準備好進行更安全的身份驗證了嗎？請嘗試這些密碼替代方案和增強功能

Michael+Nadeau著+楊勇譯

關于使用密碼進行身份驗證，最好的說法不過是——有總比沒有好。然而，像Equifax這樣引起普遍關注的泄露事件已經暴露了數以百萬計的密碼和用戶ID，人們普遍質疑這種稍有些贊美的說法。如果用戶認識不到他們有些密碼已經被泄露了，他們還會沉浸在虛假的安全感中，而這是非常危險的。

仍然依賴密碼身份驗證方式來訪問重要客戶和企業數據的公司同樣如此。只采用密碼的保護方式永遠失效了，任何依賴這種方式的企業都將其業務和聲譽置于危險之中。即使避免了泄露事件，但由于Equifax事件，人們也越來越認識到密碼保護有很多不足。如果這是您保護客戶數據所采用的方式，那么，客戶會再三考慮能不能信任您。

雙重身份驗證（2FA）、多重身份驗證（MFA）、行為分析和生物特征識別等替代方案已經出現一段時間了，但采用率卻很低。日益惡化的威脅情形，以及越來越強的用戶意識減少了實施這些替代方案的障礙——障礙主要來自用戶抵制、復雜性和投資回報等因素。

所有這些替代方案都有可能被攻破，有的要比其他方式更容易攻破。IBM的X-Force紅色安全測試部高級管理顧問Dustin Heywood指出：“所有身份驗證方式，無論是指紋、人臉、虹膜掃描，所有這些都被分解成比特和字節，它們實際上是共享的秘密信息?！奔热贿@些共享的秘密信息像密碼一樣以數字方式存儲，那么從理論上講完全可以竊取它們。不同之處在于，這做起來要難一些。

其目的是使犯罪分子很難獲取這些信息，以至于大多數網絡罪犯分子不得不去尋找其他更容易的攻擊方式。很多企業根據風險、用戶考慮和被保護的數據的價值，組合使用了多種身份驗證方法，以達到合理的安全期望。

用戶認識到了強身份驗證方式的價值

如果用戶抵制或者無動于衷，那么企業和面向用戶的網站采用的最好身份驗證計劃就可能會失敗。最近引人注目的泄露事件畢竟還是有一些積極的結果——用戶開始認識到強身份驗證的價值，似乎更愿意接受一些由此帶來的不便。

獨立安全研究員Jessy Irwin認為這種趨勢開始于2015年初的Anthem泄露事件。“用戶擔心醫療信息被泄露?！倍鴮τ贓quifax，這類擔心還包括財務賬目。

雖然用戶更愿意接受更復雜的身份驗證方式來保護醫療和財務數據，但并不是所有的服務提供商都提供這類選擇。Irwin表示：“很多銀行，因為以前做過類似的工作，認為與賬戶關聯的安全問題是第二個驗證要素，但事實并非如此。人們需要額外一層的保護，但卻不知道應該打開什么。他們必須求助于客戶服務或者客戶代表，甚至是供應鏈，來要求這些功能。”

缺乏要求增加安全層的機制，導致一些企業認為沒有客戶對此有需求。Irwin表示：“有很多工作要做。人們知道自己有需求，但不知道到底需要什么。當他們知道自己需要什么時，有時候卻沒有打開某些功能的選擇。這真是一場艱苦的戰斗。”

對競爭的擔憂阻礙了一些企業實施不同的身份驗證過程，因為這些過程可能會導致難以使用他們的服務。智能身份驗證提供商SecureAuth身份策略高級副總裁Robert Block表示：“當涉及到用戶時，他們非常害怕會影響到用戶體驗。很大一部分原因是缺乏了解，實際上只要滿足合適的環境變量，總是有影響不大的方法?！?/p>

Block說：“用戶變得越來越聰明了。他們會問，‘如果我和你做生意，你能保護我的憑證嗎？你提供2FA嗎？如果是的話，我對這些方法有多少控制權？由于泄露事件的影響，如果還認為用戶是懶惰的，不希望自己的用戶體驗被打斷，那么這種想法是錯誤的。”

實現更強身份驗證的難點不在于技術。Block說：“這涉及到人、過程和文化等因素。您能在周圍找到合適的人來決定哪些風險是可以接受的嗎？我們要支持多少要素，怎樣把這些要素呈現給最終用戶？”

為能夠讓用戶接受，Block強調了靈活性。“無論您能承受什么樣的風險，都應該盡可能的靈活，這樣，最終用戶會覺得一切都在他們的掌控之中。”

只使用密碼身份驗證方式的危險之處

如果只使用密碼，那么對于黑客來說，破解或者竊取密碼和用戶ID易如反掌。即使您聽從建議，保護好這些密碼——也會如此。Irwin說：“有很多安全需求使得密碼變得更脆弱，而不是更強。很多人認為，如果他們經常性地更改密碼，那這就是良好的安全行為。其實不是。很多生成強密碼的規則反而不如以前了。這讓人更容易破解密碼?！?/p>

Irwin所指的規則已經被廣泛使用了，它是基于國家標準與技術研究所（NIST）等標準組織早期的一些建議。NIST最近修訂了這些規則，以便更好地符合當今威脅格局的現實，但大多數企業尚未采用這些規則。

Heywood說：“密碼的問題不在于密碼本身。它在某些方面實際很難處理。問題的關鍵在于密碼是一種共享的秘密信息。人們在網站之間重復使用密碼，所以您不僅依賴于您正在使用的網站的安全性，而且還依賴于您曾經使用過密碼的每一個網站的安全性。秘密信息總是要被轉換的。”

密碼是使用很難進行逆運算的哈希算法進行轉換的。Heywood說，太多的網站使用的哈希算法已經有幾十年的歷史了，而且曾被攻破過。使用目前的高速計算機，黑客比較容易對盜取的密碼進行哈希逆運算?！艾F在有工作框架，可以利用這些框架，快速驗證這些憑證能否用于其他被攻破的網站，甚至實時驗證能否用于一些其他網站?！?/p>

為最大限度地降低密碼被攻破的風險，越來越多的人使用密碼保管庫，借助于偽隨機發生器，使用很長的字符串對密碼進行加密和隨機化處理。Heywood說：“一些偽隨機發生器由于實施不當而被攻破了，但總比沒有好?！?/p>

雙重身份驗證：向前邁出的一小步

要求用戶除了密碼之外還要提供其他一些識別信息——這已成為安全驗證的最低標準。這些信息通常只有用戶自己知道，用于必須回答的安全問題，例如，“您的第一只狗叫什么名字”。也可以是通過短信發送到手機或者令牌設備（或者用戶擁有的設備）上的驗證碼。endprint

這里的“安全”是一個相對的概念。在Equifax泄露事件中，一些用戶的安全問題的答案也被攻破了。稍加思索，就很容易發現一些個人信息，比如母親婚前的名字或者某人出生的城市等。

通過短信發送驗證碼也好不到哪里。事實上，新的NIST指南警告說，黑客能夠攔截這些驗證碼。這在一定程度上是由于SS7（7號信令系統）固有的漏洞造成的，這是于1975年開發的一個協議，是電話網交換信息的基礎。利用這一漏洞的黑客可以訪問所有網絡流量。

Irwin說，SIM卡劫持事件也越來越多了。她說：“一名社交工程師會給AT&T或者Verizon客戶服務熱線打電話，假裝成要安裝新電話或者要對帳戶進行更改的另一個人。他們現在可以控制設備的身份驗證，也能攔截短信密碼?！盜rwin指出，這種攻擊的目標是黑客知道的有價值的用戶，比如比特幣帳戶，或者對重要數據有高級訪問權限的用戶。

使用令牌設備或者顯示驗證碼的令牌智能手機應用程序會更安全一些。Irwin說：“您不必再依賴另一種機制來獲得驗證碼。黑客必須獲得您所擁有的特定的令牌，才能去攻擊第二個驗證因素。這工作量太大了。令牌是傳遞2FA驗證碼最強、最好的方法?！?/p>

對于用戶應用程序來說，令牌的問題在于人們拒絕使用它們，因為這需要一臺單獨的設備和它們自己的應用程序。Irwin說：“令牌可能還需要一些額外的工作。”她認為，如果用戶能更好地理解有什么好處，令牌應用程序供應商使其用起來更方便，那么它們將被更廣泛地采用。目前，傳遞驗證碼的令牌主要用在企業環境中。

無論是令牌還是智能手機，都要求擁有一種設備才能進行訪問，這就避免了網絡犯罪帶來的損害。Edgewise網絡公司聯合創始人兼首席技術官Harry Sverdlove說：“當知道密碼的唯一方式是拿著一臺設備時，這就很難，甚至不可能發起大規模的攻擊。”

多重身份驗證：如果實施得好，會更強

MFA背后的想法是讓黑客更加難以訪問別人的賬戶。MFA通常需要一個用戶ID和密碼，一些您知道的東西，以及您擁有的東西。Heywood說：“如果已經應用了多重身份驗證，而我有你的密碼，那我就會去別的地方——在這些地方，管理員很懶，沒有使用多重身份驗證機制。MFA不是什么高招，但是除了專門的攻擊者之外，它對于阻止大部分攻擊還是非常有效的。”

MFA通常是一種分階段的過程，當出現了警報時，會要求用戶提供額外的識別要素。它通常與基于風險的身份驗證相結合使用。例如，用戶試圖從一臺新設備登錄，或者想訪問保護等級更高的區域的情況。Heywood說：“如果我經常登錄看看我的收支情況，我的銀行一般不會要求提供第二個驗證要素。但如果我想把一千萬美元匯到英國，那他們會問我第一個孩子是誰，血型是什么，等等很多問題。”

Block說，從今年1月1日到10月5日，SecureAuth涉及到的驗證嘗試中的88%都是經由第一個驗證要素處理的。他說：“為什么每次都要用第二個驗證要素給用戶增加負擔呢？”

Sverdlove說：“我們應普及MFA的應用。”他認為，最可靠的方案應包括用戶知道的東西（密碼、安全問題的答案）、您擁有的東西（智能手機、令牌設備）、您的位置，以及您自己的特征（生物識別、行為分析）等。

社交賬號登錄：可行但有風險

相對于其他服務網站，谷歌、臉書、推特和Instagram這些大型社交媒體網站通常能更好地保護用戶ID和密碼數據。他們還提供2FA——至少作為一種選擇，并使用分析技術發現可能的非法登錄嘗試，一旦發現，就會要求提供更多的身份驗證信息。

有了社交賬號后，網站和移動應用軟件允許人們使用他們的社交媒體帳戶進行登錄，這通常作為標準密碼驗證的選項。用戶認為這更多的是為了方便而不是為了提高安全性，但是網站和網絡服務提供商獲得了某種程度的安全驗證手段，否則他們可能沒有資源來實現自己的目標。Jim Kaskade是JanRain的首席執行官，其客戶身份和訪問管理系列解決方案包括了社交賬號登錄功能，他說，社交媒體網站和社交賬號身份服務提供商提供人員和技術來開發強大的身份驗證功能，為用戶身份提供現代化的保護。他說：“我們站在對安全作出了巨額投資的巨人的肩膀上。

社交賬號登錄的最大風險是，用戶訪問過的所有網站，比如說谷歌，如果谷歌賬號被攻破，那么谷歌網站也將被攻破。攻擊者可以通過多種方式控制社交賬號：社交工程、創建虛假的個人資料，或者在暗網上購買用戶ID和密碼。用戶如果打開2FA等可選驗證功能，就能夠降低這方面的風險，但很多用戶都沒有這樣做。

Irwin說：“社交賬號登錄很有趣，因為我們為其打造了很強的OAuth。他們做兩件事：他們將您的社交媒體賬戶和服務聯系起來，而您不希望自己的社交媒體提供商參與其中，特別不希望他們有辦法有針對性的投放廣告。”她補充說，社交媒體公司已經擁有了太多的個人數據，甚至能夠以意想不到的方式使用這些數據。通過社交賬號登錄，這些公司就會有更多的信息，知道您在網上的所有人際關系。她說：“這不太好。有點令人不安?！?/p>

Irwin認為社交賬號登錄在某些情況下也是有價值的。她說：“對于購物網站，或者用戶沒有設置好用戶名和密碼的網站，社交賬號登錄替用戶完成了他們應做的很多工作。這不錯，但是也使社交媒體網站的密碼和用戶名變得非常、非常脆弱。”Irwin說，那些對用戶有意見的家庭成員、家庭伴侶或者朋友有時會利用這個用戶的社交媒體賬號登錄來制造麻煩?！斑@可能是災難性的?！?/p>

Kaskade認為，巧妙實施社交賬號登錄驗證的公司能夠減輕這種方式帶來的相關風險。例如，一家企業可以把社交賬號登錄作為“輕型”身份驗證方案的一部分，例如，使用臉書完成下載受控內容等簡單服務，然后要求更高級別的安全登錄方式（例如，MFA）才能獲取更多的敏感信息，例如，訪問您的支票帳戶。endprint

他指出，即使銀行和醫療服務提供商也開始在可行的地方使用社交賬號登錄——這些機構在保護個人數據方面受到了嚴格的監管。他們這樣做會讓用戶感到很方便，減少了所謂的注冊和登錄疲勞，但他們顯然采用了其他身份驗證方式來增強社交賬號登錄方式。Janrain的社交賬號登錄產品支持通過設置用戶行為規則來增強安全性。Kaskade說：“如果有人從美國登錄，幾分鐘后又從中東登錄了，那就知道要通過簡單的規則集來增強MFA?！?/p>

生物特征識別：不像您想象的那么萬無一失

術語“生物特征識別”包括一系列身份驗證方法——掃描人的某些物理屬性，包括面部、眼睛的虹膜、心跳、靜脈圖案或者指紋等，以證明身份。這些屬性對個人來說是獨一無二的，但對于身份驗證目的，有利也有弊。

生物特征識別的一個優點是它便于用戶使用。通過按壓拇指或者掃描面部，用戶不用記住密碼或者安全問題的答案，就能使用他們的設備或者服務。生物特征識別的缺點是絕非萬無一失。蘋果最新的面部識別技術被一張3D打印的臉破解了。不太先進的人臉識別技術被驗證過的人的照片愚弄了。

一個人的生物特征數據是以數字檔案的方式存儲起來的，而這會被竊取。一旦出現這種情況，驗證就沒有用了。Sverdlove說：“我不是一個密碼迷，但您可以改變密碼。當指紋被盜，面部信息被盜，DNA被盜時會發生什么？這些都是一成不變的，也是不可能改變的?！?/p>

竊取生物特征識別數據被認為比竊取或者破解密碼更困難，盜賊要盜取個人生物特征識別數據的風險也很低。如果盜賊以多個個人資料為目標，那么風險就會顯著增加。Sverdlove說：“存儲在交易所的數以百萬計的指紋將成為攻擊目標。一旦被攻破了，就沒有任何挽回的余地了?！?/p>

Sverdlove建議，企業不要為生物特征識別數據只建立一個存儲庫。他說：“從過去的經驗中吸取教訓：不要把所有的東西都存儲在一個數據庫中。它會被偷的?！?/p>

基于風險的身份驗證：不要密碼

密碼、MFA、社交賬號登錄和生物特征識別都把證明身份的責任落在了用戶身上。基于風險的身份驗證功能支持企業負起身份保證的責任。這不是一個新概念。例如，信用卡發卡機構一直在使用基于風險的分析方法，通過查找異常的交易模式來檢測欺詐行為。

設備度量，即行為生物特征識別，是基于風險的一種身份驗證方式，旨在消除密碼。軟件分析打字模式、與屏幕的交互、設備IP地址或者地理位置，把這些數據和行為與特定用戶關聯起來。這種使用習慣的基本指標信息是通過機器學習隨著時間推移而逐步建立起來的——盡管IP地址和位置等數據是直接從網絡中獲取的。

Block說：“您作為企業可以定義哪些地理位置是可接受的，哪些是不可接受的。我們開始記錄您作為一個個體是從哪里來的。我們繪制出您來自哪里，您的設備的瀏覽器類型，您可能使用的電話號碼，等等。”這樣，軟件能夠確定呼叫是否來自某一地區已知的運營商。個人的設備使用習慣、基于風險的身份驗證系統相結合，可以做出一個相當準確的決定：是否允許訪問而不需要密碼。

Irwin說：“您的最終用戶想，‘我不必再使用密碼了。這太好了，但是他們放棄了自己的超級私人信息，他們還不知道這些信息非常寶貴。您愿意應用程序提供商知道您是怎樣使用手機的，您怎樣觸摸手機，您什么時候觸摸手機，您什么時候點擊“是”或者“否”嗎？我不希望打著我的名義來采集這些信息。有時這種情況會出現在應用軟件里，主要是用于廣告目的?！?/p>

基于風險的身份驗證并非萬無一失。人們的行為往往是可以預測的，但環境可能會導致變化，從而給欺詐提供了可以利用的偽造的結果。Sverdlove問道：“如果患了腕管綜合癥怎么辦？行為生物特征識別代表了將要應用的另一種標準。它使用起來不應該是排他的。”Sverdlove指出，一個人的數字行為指標也可以被下定決心的罪犯分子欺騙或者改變，盡管不太容易。

打字或者屏幕滑動模式等指標取決于用戶對設備的操作習慣。Block說：“鍵盤和屏幕指標存在一些固有的問題，其中一些與應用軟件密切相關?！边@使得很難理解和解釋擊鍵行為。SecureAuth使用行為指標，但也依賴基于硬件的指標，例如，手機和設備類型。

找到最佳身份驗證策略

還沒有一種方法可以取代或者加強全系統的密碼身份驗證功能。企業應采取基于風險的方法，評估被保護數據的價值、被濫用的可能性，以及身份被竊取的后果。在大多數情況下，這意味著將身份驗證與應用程序或者環境進行匹配，并使用某種類型的MFA進行備份。

例如，銀行可能要求客戶在登錄時只提供密碼。這樣，客戶可以看到他們賬戶的基本信息。如果客戶想要進行交易，銀行則會要求更多的身份識別信息，例如驗證碼。同時，銀行使用行為分析軟件查看會話過程中的使用模式和設備指標是否與該客戶相關信息相匹配。如果某些參數與預定參數不符，會要求進一步的身份驗證，或者拒絕和限制訪問。

Block說：“我們認為，在每一個身份驗證點，都應該預先進行一些風險分析檢查，幫助您確定這個有效的用戶身份是否足夠可信，可以允許或者拒絕其訪問，或者使用另一個驗證要素對其進一步進行驗證?！彼a充說，SecureAuth的一些以消費者為中心的客戶正朝著這個方向發展，但整個行業還沒有這樣做。

大多數專家都認為密碼不會很快消失，但確實有機會能夠減少人們需要管理的密碼數量，企業系統尤其如此。Block說：“我們已經看到，企業要實行他們所謂的無密碼，而我要說是減少對密碼的依賴。如果他們的員工現在要管理20個不同的密碼，也許今后他們管理5個就可以了，其余的都是通過一些其他的基本身份驗證措施來進行管理的?！眅ndprint