密碼體系的身份驗證有何弊端�?
由密碼建立起來的身份認證管理體系是第一代信任服務(wù)體系����。最有代表性的是R.Rivest于上個世紀90年代初開發(fā)出來MD5加密�����,即"Message-Digest Algorithm 5(信息-摘要算法)也就是HASH算法���。MD5算法是一種應用廣泛的身份認證算,它的最大作用在于它是一種不可逆的算法����,即把密碼明文都轉(zhuǎn)換成一個128位的數(shù)據(jù),而這個數(shù)據(jù)不能通過返函數(shù)的方式推導出原來的數(shù)據(jù)���。
如果要判斷一個密碼是否與原來的密碼相等�,只能把新的數(shù)據(jù)進行一次MD5變換�����,然后用該變換結(jié)果與原來數(shù)據(jù)的變換結(jié)果比較��。但MD5完全可以信賴嗎�����?其實從MD5誕生之日起����,Van Oorschot和Wiener的兩位密碼學專家就發(fā)現(xiàn)了一個暴力搜尋沖突的函數(shù),一直到2004國際密碼學年會上�,來自中國山東大學王小云教授的一篇關(guān)于"破譯MD5、HAVAL-128��、MD4以及RIPEMD-128算法"的報告引起了轟動�����,報告中提到的新破譯方法幾乎標志著世界通信密碼標準–MD5堡壘的轟然倒塌���。
我這這里暫且不再討論MD5是如何破解的了��,單單在實際管理中�����,以單一密碼為身份認證的管理體系就漏洞具多����,比如:
* 為了便于記憶�,用戶多選擇生日、電話號碼等作為密碼����,黑客可以通過暴力程序不斷嘗試并且很容易破譯密碼�����;
* 靜態(tài)密碼明文傳輸����,容易被中間人程序(Sniffer工具)采用截取��、重放的方式�,對經(jīng)過簡單加密后傳輸?shù)恼J證信息進行分辨,也可推算出用戶的密碼�,造成密碼破解;
* 利用郵件和釣魚網(wǎng)站詐騙��,等手段獲取用戶的密碼��;
* 網(wǎng)管或內(nèi)部其他人員可通過合法授權(quán)取得用戶密碼而非法使用���;
* 離職員工對于沒有密碼賬戶依然具有使用和資源訪問權(quán)限���。
發(fā)生在身邊"身份冒用"
但傳統(tǒng)的基于密碼體系的認證系統(tǒng)經(jīng)常會遭受到暴力破解、木馬盜取���、網(wǎng)絡(luò)監(jiān)聽(中間人攻擊)的困擾���,可謂危機四伏����,四面楚歌��。很多網(wǎng)管員都熟悉一些安全工具和技術(shù)�,這些主要是針對密碼進行的防范技術(shù)����。比如獲得Windows系統(tǒng)一定的訪問權(quán)限,需要"從Guest→Administrator→SYSTEM"�����。所以很多管理員用一些系統(tǒng)的安全策略來控制訪問用戶�,比如密碼復雜性策略、賬戶鎖定策略等�����。
但最近一位朋友告訴我:"他在Joel Scambray(微軟公司的MSN網(wǎng)站的高級安全主管)的大作中找到了一篇竊聽Windows身份驗證過程的文章����,并按照另外一個黑客提供線索�,成功地破解了一個域管理員帳戶的復雜性密碼����,并在ISA SERVER(代理防火墻服務(wù)器)上提升自己客戶端的權(quán)限,肆無忌憚的下載HDTV電影�。"我按照他的方法做了一個實驗,居然也能成功�����,愕然����。
動態(tài)身份驗證成為趨勢
隨著互聯(lián)網(wǎng)日益蓬勃及新興電子商務(wù)應運而生,個人的身份識別問題日漸受到重視�。這不僅僅是由于網(wǎng)絡(luò)安全問題日益嚴重,更是因為這是決定真正的網(wǎng)上交易能否達成的關(guān)鍵�。如何識別某人的真實身份,進而賦予其相應的權(quán)限���,允許其完成一定的操作����,已經(jīng)成為目前安全領(lǐng)域中迫切需要解決的問題。目前��,在靜態(tài)密碼的基礎(chǔ)上���,提供二次身份驗證的技術(shù)主要有圖片驗證碼技術(shù)��、數(shù)字證書����、USB移動證書�、動態(tài)密碼等方式����。
* 圖片驗證碼
圖片驗證碼是為了防范客戶使用暴力程序不斷嘗試獲取用戶密碼,而采用的一種技術(shù)��,它是在圖片中加入使用者可以識別而計算機不能自動識別的隨機數(shù)字或符號��,從而達到防范黑客攻擊的目的�。
* 數(shù)字證書
數(shù)字證書是一個經(jīng)證書認證中心(CA)數(shù)字簽名的包含用戶身份信息、用戶公鑰信息的數(shù)據(jù)文件����。由認證中心(CA)負責驗證數(shù)字證書的有效性,以實現(xiàn)對用戶身份的認證。數(shù)字證書認證技術(shù)采用加密傳輸和數(shù)字簽名技術(shù)�,可以較好的保障網(wǎng)上信息安全。
* USB移動證書
將用戶的密鑰或數(shù)字證書存儲在USB Key硬件設(shè)備中�����,利用 USB Key 內(nèi)置的密碼學算法實現(xiàn)對用戶身份的認證���。
隨著人們針對傳統(tǒng)密碼認證的質(zhì)疑越來越多����,就連比爾蓋茨都公開表示希望在將來取消密碼認證���。從傳統(tǒng)的密碼保護方式遷移到更高級的認證方式���,已經(jīng)成為很多公司的選擇,尤其是對于在網(wǎng)上傳輸敏感信息的機構(gòu)而言����。對于美國的很多受到聯(lián)邦財務(wù)機構(gòu)監(jiān)察委員會的要求,必須采用雙因子認證方式��。
根據(jù)2006年4月Search Security網(wǎng)站針對358名信息化負責人的調(diào)查����,大多數(shù)人認為單一密碼保護已經(jīng)無法保證身份認證以及訪問管理的安全需求:74%的受訪者認為信息系統(tǒng)的用戶需要記住的密碼太多��,超過56%的受訪者表示他們經(jīng)常需要幫助用戶重置密碼����,79%的受訪者宣布他們今年將投資花費在身份管理領(lǐng)域�,64%的受訪者已經(jīng)考慮購買密碼令牌。
動態(tài)口令雙因子安全認證系統(tǒng)(LGET DynaPass Two Factors Authentication System)為計算機信息網(wǎng)絡(luò)系統(tǒng)用戶的合法身份認證提供了簡捷�����、有效的認證手段�。雙因子認證提供了比密碼更加安全的模式�����,這種網(wǎng)絡(luò)安全超出了傳統(tǒng)意義的靜態(tài)密碼功能�。用戶要想訪問某個特定的數(shù)據(jù)或信息資源,必須輸入他所知道的密碼��,還要輸入一個動態(tài)的代碼����。比如��,某個分支機構(gòu)的用戶要訪問企業(yè)核心數(shù)據(jù)庫�����。他除去要輸入IT管理員為每個員工配備的密碼之外����,還需要輸入SecurID認證設(shè)備上每隔60秒就生成的不同代碼��。因此���,雙因子認證體系受到企業(yè)的親睞��,應用范圍也將更為廣泛:
* 網(wǎng)上委托系統(tǒng)身份認證
* 撥號登錄訪問
* 通過動態(tài)口令對安全網(wǎng)頁訪問進行限制
* 證券電話委托����、電話銀行
* 網(wǎng)絡(luò)設(shè)備的口令管理及主機登錄
* NETWARE/NT/ UNIX系統(tǒng)登錄功能
* ORACLE/SQL SERVER等大型數(shù)據(jù)庫的用戶連接訪問控制
目前��,動態(tài)口令雙因子安全認證系統(tǒng)主要有RSA��、Safeword等產(chǎn)品�����,它們分別都建設(shè)了相應的認證中心,以便于更好的認證�����。例如����,動聯(lián)信息技術(shù)有限公司就聯(lián)合RSA,創(chuàng)建了動碼令身份認證中心����,該認證中心是專門針對如SCM(供應鏈管理)、CRM�����、OA等信息化軟件���、電子商務(wù)平臺等中小型網(wǎng)絡(luò)應用,以低成本的加盟方式���,做到商戶系統(tǒng)與動碼令中心的無縫接入���,為最終消費者提供專業(yè)的動態(tài)密碼認證服務(wù)����。同時���,動碼令中心����,還增加了多商戶認證的功能�����,讓用戶可以憑借一枚令牌���,輕松登陸多項不同公司的網(wǎng)絡(luò)應用���。
