En 400-6655-581
5
返回列表
> 資源中心 > 文章>產品>IAM(身份與訪問控制)> 派拉統(tǒng)一身份管理系統(tǒng)|無密碼身份認證,跟密碼說再見!

派拉統(tǒng)一身份管理系統(tǒng)|無密碼身份認證,跟密碼說再見!

文章

2021-06-01瀏覽次數(shù):187

傳統(tǒng)賬號認證過程中,不管是靜態(tài)密碼、證書還是動態(tài)令牌,都需要把用戶持有的憑證傳輸?shù)椒斩诉M行驗證,但在驗證過程中存在偽造用戶憑證進行攻擊的風險。

 

基于以上問題,派拉軟件統(tǒng)一身份管理系統(tǒng)中緊跟技術前沿,集成FIDO2協(xié)議以及AI行為分析模型,在保證用戶身份和設備安全的同時可以進行無密碼登錄,使得賬戶的安全性和便捷性同時得到保障。

 

根據(jù)Pew Research的統(tǒng)計,在2017年只有12%的受訪者使用密碼管理器,甚至有49%的受訪者把密碼寫在紙上。Verizon在《2018年數(shù)據(jù)泄露調查報告》中指出,81.1%的數(shù)據(jù)泄露事件都是由于密碼泄漏而引起的。為提高賬戶的安全性,賬號認證的安全方式共經(jīng)歷了三次進化。

 

圖片

 

靜態(tài)密碼認證

安全行業(yè)有一個共識:密碼終將會消失。但是從目前的情況來看,密碼的壽命還會很長,甚至在數(shù)量上還有越來越多的趨勢。靜態(tài)密碼是由用戶自己設定的,一些人為方便記憶,將密碼設置為生日或是純數(shù)字,結果遭遇不法分子的輕松破解。目前,靜態(tài)密碼存在如下風險:

 

1.靜態(tài)密碼的易用性和安全性互相排斥,兩者不能兼顧,簡單容易記憶的密碼安全性弱,復雜的靜態(tài)密碼安全性高但是不易記憶和維護;

 

2.靜態(tài)密碼安全性低,容易遭受各種形式的安全攻擊;

 

3.靜態(tài)密碼的風險成本高,一旦泄密將可能造成最大程度的損失,而且在發(fā)生損失以前,通常不知道靜態(tài)密碼已經(jīng)泄密;

 

4.靜態(tài)密碼的使用和維護不方便,特別一個用戶有幾個甚至十幾個靜態(tài)密碼需要使用和維護時,靜態(tài)密碼遺忘及遺忘以后所進行的掛失、重置等操作通常需要花費不少的時間和精力,非常影響正常的使用。

 

靜態(tài)密碼安全由于等級過低很容易被惡意人員或黑客猜到、破解,從而引發(fā)信息泄露事件。有調查表明,超過80%的黑客入侵事件,都是利用了被盜口令或者弱口令,目前,身份竊取已成為黑客最主要的攻擊點。

 

安全設備認證

為了進一步提高賬戶安全性,雙因素身份認證應運而生。最普遍的2FA方式就是短信驗證碼,OTP動態(tài)令牌,基于USBKey的CA認證等等。

 

短信驗證碼依賴信任手機和SIM卡以及運營商基站,但手機和SIM存在丟失、被盜,基站存在被偽造的情況,甚至黑客可以通過釣魚網(wǎng)站、中間人攻擊等手段獲取用戶正確的驗證碼,從而導致短信驗證碼驗證方式的安全性大打折扣;

 

OTP動態(tài)令牌,UsbKey CA證書使用獨立硬件作為身份認證的入口,要隨身帶硬件設備并且依賴負責的后端服務器來管理,成本較大且在使用過程中十分不便捷,同時,沒有統(tǒng)一的認證標準各個廠商各自維護自有協(xié)議。

 

生物特征認證

為了賬戶的安全性和便捷性同時得到保障,使用人體特有的生物特征作為驗證手段是非常有吸引力的,隨著計算機算法的發(fā)展,生物特征識別的準確率越來越精確,而生物識別的硬件設備也越來越便宜高效,大部分手機廠商已經(jīng)內置了豐富的生物識別設備,使得生物特征認證越來越受到歡迎。目前的一個趨勢是采用即插即用的本地身份認證,用戶的隱私、生物特征信息及其產生的私鑰保存在可信設備手機之中,具有更好的安全性、便捷性、適配性以及隱私保護性。

 

  FIDO(Fast IDentity Online)

 

在線快速身份驗證聯(lián)盟立于2012年,它的目標是創(chuàng)建一套開放、可擴展的標準協(xié)議,支持對Web應用的非密碼安全認證,消除或減弱用戶對密碼的依賴。

FIDO認證主要是通過無密碼UAF和第二因子U2F來實現(xiàn)安全登錄。

 

圖片

 

無密碼的UAF

用戶攜帶含有UAF的客戶設備(通常手機或pc就已內置有采集設備)

用戶出示一個本地的生物識別特征(指紋、人臉、聲紋)

網(wǎng)站可以選擇是否保存密碼

 

用戶選擇一個本地的認證方案(例如按一下指紋、看一下攝像頭、對麥克說話,輸入一個PIN等)把他的設備注冊到在線服務上去。只需要一次注冊,之后用戶再需要去認證時,就可以簡單的重復一個認證動作即可。用戶在進行身份認證時,不在需要輸入他們的密碼了。UAF也允許組合多種認證方案,比如指紋+PIN。

 

UAF適用于典型的2C業(yè)務場景,基于手機、平板、智能手表內置的生物識別設備進行驗證無需增加其他設備。

 

圖片

 

 

第二因子的U2F

用戶攜帶U2F設備,瀏覽器支持這個設備

用戶出示U2F設備,瀏覽器讀取設備證書

網(wǎng)站可以使用簡單的密碼(比如4個數(shù)字的PIN)

 

 

U2F是在現(xiàn)有的用戶名+密碼認證的基礎之上,增加一個更安全的認證因子用于登錄認證。用戶可以像以前一樣通過用戶名和密碼登錄服務,服務會提示用戶出示一個第二因子設備來進行認證。U2F可以使用簡單的密碼(比如4個數(shù)字的PIN)而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB設備上的按鍵或者放入NFC。

 

U2F適用于典型的2B業(yè)務場景,基本PC用戶的使用場景,企業(yè)可以為內部人員配備專業(yè)的FIDO設備硬件用于應用系統(tǒng)的登錄認證。

圖片

 

FIDO認證在整個身份協(xié)議棧位于身份鑒別層,派拉軟件IAM產品結合FIDO和基于AI行為分析技術,整個用戶登錄過程如下:

 

1. 用戶登錄,通過瀏覽器獲取手機APP,收集客戶端信息、設備指紋、上下文、地理位置等信息,提交到服務端;

2. 服務端根據(jù)AI及大數(shù)據(jù)算法模型,對客戶端信息進行分析計算風險值,并根據(jù)不同的風險等級,讓客戶端采用不同安全等級的認證方式;

3. 客戶端收到認證請求后采用FIDO或其他認證提交認證憑據(jù);

4. 服務端驗證通過,給客戶端頒發(fā)Token。

 

 

在互聯(lián)網(wǎng)時代下,個人生物特征數(shù)據(jù)的敏感性對身份認證技術提出了更高的要求,堅持統(tǒng)一的身份認證規(guī)范和標準,打破壁壘才能真正實現(xiàn)開放共贏。近年來,隨著FIDO相關國際標準的發(fā)布,F(xiàn)IDO聯(lián)盟也在吸引著越來越多的互聯(lián)網(wǎng)巨頭加入,F(xiàn)IDO將會在更多的項目產品中落地。