网路资讯/密码已死:开启双重验证新时代

作/刘乙

今年年初,某知名云端记事软体厂商惊传资料遭到窃取,迫使该公司重设5 ,000万名用户密码,并紧急通知使用者再次设定新密码。随后,该公司宣布采用双重验证(two-factorauthentication)来保护用户资料。

其它同样在验证方法上已做改变的公司,包括Amazon、Apple、Dropbox、eBay、Facebook、Google和Microsoft。根据TechNavio的调查显示,全球双重验证市场在2011至2015年预计可成长20 . 8 %;MarketsandMarkets的市场调查报告则指出,多重验证市场在2017年将达54亿5,000万美元。

此外,Fortinet自家的双重验证平台FortiAuthenticator,近来都可见到3位数的成长,这些迹象无疑显示这已是一个双重验证的新时代

因素验证已经过时

为何单因素(single-factor)验证的方法已经过时?以往网路威胁攻击方式不像现在如此多元,处理器运算能力也不够强。但如今,网路罪犯拥有更精巧的密码破解工具,以及无比强大的处理器,最重要的是:24小时连网电脑到处都是,这些都使得传统采用明文(plain text)的密码形态,成为非常容易攻击的目标。

此外,随着云端密码破解服务的出现(例如利用分散式电脑运算的Cloud Cracker),让尝试300万次的密码破解只需不到20分钟,而且只花费17美元。这意味即使是更周全、加过密的密码,也只需要一点耐心就能破解。

目前有四种管理密码的方法,但没有一种是无懈可击的:

1.明文:这种密码管理方式非常危险,因为骇客只需窃得一个明文的密码档,就能轻易地偷走整个伺服器的用户密码。澳洲税务局(ATO; Australian Tax Office)、英国通信总部(GCHQ)以及零售商Tesco,都曾发生过资料遭窃事件,最后都坦承是以明文的方式储存密码。

2.基本加密:这种方法是加密和储存个别的密码,即杂凑加密过(hashed)的档案,例如透过MD5或SHA1来运算。

不过,一个只杂凑加密过一次的档案若被偷走,也不会比明文密码安全多少。

因为CPU处理速度越来越强,新的密码破解软体越来越容易取得,加上lookup(函数)和Rainbow table(资料结构表)的查表法攻击方式,使得解开hash加密过的档案只是迟早的问题,取决于运算的资源时间而已。

3.随机字串加密:这种方法是在每个密码中加入一个字串后再进行加密,如此可以防止骇客取得运算前的储存值,使其无法查询比对(又称为加料式杂凑加密Salted hash)。

Salted hash当然也不是万无一失,因为如果加的「料」太短,或是同样的料已经被使用加在所有的密码里,那么就可能相对地容易将它们破解开来。

4.多重加密:这指的是「再次加密」已经加过密的密码值,也就是延伸(stretching)再加密,让一个密码被加密多次。不过,这样的方法能否增强安全性仍有所争论。

加料式杂凑加密或是延伸再加密,就短期而言,是比单纯的明文或只加密一次的密码来得安全。然而,如果充份利用今日无比强大的CPU效能,那么结果只是何时被破解,而不在于哪一种加密方法会被破解。我们必须明白的是:只要有时间和运算资源,没有任何一种加密方法是绝对安全的。

加入另一个验证因素

双重验证或称之为多重、两阶段验证,基本上它包含下列前2种的验证方法:

1.某一个使用者知道的东西:它可以是一个密码、预设的问题,或是在手机上滑一下的动作,基本上它通常是个「知识因素(knowledge factor)」。

2.某一个使用者有的东西:这可以是一个小型的硬体设备,例如智慧卡、USB、dongle或是智慧型手机token。它们能产生独特的一次性密码,通常是由使用者手机上的应用程式所产生或被传送过来的;这种验证方法被认为是「持有因素 (possession factor)」。

3.某一个使用者本身的东西:这通常需要一个生物特征辨识器,用来侦测某一个人拥有的身体特征,例如指纹瞳孔周围的虹膜或是声音。这类的验证因素定义为「与生拥有因素 (inherence factor)」。

目前市场上有许多主要的双重验证的方法,包括第二密码、智慧卡、手机或硬体token,或是应用渐广的各种生物辨识技术,每种都有其利弊之处。例如采用知识因素的第二密码或通关密语虽然方便,但简单的不安全、复杂的容易遗忘,而且一样容易被破解,或是遭键盘记录程式窃取。

至于持有因素的智慧卡,手机或硬体token,优点虽然比密码安全,不易遭到骇客的破解,但因为必须在登入时持有它,甚至不同的网站(或服务)可能会有不同的智慧卡或token,也会有遗失或被偷走的可能。

最后一项与生俱有的因素-生物特征,主要分为两类:生理特征和行为特征。生理特征如指纹、脸、虹膜、视网膜手部扫瞄等;行为特征则主要包括语音笔迹

生物特征的优点在于不用记密码,也不用持有额外的物件,但因为需要比对样本档,若样本档损毁或辨识设备精准度不够,同样也会有问题。