持對Web應(yīng)用的非密碼安全認(rèn)證,消除或減弱用戶對密碼的依賴。
FIDO認(rèn)證主要是通過無密碼UAF和第二因子U2F來實(shí)現(xiàn)安全登錄。
無密碼的UAF
用戶攜帶含有UAF的客戶設(shè)備(通常手機(jī)或pc就已內(nèi)置有采集設(shè)備)
用戶出示一個本地的生物識別特征(指紋、人臉、聲紋)
網(wǎng)站可以選擇是否保存密碼
用戶選擇一個本地的認(rèn)證方案(例如按一下指紋、看一下攝像頭、對麥克說話,輸入一個PIN等)把他的設(shè)備注冊到在線服務(wù)上去。只需要一次注冊,之后用戶再需要去認(rèn)證時,就可以簡單的重復(fù)一個認(rèn)證動作即可。用戶在進(jìn)行身份認(rèn)證時,不在需要輸入他們的密碼了。UAF也允許組合多種認(rèn)證方案,比如指紋+PIN。
UAF適用于典型的2C業(yè)務(wù)場景,基于手機(jī)、平板、智能手表內(nèi)置的生物識別設(shè)備進(jìn)行驗(yàn)證無需增加其他設(shè)備。
第二因子的U2F
用戶攜帶U2F設(shè)備,瀏覽器支持這個設(shè)備
用戶出示U2F設(shè)備,瀏覽器讀取設(shè)備證書
網(wǎng)站可以使用簡單的密碼(比如4個數(shù)字的PIN)
U2F是在現(xiàn)有的用戶名+密碼認(rèn)證的基礎(chǔ)之上,增加一個更安全的認(rèn)證因子用于登錄認(rèn)證。用戶可以像以前一樣通過用戶名和密碼登錄服務(wù),服務(wù)會提示用戶出示一個第二因子設(shè)備來進(jìn)行認(rèn)證。U2F可以使用簡單的密碼(比如4個數(shù)字的PIN)而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB設(shè)備上的按鍵或者放入NFC。
U2F適用于典型的2B業(yè)務(wù)場景,基本PC用戶的使用場景,企業(yè)可以為內(nèi)部人員配備專業(yè)的FIDO設(shè)備硬件用于應(yīng)用系統(tǒng)的登錄認(rèn)證。
FIDO認(rèn)證在整個身份協(xié)議棧位于身份鑒別層,派拉軟件IAM產(chǎn)品結(jié)合FIDO和基于AI行為分析技術(shù),整個用戶登錄過程如下:
1. 用戶登錄,通過瀏覽器獲取手機(jī)APP,收集客戶端信息、設(shè)備指紋、上下文、地理位置等信息,提交到服務(wù)端;
2. 服務(wù)端根據(jù)AI及大數(shù)據(jù)算法模型,對客戶端信息進(jìn)行分析計(jì)算風(fēng)險值,并根據(jù)不同的風(fēng)險等級,讓客戶端采用不同安全等級的認(rèn)證方式;
3. 客戶端收到認(rèn)證請求后采用FIDO或其他認(rèn)證提交認(rèn)證憑據(jù);
4. 服務(wù)端驗(yàn)證通過,給客戶端頒發(fā)Token。
在互聯(lián)網(wǎng)時代下,個人生物特征數(shù)據(jù)的敏感性對身份認(rèn)證技術(shù)提出了更高的要求,堅(jiān)持統(tǒng)一的身份認(rèn)證規(guī)范和標(biāo)準(zhǔn),打破壁壘才能真正實(shí)現(xiàn)開放共贏。近年來,隨著FIDO相關(guān)國際標(biāo)準(zhǔn)的發(fā)布,F(xiàn)IDO聯(lián)盟也在吸引著越來越多的互聯(lián)網(wǎng)巨頭加入,F(xiàn)IDO將會在更多的項(xiàng)目產(chǎn)品中落地。