下一代雙因數身份認證什麼樣?
暴力破解攻擊可被各種形式的雙因數身份認證緩解,比如基於時間的權杖、短信和使用手機的身份認證。如今,新的競爭者出現了:通用雙因數身份認證(U2F)。
U2F是線上快速身份認證(FIDO)聯盟支持的一個身份認證標準。FIDO聯盟成員涵蓋了技術產業頂級公司和廠商。
U2F協議通過一鍵啟動的USB權杖設備實現。U2F結合了質詢-回應身份認證和公開金鑰加密。伺服器向用戶端Web流覽器發送質詢請求,流覽器再向USB設備發出請求。
該USB設備隨即亮燈,敦促使用者按下按鈕啟動設備。
U2F機制以多種方式提供更強壯的安全。頂級製造商透露,該設備主打硬體亂數產生功能,用於在註冊階段創建亂數。註冊過程中,伺服器會向設備提供一個“AppId”。然後,該亂數和AppId,成為使用設備中所存私密金鑰的散列消息認證函數(HMAC)的輸入參數。
HMAC的輸出,是特定於該個人服務的私密金鑰。
通過身份認證,該服務向設備發送AppId、金鑰控制碼和質詢,設備使用這些資料來產生同樣的私密金鑰以簽署質詢。然後,伺服器與公開金鑰比對被簽署的質詢,確保是經由正確的金鑰簽署的。權杖也有計數器,
這就是確保U2F免遭網路釣魚的過程。因為攻擊者必須知道AppId和金鑰控制碼才可以成功冒充服務。另外,即便攻擊者入侵了不同服務的多個身份認證資料庫,因為每個服務都創建唯一的金鑰,攻擊者也就無法關聯設備使用者了。這種做法可有效減小資料洩露漏洞的影響,比如心臟滴血、雲滴血和行錘擊(Rowhammer)。
廠商還寫了設備認證證書,可用於認證權杖生產廠商。該證書由數位憑證認證機構簽發,包含廠商和模型資訊。
U2F為基於時間的權杖提供了幾個優勢。不需要電池(除了基於藍牙的設備),不會因時間漂移而同步失敗。私密金鑰存儲在無法抽取的設備上,
U2F加密狗價格普遍在10-20美元之間,有特殊安全需求的人士,也可以自己製作,成本大約5美元。DIY方式讓使用者可以對私密金鑰和認證證書生成擁有控制權。
僅使用USB權杖的方式只針對電腦有效,限制了其在移動設備上的使用。市場上也有一些U2F設備除USB外還用近場通訊(NFC)或藍牙。對這些權杖僅有的擔憂,就是遺失。因此,建議多註冊幾個以備不時之需。
目前,穀歌Chrome和Opera都支持U2F。火狐流覽器需要裝外掛程式才支援U2F。測試中發現,有些伺服器端實現只支持Chrome。
對U2F標準的採納,加速了很多使用它的Web服務,比如Facebook、整個穀歌平臺、Dropbox和GitHub。U2F還能以 Linux PAM模組的形式實現。
U2F當然不能解決所有網路安全問題,但肯定是在正確的方向上邁進。
火狐流覽器需要裝外掛程式才支援U2F。測試中發現,有些伺服器端實現只支持Chrome。對U2F標準的採納,加速了很多使用它的Web服務,比如Facebook、整個穀歌平臺、Dropbox和GitHub。U2F還能以 Linux PAM模組的形式實現。
U2F當然不能解決所有網路安全問題,但肯定是在正確的方向上邁進。