Skip to content

管理标识和身份验证

时间:2023年2月21日 星期二

作者:小王

一、主体(subject)和客体(object)的区别

终端用户访问OA的过程,阶段1终端(主体)访问OA的web前端(客体),阶段二OA的web前端(主体)访问数据库(客体),不同过程中主客体会发生转换,该过程还会涉及一个概念叫信任传递,即终端实际无法访问数据库,但通过两者都信任的web前端实现了互通,是一个需要关注的风险点。

二、身份的注册、证明和建立

当你想要在某个组织创建新账号时,就会进行注册。为了确定确实你声明的身份是你自己,那就需要你来进行证明,通常有两种方式:

1.线下注册:通常需要提交身份验证材料,如身份证、户口本等。

2.线上注册:通常使用基于知识的身份验证(KBA),即问只有你自己知道的信息,如姓名、身份证号、手机号、房贷金额、车贷金额、家庭住址等。

​ 验证通过后就可以完善账号信息了,包括昵称、密码、邮箱等,其中认知密码(cognitive password)或安全问题(security questions)常用于后期使用过程中忘记密码时进行密码重置,属于KBA。

KBA的风险在于现今社交媒体的发达,导致个人信息很容易不经意泄漏,导致认知密码的猜测,不是安全的身份验证方式。

三、授权和可问责性

授权是主体经过身份验证后获取执行权限的过程,如主体仅可以对文件执行读取操作。

审计、日志记录和监控通过确保受试者对其行为负责而提供可问责性。可问责性依赖身份识别和验证的强度,即身份有唯一标识且不易被冒充。

四、身份验证因素概要-重要

1.三种主要的身份验证因素

• 类型1-你知道什么:密码、PIN码等记忆到脑袋里的信息。

• 类型2-你有什么:物理可触碰的设备,如手机、USB-Key、门禁卡等。

• 类型3-你是什么:生物识别因素,如指纹、虹膜等。

单因素身份验证即只使用一种,多因素身份身份验证使用两种及以上。单个身份验证因素来说,类型1最弱、类型3最强,但类型3也易被绕过,如人脸识别绕过,因此建议采用多因素身份验证。

2.基于属性的身份验证因素

• 你在哪:可标识物理位置的信息,如IP地址、座机号码、GPS等。常用于做异常位置登录验证,如钉钉上班打卡。

• 上下文感知身份验证(Context-Aware Authentication):常用于移动设备管理的身份验证,基于设备指纹、地理位置、时间等多维度进行身份验证。举个例子,一个员工拿手机连公司的WiFi,上下文感知身份验证会从多个维度做身份验证,如手机型号、MAC地址、序列号、是否是上班时间等,如今提到的零信任身份验证采用的就是该方法。

• 你做什么:我们熟知的手势密码,常用于解锁移动设备的手机屏幕。

五、你知道什么

密码是最常用的身份验证技术,但也是最脆弱的,密码短语(Password Policy Components)是加强密码的方法,如“IPassedTheCISSPExam.”。个人身份号码(PINs)也属于类型1,不单独使用,通常与类型2配合使用。

1.密码策略

• 最大使用期限:要求定期修改密码。

• 密码复杂度:要求密码包含大小写、符号和数字4种类型。

• 密码长度:密码越长越难破解,最直接提高爆破难度的策略。

• 最小使用期限:要求不能频繁修改密码。

• 密码历史:强制用户修改密码时不使用之前使用过的密码。

2.权威密码建议

密码建议一直在改变,所有人都没有达到共识,因此需要定期关注相关动态并更新密码策略。

NIST SP 800-63B密码建议

• 密码必须哈希存储:不建议明文存储密码;

• 密码不应该过期:实践发现过期改密码用户总是只改1个字符,没太大意义;

• 用户不应该被要求使用特殊字符:特殊字符增加用户记忆密码的难度;

• 用户应该能够复制和粘贴密码:复杂密码不能复制粘贴会导致用户改用弱密码,毕竟手敲复杂密码非常烦;

• 用户应该能够使用所有字符:某些系统不能使用空格或特殊字符做密码;

• 密码长度应该最少8位、最大64位:超长密码可使用户方便地创建密码短语;

• 密码系统应该筛查密码:密码系统应该检查用户配置的密码是否是弱密码。

PCI DSS不同的密码要求

• 密码至少90天过期一次

• 密码长度必须超过7位

组织应根据自身所处行业以及合规要求制定符合自身的密码策略。

六、你有什么

智能卡和令牌是类型2的典型示例,由于存在用户共享或借用的情况,通常不会单独使用。

1.智能卡

可做简单计算和存储,一般用于门禁,且通常“哔”完还需要再输入一下PIN码或密码。美国政府人员使用的智能卡是CAC(军事)和PIV(个人)。

2.令牌

令牌是指可用于生成密码的设备,如网银令牌。

• 同步动态密码令牌:令牌与服务器时间同步,定期不停的生成密码。

• 异步动态密码令牌:手工触发令牌获取动态密码,使用nonce(一次使用的数字)确保密码的一次性。

同步使用TOTP标准(基于时间的一次性密码),异步使用HOTP标准(基于HMAC算法的一次性密码)。

令牌可以是硬件,也可以是软件,硬件相较来说更稳定和安全,但也存在没有电导致不可用的情况。

七、你是什么

生物识别因素可同时用作标识和身份验证。

1.常见生物识别方法

• 指纹(fingerprint):识别指头图案,常用于手机、电脑、USB等设备解锁。

• 面部扫描(face scans):识别面部几何图形,除用于解锁设备,也用于抓捕罪犯,如天网系统。

• 视网膜扫描(retina scans):识别眼球上血管模式,最准确的生物识别方法,但可能泄露健康信息(PHI)或对用户不友好。

• 虹膜扫描(iris scans):识别瞳孔周围彩色区域,准确度与视网膜扫描一致,但可实现较远距离的识别。

• 手掌扫描(palm scans):指纹扫描的plus版本。

• 语音模式识别(voice pattern recognition):识别一个人说话声音的特征,即声纹(voiceprint),如电影《2012》里富商说的“Start Engine”。

还有一些弱鸡识别方法,如识别手部几何图形、心脏/脉冲模式、签名动态和击键模式等。

2.生物识别因素错误率

会考

错误拒绝率-FRR-I型错误:有效的生物特征也无法通过验证,安全要求高的环境使用。

错误接受率-FAR-II型错误:无效的生物特征被错误识别成有效身份,安全要求低的环境使用。

img

FAR与FRR的交叉点是交叉错误率CER或等错误率ERR,用于评估生物识别的质量。

3.生物识别注册

生物识别登记存储的生物特征因素样本叫参考配置文件(reference profile)或参考模板(reference template),选择生物识别设备时需考虑注册所需时间(注册身份信息时间过长太耽误事)和吞吐量(生物识别的时间过长也无法忍受)。

八、多因素身份验证(MFA)

单独使用密码容易被爆破猜测,单独使用令牌容易丢失或被窃,单独使用生物识别会有误报,因此组合使用强度和准确度最高。

九、无密码身份验证

由于密码的不安全性,无密码身份验证方式越来越流行。快速在线身份识别(FIDO)标准用于解决减少用户对于密码依赖的问题,FIDO 2.0被称为Web身份验证或WebAuthn,通过生物识别、蓝牙设备等实现强身份验证,应用领域包括在线支付、系统身份验证等。

十、设备身份验证

现如今大部分公司都允许员工自带移动设备到公司办公,除了对用户进行身份验证外,还需要对其设备进行验证,以确保非法设备无法接入组织网络,降低内部威胁。

1.设备指纹

用户将移动设备在公司进行注册,并关联到用户内部账户,实现账户和设备的双验证。设备指纹就如同人的指纹一样,具有唯一性。设备指纹包括设备型号、硬件配置、操作系统版本、序列号、MAC、IP等,采集的特征越多,设备指纹的唯一性越强。

2.802.1x

基于端口的身份验证标准,与设备指纹集成到MDM或NAC解决方案。

十一、服务身份验证

用于非用户使用而建立的服务账号,如服务器A定期备份并上传到共享服务器B,服务器B建立备份服务账号,仅用于服务器A上传备份。服务账号一般权限较大,除采用密码验证方式外,还会使用数字证书实现身份验证。

十二、双向身份验证

通常仅提供服务端身份验证,但无法保证客户端的安全性,因此可使用数字证书进行双向认证,即服务端有证书、客户端也有证书。