准备好进行更安全的身份验证了吗？请尝试这些密码替代方案和增强功能

Michael+Nadeau著+杨勇译

关于使用密码进行身份验证，最好的说法不过是——有总比没有好。然而，像Equifax这样引起普遍关注的泄露事件已经暴露了数以百万计的密码和用户ID，人们普遍质疑这种稍有些赞美的说法。如果用户认识不到他们有些密码已经被泄露了，他们还会沉浸在虚假的安全感中，而这是非常危险的。

仍然依赖密码身份验证方式来访问重要客戶和企业数据的公司同样如此。只采用密码的保护方式永远失效了，任何依赖这种方式的企业都将其业务和声誉置于危险之中。即使避免了泄露事件，但由于Equifax事件，人们也越来越认识到密码保护有很多不足。如果这是您保护客户数据所采用的方式，那么，客户会再三考虑能不能信任您。

双重身份验证（2FA）、多重身份验证（MFA）、行为分析和生物特征识别等替代方案已经出现一段时间了，但采用率却很低。日益恶化的威胁情形，以及越来越强的用户意识减少了实施这些替代方案的障碍——障碍主要来自用户抵制、复杂性和投资回报等因素。

所有这些替代方案都有可能被攻破，有的要比其他方式更容易攻破。IBM的X-Force红色安全测试部高级管理顾问Dustin Heywood指出：“所有身份验证方式，无论是指纹、人脸、虹膜扫描，所有这些都被分解成比特和字节，它们实际上是共享的秘密信息。”既然这些共享的秘密信息像密码一样以数字方式存储，那么从理论上讲完全可以窃取它们。不同之处在于，这做起来要难一些。

其目的是使犯罪分子很难获取这些信息，以至于大多数网络罪犯分子不得不去寻找其他更容易的攻击方式。很多企业根据风险、用户考虑和被保护的数据的价值，组合使用了多种身份验证方法，以达到合理的安全期望。

用户认识到了强身份验证方式的价值

如果用户抵制或者无动于衷，那么企业和面向用户的网站采用的最好身份验证计划就可能会失败。最近引人注目的泄露事件毕竟还是有一些积极的结果——用户开始认识到强身份验证的价值，似乎更愿意接受一些由此带来的不便。

独立安全研究员Jessy Irwin认为这种趋势开始于2015年初的Anthem泄露事件。“用户担心医疗信息被泄露。”而对于Equifax，这类担心还包括财务账目。

虽然用户更愿意接受更复杂的身份验证方式来保护医疗和财务数据，但并不是所有的服务提供商都提供这类选择。Irwin表示：“很多银行，因为以前做过类似的工作，认为与账户关联的安全问题是第二个验证要素，但事实并非如此。人们需要额外一层的保护，但却不知道应该打开什么。他们必须求助于客户服务或者客户代表，甚至是供应链，来要求这些功能。”

缺乏要求增加安全层的机制，导致一些企业认为没有客户对此有需求。Irwin表示：“有很多工作要做。人们知道自己有需求，但不知道到底需要什么。当他们知道自己需要什么时，有时候却没有打开某些功能的选择。这真是一场艰苦的战斗。”

对竞争的担忧阻碍了一些企业实施不同的身份验证过程，因为这些过程可能会导致难以使用他们的服务。智能身份验证提供商SecureAuth身份策略高级副总裁Robert Block表示：“当涉及到用户时，他们非常害怕会影响到用户体验。很大一部分原因是缺乏了解，实际上只要满足合适的环境变量，总是有影响不大的方法。”

Block说：“用户变得越来越聪明了。他们会问，‘如果我和你做生意，你能保护我的凭证吗？你提供2FA吗？如果是的话，我对这些方法有多少控制权？由于泄露事件的影响，如果还认为用户是懒惰的，不希望自己的用户体验被打断，那么这种想法是错误的。”

实现更强身份验证的难点不在于技术。Block说：“这涉及到人、过程和文化等因素。您能在周围找到合适的人来决定哪些风险是可以接受的吗？我们要支持多少要素，怎样把这些要素呈现给最终用户？”

为能够让用户接受，Block强调了灵活性。“无论您能承受什么样的风险，都应该尽可能的灵活，这样，最终用户会觉得一切都在他们的掌控之中。”

只使用密码身份验证方式的危险之处

如果只使用密码，那么对于黑客来说，破解或者窃取密码和用户ID易如反掌。即使您听从建议，保护好这些密码——也会如此。Irwin说：“有很多安全需求使得密码变得更脆弱，而不是更强。很多人认为，如果他们经常性地更改密码，那这就是良好的安全行为。其实不是。很多生成强密码的规则反而不如以前了。这让人更容易破解密码。”

Irwin所指的规则已经被广泛使用了，它是基于国家标准与技术研究所（NIST）等标准组织早期的一些建议。NIST最近修订了这些规则，以便更好地符合当今威胁格局的现实，但大多数企业尚未采用这些规则。

Heywood说：“密码的问题不在于密码本身。它在某些方面实际很难处理。问题的关键在于密码是一种共享的秘密信息。人们在网站之间重复使用密码，所以您不仅依赖于您正在使用的网站的安全性，而且还依赖于您曾经使用过密码的每一个网站的安全性。秘密信息总是要被转换的。”

密码是使用很难进行逆运算的哈希算法进行转换的。Heywood说，太多的网站使用的哈希算法已经有几十年的历史了，而且曾被攻破过。使用目前的高速计算机，黑客比较容易对盗取的密码进行哈希逆运算。“现在有工作框架，可以利用这些框架，快速验证这些凭证能否用于其他被攻破的网站，甚至实时验证能否用于一些其他网站。”

为最大限度地降低密码被攻破的风险，越来越多的人使用密码保管库，借助于伪随机发生器，使用很长的字符串对密码进行加密和随机化处理。Heywood说：“一些伪随机发生器由于实施不当而被攻破了，但总比没有好。”

双重身份验证：向前迈出的一小步

要求用户除了密码之外还要提供其他一些识别信息——这已成为安全验证的最低标准。这些信息通常只有用户自己知道，用于必须回答的安全问题，例如，“您的第一只狗叫什么名字”。也可以是通过短信发送到手机或者令牌设备（或者用户拥有的设备）上的验证码。endprint

这里的“安全”是一个相对的概念。在Equifax泄露事件中，一些用户的安全问题的答案也被攻破了。稍加思索，就很容易发现一些个人信息，比如母亲婚前的名字或者某人出生的城市等。

通过短信发送验证码也好不到哪里。事实上，新的NIST指南警告说，黑客能够拦截这些验证码。这在一定程度上是由于SS7（7号信令系统）固有的漏洞造成的，這是于1975年开发的一个协议，是电话网交换信息的基础。利用这一漏洞的黑客可以访问所有网络流量。

Irwin说，SIM卡劫持事件也越来越多了。她说：“一名社交工程师会给AT&T或者Verizon客户服务热线打电话，假装成要安装新电话或者要对帐户进行更改的另一个人。他们现在可以控制设备的身份验证，也能拦截短信密码。”Irwin指出，这种攻击的目标是黑客知道的有价值的用户，比如比特币帐户，或者对重要数据有高级访问权限的用户。

使用令牌设备或者显示验证码的令牌智能手机应用程序会更安全一些。Irwin说：“您不必再依赖另一种机制来获得验证码。黑客必须获得您所拥有的特定的令牌，才能去攻击第二个验证因素。这工作量太大了。令牌是传递2FA验证码最强、最好的方法。”

对于用户应用程序来说，令牌的问题在于人们拒绝使用它们，因为这需要一台单独的设备和它们自己的应用程序。Irwin说：“令牌可能还需要一些额外的工作。”她认为，如果用户能更好地理解有什么好处，令牌应用程序供应商使其用起来更方便，那么它们将被更广泛地采用。目前，传递验证码的令牌主要用在企业环境中。

无论是令牌还是智能手机，都要求拥有一种设备才能进行访问，这就避免了网络犯罪带来的损害。Edgewise网络公司联合创始人兼首席技术官Harry Sverdlove说：“当知道密码的唯一方式是拿着一台设备时，这就很难，甚至不可能发起大规模的攻击。”

多重身份验证：如果实施得好，会更强

MFA背后的想法是让黑客更加难以访问别人的账户。MFA通常需要一个用户ID和密码，一些您知道的东西，以及您拥有的东西。Heywood说：“如果已经应用了多重身份验证，而我有你的密码，那我就会去别的地方——在这些地方，管理员很懒，没有使用多重身份验证机制。MFA不是什么高招，但是除了专门的攻击者之外，它对于阻止大部分攻击还是非常有效的。”

MFA通常是一种分阶段的过程，当出现了警报时，会要求用户提供额外的识别要素。它通常与基于风险的身份验证相结合使用。例如，用户试图从一台新设备登录，或者想访问保护等级更高的区域的情况。Heywood说：“如果我经常登录看看我的收支情况，我的银行一般不会要求提供第二个验证要素。但如果我想把一千万美元汇到英国，那他们会问我第一个孩子是谁，血型是什么，等等很多问题。”

Block说，从今年1月1日到10月5日，SecureAuth涉及到的验证尝试中的88%都是经由第一个验证要素处理的。他说：“为什么每次都要用第二个验证要素给用户增加负担呢？”

Sverdlove说：“我们应普及MFA的应用。”他认为，最可靠的方案应包括用户知道的东西（密码、安全问题的答案）、您拥有的东西（智能手机、令牌设备）、您的位置，以及您自己的特征（生物识别、行为分析）等。

社交账号登录：可行但有风险

相对于其他服务网站，谷歌、脸书、推特和Instagram这些大型社交媒体网站通常能更好地保护用户ID和密码数据。他们还提供2FA——至少作为一种选择，并使用分析技术发现可能的非法登录尝试，一旦发现，就会要求提供更多的身份验证信息。

有了社交账号后，网站和移动应用软件允许人们使用他们的社交媒体帐户进行登录，这通常作为标准密码验证的选项。用户认为这更多的是为了方便而不是为了提高安全性，但是网站和网络服务提供商获得了某种程度的安全验证手段，否则他们可能没有资源来实现自己的目标。Jim Kaskade是JanRain的首席执行官，其客户身份和访问管理系列解决方案包括了社交账号登录功能，他说，社交媒体网站和社交账号身份服务提供商提供人员和技术来开发强大的身份验证功能，为用户身份提供现代化的保护。他说：“我们站在对安全作出了巨额投资的巨人的肩膀上。

社交账号登录的最大风险是，用户访问过的所有网站，比如说谷歌，如果谷歌账号被攻破，那么谷歌网站也将被攻破。攻击者可以通过多种方式控制社交账号：社交工程、创建虚假的个人资料，或者在暗网上购买用户ID和密码。用户如果打开2FA等可选验证功能，就能够降低这方面的风险，但很多用户都没有这样做。

Irwin说：“社交账号登录很有趣，因为我们为其打造了很强的OAuth。他们做两件事：他们将您的社交媒体账户和服务联系起来，而您不希望自己的社交媒体提供商参与其中，特别不希望他们有办法有针对性的投放广告。”她补充说，社交媒体公司已经拥有了太多的个人数据，甚至能够以意想不到的方式使用这些数据。通过社交账号登录，这些公司就会有更多的信息，知道您在网上的所有人际关系。她说：“这不太好。有点令人不安。”

Irwin认为社交账号登录在某些情况下也是有价值的。她说：“对于购物网站，或者用户没有设置好用户名和密码的网站，社交账号登录替用户完成了他们应做的很多工作。这不错，但是也使社交媒体网站的密码和用户名变得非常、非常脆弱。”Irwin说，那些对用户有意见的家庭成员、家庭伴侣或者朋友有时会利用这个用户的社交媒体账号登录来制造麻烦。“这可能是灾难性的。”

Kaskade认为，巧妙实施社交账号登录验证的公司能够减轻这种方式带来的相关风险。例如，一家企业可以把社交账号登录作为“轻型”身份验证方案的一部分，例如，使用脸书完成下载受控内容等简单服务，然后要求更高级别的安全登录方式（例如，MFA）才能获取更多的敏感信息，例如，访问您的支票帐户。endprint

他指出，即使银行和医疗服务提供商也开始在可行的地方使用社交账号登录——这些机构在保护个人数据方面受到了严格的监管。他们这样做会让用户感到很方便，减少了所谓的注册和登录疲劳，但他们显然采用了其他身份验证方式来增强社交账号登录方式。Janrain的社交账号登录产品支持通过设置用户行为规则来增强安全性。Kaskade说：“如果有人从美国登录，几分钟后又从中东登录了，那就知道要通过简单的规则集来增强MFA。”

生物特征识别：不像您想象的那么万无一失

术语“生物特征识别”包括一系列身份验证方法——扫描人的某些物理属性，包括面部、眼睛的虹膜、心跳、静脉图案或者指纹等，以证明身份。这些属性对个人来说是独一无二的，但对于身份验证目的，有利也有弊。

生物特征识别的一个优点是它便于用户使用。通过按压拇指或者扫描面部，用户不用记住密码或者安全问题的答案，就能使用他们的设备或者服务。生物特征识别的缺点是绝非万无一失。苹果最新的面部识别技术被一张3D打印的脸破解了。不太先进的人脸识别技术被验证过的人的照片愚弄了。

一个人的生物特征数据是以数字档案的方式存储起来的，而这会被窃取。一旦出现这种情况，验证就没有用了。Sverdlove说：“我不是一个密码迷，但您可以改变密码。当指纹被盗，面部信息被盗，DNA被盗时会发生什么？这些都是一成不变的，也是不可能改变的。”

窃取生物特征识别数据被认为比窃取或者破解密码更困难，盗贼要盗取个人生物特征识别数据的风险也很低。如果盗贼以多个个人资料为目标，那么风险就会显著增加。Sverdlove说：“存储在交易所的数以百万计的指纹将成为攻击目标。一旦被攻破了，就没有任何挽回的余地了。”

Sverdlove建议，企业不要为生物特征识别数据只建立一个存储库。他说：“从过去的经验中吸取教训：不要把所有的东西都存储在一个数据库中。它会被偷的。”

基于风险的身份验证：不要密码

密码、MFA、社交账号登录和生物特征识别都把证明身份的责任落在了用户身上。基于风险的身份验证功能支持企业负起身份保证的责任。这不是一个新概念。例如，信用卡发卡机构一直在使用基于风险的分析方法，通过查找异常的交易模式来检测欺诈行为。

设备度量，即行为生物特征识别，是基于风险的一种身份验证方式，旨在消除密码。软件分析打字模式、与屏幕的交互、设备IP地址或者地理位置，把这些数据和行为与特定用户关联起来。这种使用习惯的基本指标信息是通过机器学习随着时间推移而逐步建立起来的——尽管IP地址和位置等数据是直接从网络中获取的。

Block说：“您作为企业可以定义哪些地理位置是可接受的，哪些是不可接受的。我们开始记录您作为一个个体是从哪里来的。我们绘制出您来自哪里，您的设备的浏览器类型，您可能使用的电话号码，等等。”这样，软件能够确定呼叫是否来自某一地区已知的运营商。个人的设备使用习惯、基于风险的身份验证系统相结合，可以做出一个相当准确的决定：是否允许访问而不需要密码。

Irwin说：“您的最终用户想，‘我不必再使用密码了。这太好了，但是他们放弃了自己的超级私人信息，他们还不知道这些信息非常宝贵。您愿意应用程序提供商知道您是怎样使用手机的，您怎样触摸手机，您什么时候触摸手机，您什么时候点击“是”或者“否”吗？我不希望打着我的名义来采集这些信息。有时这种情况会出现在应用软件里，主要是用于广告目的。”

基于风险的身份验证并非万无一失。人们的行为往往是可以预测的，但环境可能会导致变化，从而给欺诈提供了可以利用的伪造的结果。Sverdlove问道：“如果患了腕管综合症怎么办？行为生物特征识别代表了将要应用的另一种标准。它使用起来不应该是排他的。”Sverdlove指出，一个人的数字行为指标也可以被下定决心的罪犯分子欺骗或者改变，尽管不太容易。

打字或者屏幕滑动模式等指标取决于用户对设备的操作习惯。Block说：“键盘和屏幕指标存在一些固有的问题，其中一些与应用软件密切相关。”这使得很难理解和解释击键行为。SecureAuth使用行为指标，但也依赖基于硬件的指标，例如，手机和设备类型。

找到最佳身份验证策略

还没有一种方法可以取代或者加强全系统的密码身份验证功能。企业应采取基于风险的方法，评估被保护数据的价值、被滥用的可能性，以及身份被窃取的后果。在大多数情况下，这意味着将身份验证与应用程序或者环境进行匹配，并使用某种类型的MFA进行备份。

例如，银行可能要求客户在登录时只提供密码。这样，客户可以看到他们账户的基本信息。如果客户想要进行交易，银行则会要求更多的身份识别信息，例如验证码。同时，银行使用行为分析软件查看会话过程中的使用模式和设备指标是否与该客户相关信息相匹配。如果某些参数与预定参数不符，会要求进一步的身份验证，或者拒绝和限制访问。

Block说：“我们认为，在每一个身份验证点，都应该预先进行一些风险分析检查，帮助您确定这个有效的用户身份是否足够可信，可以允许或者拒绝其访问，或者使用另一個验证要素对其进一步进行验证。”他补充说，SecureAuth的一些以消费者为中心的客户正朝着这个方向发展，但整个行业还没有这样做。

大多数专家都认为密码不会很快消失，但确实有机会能够减少人们需要管理的密码数量，企业系统尤其如此。Block说：“我们已经看到，企业要实行他们所谓的无密码，而我要说是减少对密码的依赖。如果他们的员工现在要管理20个不同的密码，也许今后他们管理5个就可以了，其余的都是通过一些其他的基本身份验证措施来进行管理的。”endprint