我们正在更改我工作场所的远程登录安全流程,我们担心新系统不会像旧系统那样使用多因素身份验证。(我们一直在使用 RSA 密钥卡,但由于成本原因正在更换它们。)新系统是一种反网络钓鱼图像系统,被误解为双因素身份验证系统。我们现在正在探索在不向用户发布硬件设备的情况下继续提供多因素安全性的方法。
是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上,这将构成多因素身份验证系统中真正的第二因素?这会被认为是“用户拥有的东西”,还是仅仅是“用户知道的东西”的另一种形式?
编辑:phreakre对 cookie 提出了一个很好的观点。为了这个问题,假设 cookie 已被排除,因为它们不够安全。
我会说“不”。如果不发布最终用户可以随身携带的东西,我认为您无法真正获得多因素身份验证的“您拥有的东西”部分。如果您“拥有”某些东西,则意味着它可能会丢失 - 没有多少用户会丢失他们的整个台式机。“你拥有的东西”的安全性,毕竟来自以下几点:
软件令牌不提供相同的保证,我不会凭良心将其归类为用户“拥有”的东西。
虽然我不确定这是一个“有效”的第二个因素,但许多网站已经使用这种类型的过程有一段时间了:cookie。几乎不安全,但它是您描述的项目类型。
至于“用户拥有的东西”与“用户知道的东西”,如果它是驻留在用户 PC 上的东西 [比如后台应用程序在被询问时提供信息但不要求用户做任何事情],我会将其归档在“用户拥有的东西”。如果他们在某个字段中输入密码,然后输入另一个密码来解锁您存储在他们 PC 上的信息,那么这是“用户知道的”。
关于已经存在的商业解决方案:我们使用一种名为 BigFix 的 Windows 产品。虽然它主要是一个远程配置和合规性产品,但我们有一个模块作为我们用于远程/VPN 情况的多因素系统的一部分。
软件令牌是第二个因素,但它可能不如 RSA fob 好。如果用户的计算机受到威胁,攻击者可以默默地复制软件令牌,而不会留下任何被盗的痕迹(不像 RSA 密钥卡,他们必须自己拿走密钥卡,因此用户有机会注意到它丢失了)。
我同意@freespace 的观点,即该图像不是用户多因素身份验证的一部分。正如您所说,该图像是反网络钓鱼计划的一部分。我认为图像实际上是系统对用户的弱认证。该图像向用户提供了网站有效而非虚假网络钓鱼网站的身份验证。
是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上,这将构成多因素身份验证系统中真正的第二因素?
基于软件的令牌系统听起来您可能想研究 Kerberos 协议,http://en.wikipedia.org/wiki/Kerberos_(protocol)。不过,我不确定这是否算作多因素身份验证。
您所描述的是计算机拥有的东西,而不是用户。因此,您可以假设(取决于实施)确信它是计算机,但不能保证用户......
现在,既然我们在谈论远程登录,也许情况是个人笔记本电脑?在这种情况下,笔记本电脑就是您所拥有的东西,当然,它的密码也是您知道的……然后剩下的就是安全实施,并且可以正常工作。
安全总是关于权衡。硬件令牌可能更难被窃取,但它们无法抵御基于网络的 MITM 攻击。如果这是一个基于 Web 的解决方案(我假设它是,因为您使用的是基于图像的系统之一),您应该考虑提供相互 https 身份验证的东西。然后,您可以免受众多 DNS 攻击和基于 wi-fi 的攻击。
您可以在此处了解更多信息:http: //www.wikidsystems.com/learn-more/technology/mutual_authentication 和 http://en.wikipedia.org/wiki/Mutual_authentication ,这里是关于设置相互身份验证以防止网络钓鱼: http: //www.howtoforge.net/prevent_phishing_with_mutual_authentication。
基于图像的系统被定位为相互身份验证,我猜是这样,但由于它不是基于密码学原理,所以它很弱。是什么阻止 MITM 也展示图像?它也不是用户友好的IMO。