身份驗證：雙重還是多重？

■ 山東 李文竹 趙長林

編者按： 身份認證是確保用戶登錄安全的重要手段，毫無疑問多重認證比雙重認證更加安全，但現(xiàn)實是雙重認證應(yīng)用更加普遍，這只是因為雙重認證更加便捷嗎？

根據(jù)安全意識培訓(xùn)公司對IT專家的調(diào)查，僅有少數(shù)大型公司使用多重身份驗證，多數(shù)中小型企業(yè)并沒有采用多重身份驗證。

多重身份驗證要求使用超過一種認證方法驗證用戶身份，企業(yè)部署這種方法后，可使攻擊更難以達成目標。那么，為什么這種身份驗證方法并沒有被廣泛采用？

造成這種現(xiàn)象的原因是什么？有些人傾向于選擇阻力最小的路徑。有的人相信多重身份驗證并不是最快最簡單最方便的實施方案。雖然并沒有哪種多重身份驗證方案適用于任何企業(yè)，但我們也不應(yīng)當(dāng)將多重身份驗證看作是一個難以部署到現(xiàn)有安全框架中的安全控制。

無論是從技術(shù)還是從安全控制方面，還是從企業(yè)擁有的技術(shù)技能方面，每個企業(yè)都不同。因而，用以實施多重身份驗證的時間、工作量、成本也有很大不同。一個非常重要的問題是要考慮不同的環(huán)境（例如本地環(huán)境、云環(huán)境、混合云等），判定哪些應(yīng)用需要多重身份驗證，然后找到適應(yīng)現(xiàn)有策略、控制、安全目標的最佳方案。

雙重認證

對IT安全團隊來說，另一個重要的問題是要理解多重身份驗證（以下簡稱“多重認證”）與雙因子身份驗證（以下簡稱“雙重認證”）的細微卻可能是重要的差別。

雙重認證可謂是多重認證的一個子集，它要求用戶提供用戶名和口令的組合來驗證其身份。當(dāng)今，多數(shù)雙重認證方案都通過向用戶手機發(fā)送一個唯一的一次性的代碼而運行，當(dāng)然，用戶的手機號是已被用戶確認并與賬戶匹配的。

例如，谷歌驗證器（Google Authenticator）和Authy會在用戶手機上生成兩步的驗證代碼，而Duo Mobile可通過推送的通知來驗證用戶身份，有助于防止網(wǎng)絡(luò)釣魚和其他基于身份的攻擊。

但為什么企業(yè)更多采用雙重認證呢？雙重認證的方便和相對的時間節(jié)省也許算不了什么，但值得冒險嗎？尤其是考慮到當(dāng)今多數(shù)數(shù)據(jù)泄露都涉及到攻擊者破壞用戶登錄憑據(jù)，并使用這些憑據(jù)訪問企業(yè)的網(wǎng)絡(luò)和敏感資產(chǎn)，這個問題尤為值得關(guān)注。

談到雙重認證失效的大型案例，就不得不提及Reddit。2018年6月，Reddit發(fā)現(xiàn)攻擊者已通過云和源代碼的托管供應(yīng)商竊取了幾個雇員的賬戶。此時，該公司就在使用基于短消息的雙重認證，即向用戶發(fā)送一個需要輸入到應(yīng)用程序的短信驗證碼。這種形式的雙重認證簡單、便利、對用戶友好，并得到廣泛使用。但其弊端在于極易遭到短消息劫持攻擊，而這正是Reddit數(shù)據(jù)泄露的主要攻擊手段。

需要考慮的其他因素

設(shè)備識別產(chǎn)品有助于減輕基本的雙重認證所固有的一些漏洞。這種解決方案通過向認證服務(wù)器注冊一個用戶ID而運行。認證服務(wù)器和客戶端在特定時間后使用用戶的ID生成一個新令牌。在用戶試圖登錄到應(yīng)用程序時，服務(wù)器要進行檢查，查看所生成的數(shù)值是否匹配，如果匹配，就允許用戶訪問。

雖然再增加額外的認證因素可能不適合那些尋求最快速度和最大便捷性的用戶需要，我們很難反對易于使用性，但是如果與更大的麻煩和潛在的數(shù)據(jù)泄露危害相比較，我們更難以反對多因素認證的組合。