双因素身份验证最终变得更加方便

双因素身份验证最终变得更加方便

时间:2020-01-09 15:52 作者:admin 点击:
阅读模式 15:09:17

本文的特约作者Maxim Oliynyk是Protectimus的联合创始人,这是一个通过oauth认证的双因素身份验证解决方案。

你可能已经听说过这句话:重要的信息需要尽可能的安全,尤其是如果它被储存在网上。

但你不能依靠常规的登录和密码。这样的凭证很容易被监视、猜测或通过数百种黑客手段中的一种获得。幸运的是,还有更有效的数据保护方法,其中一种是经过长时间和数百万用户测试的双因素身份验证。

如今,几乎每一种可以用来存储有价值信息的资源都为用户提供了激活账户双因素认证(2FA)的选项——从社交网络和在线游戏,到邮件服务器,当然还有银行和支付系统。由于我们越来越多地从移动设备访问这些账户,这需要额外的保护免受恶意攻击。不幸的是,用户往往认为额外的安全措施很乏味,并忽视它们,使它们很容易受到攻击。

然而,新的2FA方法正在出现,可以帮助带来更多的保护,而没有额外的负担。其思想是:使用您试图保护的移动设备作为安全令牌本身。

实现双因素身份验证的方法有很多,但也有一些优点和缺点。

通常,一次性密码(OTP)是通过短信提供的。一方面,它很方便。但它也有另一面:

其他系统使用钥匙链、闪存驱动器或银行卡形式的硬件令牌,以及通过电子邮件发送的OTP。硬件令牌相对可靠,但随身携带并不总是方便。它们可能会丢失,被遗忘,需要持续的关注。OTP通过电子邮件交付的缺点实际上与SMS身份验证的缺点相同。

面对这样的不便,用户通常会放弃额外的帐户保护,将双因素身份验证视为一种负担。但是,随着iphone、Android智能手机和智能手表等新技术的出现,出现了一种新的、更方便的一次性密码生成方法。

我的公司一直在使用CWYS (Confirm What You See),这是一种数据签名功能,在事务安全性方面是一个全新的开发。作为一款移动应用程序,以及其他功能,它使用手机和智能手表来帮助它们抵御自动传输、替换和数据修改等网络威胁。

直到最近,违规者还可以使用特定类型的恶意软件绕过双因素身份验证。

它通常是这样完成的:在系统注入之后,当用户发起一个合法的传输时,它会等待片刻,这时它会向用户显示一个带有请求消息的弹出窗口,例如,在验证数据时,用户应该等待。

在此期间,注入执行一些操作,对用户隐藏,导致资金被转移到一个下降帐户;如果需要OTP或PIN,恶意软件就会向用户显示一个伪造的密码请求页面,不过是用了另一个(欺诈)借口。不知情的用户输入有效代码,自动传输系统使用获得的数据来完成事务。

但是,由于CWYS功能的激活,otp生成过程不仅涉及密钥、时间或挑战,还涉及交易/转移细节,如转账金额、货币、收件人等。因此,即使密码被截获,对黑客来说也毫无用处。

保护小工具及其用户

由于人们花在手机和手表上的时间越来越多,移动设备似乎是一个自然的安全重点领域。

大约有20亿人(占地球总人口的四分之一)已经在使用智能手机。在美国在美国、欧洲、中国、日本和印度,Android和iOS智能手机用户的数量超过了50%。预计到2017年,全球超过三分之一的人口将使用智能手机。

为智能手机开发OTP令牌有以下几个优势:

双因素认证技术正以惊人的速度继续发展。推动双因素认证的厂商考虑电子领域的最新趋势,分析潜在客户的需求,提供最便捷的解决方案。

这是至关重要的工作,尤其是在我们最常用的设备上。行业必须找到方法来普及双因素认证,使其既安全又方便。这是确保每个互联网用户的个人信息得到更多保护的最佳方式。

注意:由于编辑错误,这篇文章的早期版本包含了违反ReadWrite的客座文章准则的内容。文章已经更新。