宁盾双因素认证因子 – 作者:宁盾nington

真实世界中,***/**是被用来证明用户身份的凭据。为了证明虚拟世界中对方的身份,我们发明了账号密码,随后又延伸出一系列“认证因子”以确保身份的可靠性。

OTP 令牌作为最早的认证因子之一,其英文“One Time Password”直译为 “一次性密码”,可理解为“这个密码有且只有一次使用机会”,正好用来对标长期使用且固定不变的密码(Password)。

一、OTP令牌的生成及校验

一次性密码的组成:认证服务器、OTP 令牌。OTP 令牌和认证服务器内均存有令牌种子。一次性密码正是由令牌种子和UTC时间(机器当前时间)通过密码杂凑算法每隔固定时间生成6位随机码。每个随机码有且只有一次使用机会。

认证校验:认证前,认证服务器与 OTP 令牌需与业务场景和用户账号身份对接。认证时,用户除输入账号密码外还需输入当前的OTP 密码,因 OTP 动态密码唯一性、不可追溯性等特征,从而提升了认证的安全性。

图片 1.png

宁盾双因素认证因子就是以 OTP令牌为起点,逐渐派生硬件令牌、短信令牌、手机APP令牌、企业微信/钉钉H5令牌、邮件令牌、PC桌面令牌、小程序令牌等形式,同时兼容Google、RSA等第三方认证形式。并不断创新“扫码认证”、“推送认证”、“指纹识别”、“人脸识别”等无密码形式,以更好的服务用户体验。

 1、手机令牌:等保合规的选择

宁盾令牌(手机APP)是最常用的令牌形式,各大应用商店均可下载,使用前需要激活。令牌形式经国家密码局检测,符合等保合规标准。

图片 2.png

(硬件令牌是手机令牌的硬件形式,6位动态码随机展示。)

(短信令牌是将动态密码以短信的形式发送到用户手机上。)

(邮件令牌是将动态密码以邮件的形式发送至用户邮箱。)

(PC桌面令牌是将手机令牌以插件的形式存储于终端内。)

2、H5令牌:简单易用,免APP下载

H5令牌是将宁盾令牌集成到企业微信/钉钉工作台的轻量化应用方式,免APP下载,无需激活和派发过程。

图片 3.png(小程序令牌,是将手机令牌打包到企业微信小程序中,同样免APP下载。)

3、推送认证:一键授权,便捷安全

推送认证的载体依然是宁盾令牌,优势在于免除动态口令的输入环节。用户在输入账号密码后,手机令牌收到认证请求,用户一键授权完成认证。

图片 4.png4、扫码认证:无密码交付,安全可靠

将业务场景绑定企业微信/钉钉,认证时使用“扫一扫”认证授权,免去密码输入,提升认证安全。

图片 5.png5、第三方令牌兼容:双向兼容,平滑过渡

宁盾认证服务器支持(SM3、SHA-2)等国内外多种算法,兼容Google 等Free OTP,并为其提供认证服务器;亦兼容RSA等第三方令牌,实现平滑过渡。用户认证时,宁盾认证服务器将非宁盾令牌的校验信息进行转发,直到令牌完全过渡,整个过程不影响用户的使用体验。

图片 6.png由于当下账号密码泛滥以及账号身份泄漏严重,无论是通过在账号密码上增加动态密码还是采用无密码认证,旨在帮助企业提升账号安全,阻止字典轮询、攻击爆破等安全隐患。

二、应用价值

 1、  提升账号身份安全,无论是弱密码、僵尸账号还是强规则下的密码,一切静态长久显示的密码皆存在被泄漏的可能;

2、  全场景安全认证,随着移动化的发展,越来越多的场景暴露在公网之下,越来越多的场景需要安全认证,为了提升用户体验,企业需要一款全场景兼容的产品;

3、  重要场景(如服务器)多重认证,多数服务器尚处于账号密码单一认证场景,针对多起数据泄漏、删库跑路事件,企业有必要对重要账号绑定多个令牌,不同令牌由不同人控制,只有在所有认证因子都授权的情况下才允许访问,以此提升重要服务器的安全保护;

4、  安全审计,很多场景中依然存在账号共享(一个账号由多名员工共同使用的情况),为实现安全审计,可以通过为该账号绑定多个令牌的形式,根据令牌序列号审计谁在什么时间登录了那台设备等。

来源:freebuf.com 2020-04-26 09:51:31 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论