雙因素認證
出自 MBA智库百科(https://wiki.mbalib.com/)
雙因素認證(two-factor authentication)
目錄 |
什麼是雙因素認證[1]
從密碼學理論上說,用於身份認證主要有三方面要素:一是需要用戶記憶的身份認證內容,例如密碼或身份證號碼等;二是用戶擁有認證硬體,例如USB Key,智能卡(以下簡稱IC 卡),磁卡等;三是用戶本身擁有的唯一特征,例如指紋、瞳孔、聲音等。單獨來看,每個要素獨立存在時,都有其脆弱性。而把兩種要素結合起來,實現雙重要素認證,可以有效提高系統訪問控制的安全性,就是雙因素認證。
雙因素認證是一種適合企業的訪問控制策略, 它將訪問控制過程中個人身份識別更客觀化, 有效地防止來自外部的身份欺詐和來自內部的更隱蔽的網路侵犯。一般的企業都有標識身份的員工IC 卡,可以利用這張卡來實現雙因素認證。基於過多增加企業信息化成本的角度出發,以下方案採用的是員工卡IC卡+用戶密碼來進行安全訪問控制。
雙因素認證的優勢[2]
一個擁有識別和接入管理的戰略遠景以及具有豐富強認證實踐經驗的廠商,能夠幫助企業設計強認證在識別和接入管理框架里所扮演的角色。RSA信息安全公司能夠幫助企業很好地解決在識別和接入管理領域的強認證問題。
RSA擁有尖端的技術,其強認證解決方案是識別和接入管理戰略中不可缺少的一部分。另外,R S A 識別管理解決方案能夠幫助全球企業利用線上識別的功能增強安全性和可信度,提高員工的工作效率,加強合作伙伴關係,並減少業務過程的成本。
RSA SecurID 是一種採用時間同步技術的雙因素認證系統,它構建於一個用戶瞭解的機制(密碼或者PIN 碼)和一個現有的系統(認證器);雙因素用戶認證的RSA SecurID產品家族由令牌、智能卡和軟體組成,用於保護寶貴的網路資源並只允許經過認證的用戶使用電子郵件系統、互聯網伺服器、本地網、廣域網、網路操作系統及其他資源。這種用戶身份的雙重保證提高了認證的可靠性,在內部或外部訪問使用者獲得訪問許可之前,安全有效地證實其身份。
雙因素用戶認證系統能夠代替基本的密碼安全機制,有效抵禦非法入侵,使寶貴的網路資源獲得完善的保護,免受意外造成的破壞及惡意入侵。RSA SecurID雙因素用戶認證產品的操作,如同使用取款卡一樣簡單方便。用戶只需在進入受保護的網路前,先行輸入個人識別密碼,以及在R S ASecurID認證器上每隔60秒轉換一次口令,就能通過認證。由於RSA SecurID 認證器上每隔60 秒轉換一次6 位數的無窮盡的無重覆口令,無論多麼高明的黑客都無法在如此短暫的時間內猜測出如此複雜的口令,這也就是RSA SecurID 雙因素用戶認證產品之所以如此有效的原因。使用了RSA SecurID雙因素認證產品,用戶就可以放心地使用口令了。
雙因素認證的解決方案[3]
以雙因素動態身份認證為例,介紹雙因素認證的解決方案。一個雙因素動態身份認證的解決方案由三個主要部件組成:一個簡單易用的令牌,一個功能強大的管理伺服器以及一個代理軟體。
1.令牌。令牌可以使用戶在證明自己的身份後獲得受保護的資源訪問權。令牌會產生一個隨機但專用於某個用戶的“ 種子值”,一般每60秒該“ 種子值”就會自動更新一次,其數字只有對指定用戶在特定的時刻有效。
用戶的密碼;令牌的隨機“ 種子值”,使得用戶的電子身份很難被模仿、盜用或破壞。
2.代理軟體。代理軟體在終端用戶和需要受到保護的網路資源中間發揮作用。當一個用戶想要訪問某個資源時,代理軟體會將請求發送到管理伺服器用戶認證引擎,認證通過後放行。
3.管理伺服器。管理伺服器將一個性能卓越的認證引擎和集中式管理能力結合在一起。當管理伺服器收到一個請求時,它使用與用戶令牌一樣的演算法和種子值來驗證正確的令牌碼。
雙因素認證技術應用於資料庫安全[3]
隨著電腦技術的飛速發展,常規的使用用戶登錄ID和密碼登錄的資料庫用戶標識和鑒別機制中存在的靜態密碼的安全隱患越來越引起人們的重視,而雙因素認證機制目前被認為是最安全的認證機制,我們可以借用雙因素認證機制來完善現行資料庫用戶的身份標識與鑒別,進而構築起資料庫安全的第一道防線。目前,可採用的方法是智能卡和用戶特征識別。
智能卡( 有源卡、IC卡和Smart卡)作為個人所有物結合用戶登錄63 和密碼可以用來驗證個人身份。典型的智能卡主要是由微處理器、存儲器、輸入輸出介面、安全邏輯及運算處理器等組成。在智能卡中引入了認證的概念,認證是智能卡和應用終端之間通過相應的認證過程來相互確認合法性。在卡和介面設備之間只有相互認證之後才能進行數據的讀寫操作,目的在於防止偽造應用終端和相應的智能卡。
用戶特征識別是根據被授權用戶的個人特征來進行身份確認的方法,是一種可信度更高的身份驗證方法。個人特征識別應用了生物統計學(Biometrics)的研究成果。它利用了個人具有唯一性的生理特征來實現。
個人特征都具有因人而異和隨身攜帶的特點,不會丟失並且難以偽造,非常適合於用戶身份驗證。目前可被應用的個人生理特征有指紋(fingerprint)、語音聲紋( voice-print)、DNA、視網膜、虹膜、臉型、手型等。一些研究者已開始研究給予個人行為方式的身份驗證技術。如用戶寫簽名的習慣,敲擊鍵盤的習慣等等。個人特征一般需要多媒體數據存儲技術來建立檔案,相應的需要基於多媒體數據的壓縮、存儲、檢索等技術作為支撐。