多因子身份验证

1. 手机令牌

手机令牌很大程度上与硬件令牌类似,但是通过手机应用实现的。手机令牌最大的优势在于用户只需要带个智能手机就行了,而智能手机现在基本属于必备品,很多人忘带钥匙都不会忘带手机。真正的问题是要审查密钥进入手机的方式,也就是“激活过程”。以二维码提供所有密钥和凭证可不是个好主意,任何能复制你二维码的人都能掌握你令牌的副本。

2. 基于推送的身份验证令牌

一种脱胎于常见手机令牌和短信验证码的验证令牌,运用安全推送技术进行身份验证,因易用性提升而受到用户欢迎。与短信不同,推送消息不含OTP,而是包含只能被用户手机上特定App打开的加密信息。因此,用户拥有上下文相关信息可供判断登录尝试是否真实,然后快速同意或拒绝验证。如果同意,用户手机上的令牌应生成一个OTP,连同该同意授权一起发回以供验证使用。不是所有MFA解决方案都这么做,也就增加了推送同意消息被摹写和伪造的风险。

3. 基于二维码的身份验证令牌

基于推送的令牌需要手机的数据连接,基于二维码的身份验证则可以离线工作,通过二维码本身来提供上下文信息。用户以手机验证App扫描屏幕上的二维码,然后输入该App根据密钥、时间和上下文信息产生的OTP。用户在此过程中体验到的快捷方便很重要,是基于推送和基于二维码的令牌得以迅速推广开来的原因所在。

每种身份验证方法都有其优缺点,但人们选择MFA解决方案时还会有些很有趣的考虑。比如说,大多数人会认为硬件令牌比使用推送和二维码技术的手机令牌更安全。但实际情况却并非如此。举个例子,假设某个俄罗斯人试图用偷来的凭证登录某家公司的VPN。如果用户使用硬件令牌,攻击者可以给他打电话或发送网络钓鱼邮件,利用社会工程方法说服他给出OTP——很多用户最终都会给的。但如果该用户使用的是基于推送和二维码技术的手机令牌,他会收到一条推送信息,称:“您的账号请求从位于俄罗斯的计算机连接您的VPN。是否同意?”那攻击者就很难说服用户同意这种离谱的连接请求了。

如您所见,身份验证方法多种多样,但并不是每一种都能给您同等的安全。基于推送的令牌可能比硬件令牌更有效,但不是所有基于推送的令牌都采用同样的工作方式。推出MFA解决方案时要确保充分理解所选MFA方法的安全程度和风险等级。