双因子认证不可靠?
开篇:润墨网以专业的文秘视角,为您筛选了一篇双因子认证不可靠?范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
双因子认证技术真的那么完美且难于被攻破吗?近日,有国外研究人员对于双因子认证所具有的效果提出了严厉的质疑,尤其是以一次性密码和智能卡形式呈现的双因子认证令牌。研究表明,双因子认证技术需要取得一些新的进展和突破,才能恢复其作为一项安全保护措施所特有的安全性和吸引力。
迈克菲和Guardian Analytics公司近期了一份题为《深度剖析针对高净值账户的盗窃行动》(Dissecting Operation High Roller)的联合报告(下文简称“报告”)。在报告中,双因子认证技术受到了一些质疑。报告描述了这样一个案例:某个国际性犯罪团伙一直在窥视着企业和个人的银行账户,并且采用了与某地远程服务器密切关联的一个自动化操作,通过未授权且具有欺诈性的转账,企图盗窃巨额资金。由于犯罪团伙给受害者的计算机植入了恶意软件,因此,在这一过程中,用来验证银行账户访问授权的双因子认证令牌非但没有阻止不法分子,甚至连用户的验证过程都纵,并整合到了针对账户的自动化攻击过程中。
迈克菲高级研究和威胁情部主管Dave Marcus说:“我之前从未在其他任何地方见过这种情况。”他与Guardian Analytics威胁研究人员Ryan Sherstobitoff共同撰写了这份报告,介绍了这两家公司在对网络犯罪活动进行研究后的成果。上文描述的犯罪活动案例始发于去年秋季,当时受到侵害的主要是欧洲范围内的银行及其客户。
这一案例中的犯罪团伙精心设计了接管账户的整个过程,以便最大限度地获取并利用双因子认证技术的信息。Marcus说:“这一犯罪团伙开发出了一项基于双因子认证的欺诈技术。”
犯罪团伙设计出来的恶意软件能够获取到用户的登录信息,并将芯片和密码信息嵌入到自动化攻击过程中,以便执行欺诈性的转账操作。Marcus对此表示说:“收集令牌信息是欺诈过程的一部分。”
这就是为什么迈克菲和Guardian Analytics在联合报告中发表了强有力的声明。声明表示“破解掉使用物理设备的双因子认证技术,对于犯罪团伙而言是一大突破。金融机构必须重视这种新的手法,特别是考虑到这种破解方法可能会被推广到以其他安全形式承载的物理设备上。”
不过,Marcus谨慎地表示不建议大家停止使用双因子认证技术,而且他也认为,这一技术被破解不代表双因子认证天生就存在缺陷。他仍然坚持:“芯片与密码的组合是一道坚固的防线。”但他补充说,发生在欧洲的这次疯狂犯罪活动表明,双因子认证技术在设计方面需要加以某种改进,只有这样才能与日益狡猾的网络犯罪活动斗智斗勇。
英国Winfrasoft公司的技术主管Steve Hope也表达了同样的观点:“在双因子认证技术中应该采用更为创新性的方法。”这家公司已经设计出了自己的双因子认证方法,名为PINgrid。虽然Winfrasoft公司发现其企业客户目前还没有采用PINGgrid方法,但Hope仍然建议双因子认证技术采用新的方式以解决出现的问题。
Hope认为:“如今,双因子认证与交易之间没有有机地结合起来。”他指出,一个根本的问题可能是,双因子认证没有与交易和账户代码的验证直接联系起来。这两个验证过程如今是分开来的,但应该可以把它们结合起来,以抵御狡猾的攻击。当然,“恶意软件眼下很难对付。”他补充说道。
双因子认证有漏洞?
法国国家计算与自动化研究所(INRIA)的密码研究人员曾了一篇技术性很强的文章,该文章称他们发现了加快攻击令牌设备的实际方法。这篇文章的题名是《针对加密硬件的高效Padding Oracle攻击》(Efficient Padding Oracle Attacks on Cryptographic Hardware)。围绕双因子认证的另一场争议随之而爆发。
这些自称是Prosecco研究组的研究人员打算在即将召开的CRYPTO大会上更详细地探讨他们所发现的结果。他们表示,目前其已经可以从Alladin、Gemalto、RSA SecurID、Safenet和西门子等知名厂商的令牌中获取加密密钥。这一言论让安全圈子“炸开了锅”。
Prosecco研究组表示,其已经将破解RSA SecurID的时间缩短到了13分钟。EMC下属的安全部门RSA措辞激烈地驳斥了Prosecco研究组的这一说法。Prosecco研究组同时还表示,其他厂商的令牌同样不堪一击,但据说攻击时间会花费更长的事件,从21分钟到92分钟不等。
RSA首席技术官Sam Curry近日在其公司博客中写道:“这番言论无疑为我们敲响了警钟,已经部署了RSA SecurID 800验证器的客户应该引起注意。不过,事实却并非如此。Prosecco所报告的大部分信息都夸大了该研究的实际影响,而且采用了故弄玄虚的技术行话,让安全从业人员无法准确评估与产品有关的安全风险。目前来看,用户和整个行业都把时间浪费在了查明实际情况上。”
不过,美国的一些密码研究人员表示,不应对法国研究人员的这些说法掉以轻心。
约翰斯?霍普金斯大学的密码学家兼研究人员Matthew Green最近在个人博客中写道,“密码令牌行业这几年来日子并不好过”,Prosecco研究组发表的这篇文章也许只是最新的坏消息而已。
被问及对这一研究有什么看法时,Green说:“所有这些令牌都采用了RSA加密方案中的一种已知而且易受攻击的实施机制。从我们所知道的情况来看,这种加密机制从1998年开始就遭受到了攻击。所以从这个意义上来看的话,其算不上是什么新话题。”但他表示,法国研究人员所做的是,“证明了这些令牌很容易遭到黑客的攻击。按理来说,开发人员应该早在这篇文章发表之前就认识到这一问题,并加以解决。不过事实并非如此。”
Green认为,Prosecco研究组的研究人员“大大加快了攻击速度,使得对这些令牌设备的攻击成为可能。这很了不起,因为攻击令牌通常没那么快就能得逞。而新的攻击只要在几分钟内之间就能生效,而不是几小时或几天内。”