我们正在改变我的工作场所的远程登录安全流程,我们担心新系统不像旧版本那样使用multi-factor authentication。 (我们一直在使用RSA密钥卡,但由于成本问题,它们正在被替换。)新系统是一种反网络钓鱼图像系统,被误解为双因素身份验证系统。我们现在正在探索在不向用户发布硬件设备的情况下继续提供多因素安全性的方法。
是否有可能编写一个基于软件的令牌系统安装在用户的PC上,这将构成多因素身份验证系统中真正的第二个因素?这会被视为“用户拥有的东西”,还是仅仅是“用户知道的东西”的另一种形式?
编辑: phreakre 对Cookie有所了解。为了这个问题,假设已经排除了cookie,因为它们不够安全。
答案 0 :(得分:2)
我会说“不”。我不认为你可以真正得到“你拥有的东西”的一部分多因素身份验证,而不会发布最终用户可以随身携带的东西。如果您“拥有”某些内容,则意味着它可能会丢失 - 没有多少用户会丢失整个桌面计算机。毕竟,“你拥有的东西”的安全性来自以下方面:
软件令牌不提供相同的保证,我不会将它视为用户“拥有”的良心。
答案 1 :(得分:1)
虽然我不确定它是否是“有效”的第二个因素,但很多网站已经使用过这种类型的流程:cookies。几乎没有安全感,但它是您描述的项目类型。
关于“用户拥有的东西”与“用户知道的东西”,如果它是驻留在用户PC上的东西[就像后台应用程序在被要求时提供信息但不要求用户做任何事情],我会将其归档为“用户拥有的东西”。如果他们在某个字段中键入密码,然后键入另一个密码来解锁您存储在PC上的信息,那么它就是“用户知道的东西”。
关于已经存在的商业解决方案:我们使用名为BigFix的Windows产品。虽然它主要是一个远程配置和合规产品,但我们有一个模块可用作远程/ VPN情况的多因素系统的一部分。
答案 2 :(得分:1)
软件令牌是第二个因素,但它可能不是RSA FOB选择的好选择。如果用户的计算机受到攻击,攻击者可以默默地复制软件令牌,而不会留下被盗的任何痕迹(与RSA FOB不同,他们必须自己携带FOB,因此用户有机会注意到它丢失了)。
答案 3 :(得分:0)
我同意@freespace的说法,该图片不是用户多因素身份验证的一部分。正如您所述,图像是反网络钓鱼方案的一部分。我认为该图像实际上是对用户的系统的弱认证。该图像向用户提供网站有效的身份验证,而不是虚假的网络钓鱼站点。
是否有可能编写一个基于软件的令牌系统安装在用户的PC上,这将构成多因素身份验证系统中真正的第二个因素?
基于软件的令牌系统听起来像您可能想要调查Kerberos协议http://en.wikipedia.org/wiki/Kerberos_(protocol)。不过,我不确定这是否算作多因素身份验证。
答案 4 :(得分:0)
您所描述的是计算机所拥有的内容,而非用户。 因此,您可以(可以根据实施情况)确保它是计算机,但不保证用户......
现在,既然我们正在谈论远程登录,那么情况可能就是个人笔记本电脑?在这种情况下,笔记本电脑就是你所拥有的东西,当然还有它所知道的密码......然后剩下的就是安全实施,这样可以正常工作。
答案 5 :(得分:0)
安全始终是权衡利弊。硬件令牌可能更难窃取,但它们不提供针对基于网络的MITM攻击的保护。如果这是一个基于Web的解决方案(我假设它是,因为您正在使用其中一个基于图像的系统),您应该考虑提供相互https身份验证的东西。然后,您可以免受众多DNS攻击和基于Wi-Fi的攻击。
您可以在此处找到更多信息: http://www.wikidsystems.com/learn-more/technology/mutual_authentication 和 http://en.wikipedia.org/wiki/Mutual_authentication 这是一个关于设置相互身份验证以防止网络钓鱼的教程: http://www.howtoforge.net/prevent_phishing_with_mutual_authentication
基于图像的系统作为相互身份验证,我猜它是,但由于它不是基于加密主体,因此它非常弱。什么阻止MITM展示图像呢?它也不像用户友好的IMO。