科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道双因素认证如何用来加强SSL认证的不足

双因素认证如何用来加强SSL认证的不足

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

仅依赖于密码无法提供足够的企业安全。RSA 安全令牌、智能卡、生物测定等双因素认证技术为实现安全的远程访问带来新的契机……

作者:中计在线 2007年10月22日

关键字: 用户密码 SSL认证 身份认证

  • 评论
  • 分享微博
  • 分享邮件

  你的密码安全吗?

  一般情况下,我们通常使用“用户名称+密码”的方式登录网络。这种方式在密码学产生之初一直延续到现在,是使用最为普遍的密码认证方式之一。

  为了方便记忆,我们常常习惯使用特殊的数字,例如家人的生日、自己的生日、身高体重、电话或门牌号码等。密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解,存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC和服务器上被转移等等。

  于是,为了维护密码安全性,我们必须注意,严格控制密码的长度、复杂性(例如:中英文数字夹杂,大小写间隔,长度须超过8个字符以上),并定期更换密码。所有的这些手段,对个人而言,“烦”。而企业的安全管理又是怎样的呢?

  一份调查结果表明,仅依赖于密码无法提供足够的企业安全。无论员工是把密码记录下来,还是因为常常忘记密码而求助于公司内部的服务中心,公司都可能因此降低工作效率,造成不必要的安全隐患,甚至严重损失。

  调查结果显示:

  50%的员工仍将他们的密码记录下来;

  超过1/3的被调查者与别人共享密码;

  超过80%的员工有3个或更多密码;

  被调查者使用密码访问越来越多的应用程序:67%访问5个或5个以上,另有31%访问9个或更多;

  47%的被调查者每年至少必须重设一次密码。

  在所有被调查的企业中,68%的企业通过要求更长或更复杂的密码来增强了其安全政策。考虑到全部被调查者中有47%使用5~10个密码访问业务应用程序,随着密码频繁更换,员工将密码记录下来或者由于密码太复杂而忘记密码的可能性急剧上升,这同时为密码泄漏留下安全隐患。

  要效率还是安全?

  毫无疑问,企业信息化给生产力带来的大幅提高,让众多的管理者对企业信息化充满信心,并且努力将信息化范围拓展到更为宽广的范围,打造随时随地办公的企业网络。越来越多企业都透过远程接入设备,使员工在企业外部能够访问OA,ERP,CRM等内部资源。大部分的业务人员俨然已经成为当前最流行的移动式工作者,透过公众网路连回到公司服务器,天天在外面,一样工作。

  为了确保资料传输安全,多数远程接入系统采用以IPSec VPN为主的Client-Server架构式的VPN连线服务。然而,由于网路环境复杂,Client-Server架构的IPSec VPN方式需要在用户端中安装额外的专用软件,使用上不是非常方便,SSL VPN逐渐成为新的选择。SSL VPN同样拥有高等级的加密能力,但使用却只需要IE浏览器即可,而不需要另外安装VPN软件,简单来讲,可以连上Internet即能够实现访问企业内部资源。

  在身份认证安全方面,SSL VPN可以做到基于用户的粒度控制,基于用户和组授予不同的应用访问权限,并对相关访问操作进行审计,保证只有“正确”的用户才能访问“正确”的应用。不过验证的方式还是没有逃离“用户名+密码”,如何才能够在随时随地远程接入的同时,保障企业安全?

  安全远程访问的出路在哪里?

  更强劲的验证方式应运而出。RSA 安全令牌、智能卡、生物测定等双因素认证技术为实现安全的远程访问带来新的契机。通过将一些物理ID与数字ID整合使用,即:用户名(唯一的)+PIN(自己设)+令牌码(动态)。

  双因素是密码学的一个概念。身份认证有三个要素:

  第一个要素(所知道的内容):需要使用者记忆的身份认证内容,例如密码和身份证号码等。

  第二个要素(所拥有的物品):使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。

  第三个要素(所具备的特征):使用者本身拥有的惟一特征,例如指纹、瞳孔、声音等。

    单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走; “所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记; “所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章