真实世界中,***/**是被用来证明用户身份的凭据。为了证明虚拟世界中对方的身份,我们发明了账号密码,随后又延伸出一系列“认证因子”以确保身份的可靠性。
OTP 令牌作为最早的认证因子之一,其英文“One Time Password”直译为 “一次性密码”,可理解为“这个密码有且只有一次使用机会”,正好用来对标长期使用且固定不变的密码(Password)。
一次性密码的组成:认证服务器、OTP 令牌。OTP 令牌和认证服务器内均存有令牌种子。一次性密码正是由令牌种子和UTC时间(机器当前时间)通过密码杂凑算法每隔固定时间生成6位随机码。每个随机码有且只有一次使用机会。
认证校验:认证前,认证服务器与 OTP 令牌需与业务场景和用户账号身份对接。认证时,用户除输入账号密码外还需输入当前的OTP 密码,因 OTP 动态密码唯一性、不可追溯性等特征,从而提升了认证的安全性。
宁盾双因素认证因子就是以 OTP令牌为起点,逐渐派生硬件令牌、短信令牌、手机APP令牌、企业微信/钉钉H5令牌、邮件令牌、PC桌面令牌、小程序令牌等形式,同时兼容Google、RSA等第三方认证形式。并不断创新“扫码认证”、“推送认证”、“指纹识别”、“人脸识别”等无密码形式,以更好的服务用户体验。
宁盾令牌(手机APP)是最常用的令牌形式,各大应用商店均可下载,使用前需要激活。令牌形式经国家密码局检测,符合等保合规标准。
(硬件令牌是手机令牌的硬件形式,6位动态码随机展示。)
(短信令牌是将动态密码以短信的形式发送到用户手机上。)
(邮件令牌是将动态密码以邮件的形式发送至用户邮箱。)
(PC桌面令牌是将手机令牌以插件的形式存储于终端内。)
H5令牌是将宁盾令牌集成到企业微信/钉钉工作台的轻量化应用方式,免APP下载,无需激活和派发过程。
(小程序令牌,是将手机令牌打包到企业微信小程序中,同样免APP下载。)
推送认证的载体依然是宁盾令牌,优势在于免除动态口令的输入环节。用户在输入账号密码后,手机令牌收到认证请求,用户一键授权完成认证。
将业务场景绑定企业微信/钉钉,认证时使用“扫一扫”认证授权,免去密码输入,提升认证安全。
宁盾认证服务器支持(SM3、SHA-2)等国内外多种算法,兼容Google 等Free OTP,并为其提供认证服务器;亦兼容RSA等第三方令牌,实现平滑过渡。用户认证时,宁盾认证服务器将非宁盾令牌的校验信息进行转发,直到令牌完全过渡,整个过程不影响用户的使用体验。
由于当下账号密码泛滥以及账号身份泄漏严重,无论是通过在账号密码上增加动态密码还是采用无密码认证,旨在帮助企业提升账号安全,阻止字典轮询、攻击爆破等安全隐患。
二、应用价值
1、 提升账号身份安全,无论是弱密码、僵尸账号还是强规则下的密码,一切静态长久显示的密码皆存在被泄漏的可能;
2、 全场景安全认证,随着移动化的发展,越来越多的场景暴露在公网之下,越来越多的场景需要安全认证,为了提升用户体验,企业需要一款全场景兼容的产品;
3、 重要场景(如服务器)多重认证,多数服务器尚处于账号密码单一认证场景,针对多起数据泄漏、删库跑路事件,企业有必要对重要账号绑定多个令牌,不同令牌由不同人控制,只有在所有认证因子都授权的情况下才允许访问,以此提升重要服务器的安全保护;
4、 安全审计,很多场景中依然存在账号共享(一个账号由多名员工共同使用的情况),为实现安全审计,可以通过为该账号绑定多个令牌的形式,根据令牌序列号审计谁在什么时间登录了那台设备等。
来源:freebuf.com 2020-04-26 09:51:31 by: 宁盾nington
请登录后发表评论
注册