2023年09月11日 10:28:12 来源:上海派拉软件股份有限公司 >> 进入该公司展台 阅读量:12
动态口令(Dynamic Password)是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次。
动态口令认证就是在登录过程中加入不确定因素,使每次登录时传送的认证信息都不相同,以提高登录过程安全性。动态口令认证技术消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。
动态口令是变动的口令,其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子(two factor):
其一,为用户的私有密钥。它是代表用户身份的识别码,是固定不变的。
其二,为变动因子。
正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形成了不同的动态口令认证技术:
1. 基于时间同步(Time Synchronous)认证技术;
2. 基于事件同步(Event Synchronous)认证技术;
3. 挑战/应答方式的非同(Challenge/Response Asynchronous)认证技术。
基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为30秒/60秒,每30秒/60秒产生一个新口令。
基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在算法中运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响,但由于其算法的一致性,其口令是预先可知的,通过令牌,你可以预先知道今后的多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登陆的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。
对于挑战/应答令牌,由于在令牌和服务器之间除相同的算法外没有需要进行同步的条件,故能够有效地解决令牌失步的问题,降低对应用的影响,同时极大地增加了系统的可靠性。挑战/应答令牌使用的缺点主要是在使用时,用户需多一个输入挑战值的步骤,对于操作人员,增加了复杂度,故在应用时,将根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。
上述三种动态口令身份认证方式的性能比较见下表:
生成动态口令的常见方式
目前主要用于动态口令的生成方式主要有硬件令牌、手机APP令牌等方式:
硬件令牌
硬件令牌当前较主流的技术方式是基于时间同步的方式,它每30秒/60秒变换一次动态口令,动态口令一次有效,它产生6位/8位动态数字。硬件令牌已经被市场接受,且有很多厂商使用。硬件令牌的优点不仅非常安全,而且使用非常方便。
手机APP令牌
手机APP令牌是用来生成动态口令的手机客户端软件,在生成动态口令的过程中,不会产生任何通信及费用,不存在通信信道中被截取的可能性。使用手机作为动态口令生成的载体,即使欠费和无信号对其都不产生任何影响,由于其在具有高安全性、、无需单独携带,在移动互联网的浪潮下,现代人出门及时忘了带钱包,也不会忘记拿手机,相比硬件令牌,手机APP令牌的成本更低、使用更便捷。
动态口令的典型应用
1. 身份认证
在用户进行登录认证时,目前主流的方式仍然是用户名加密码的方式进行认证。用户的密码过于简单或容易被猜中,用户使用密码存在不良习惯,都可能造成密码的失窃。而用户的密码过于复杂,则极有可能造成用户忘记密码的情况发生。
使用动态口令替代密码,用户在登录认证时,只需要用户名+动态口令,即可完成认证,用户登录时,一次一密,用户使用便捷,安全性也能得到提高。
2. 二次认证
在用户已经登录了之后,当进行一些较敏感、较重要的业务/数据操作时,可以要求对用户的身份进行一次动态口令方式的二次认证,已登录用户必须再次输入当前登录用户所对应的动态口令,对用户的身份进行再次核验,从而对敏感数据进行二次保护,能极大地提升系统的安全性。
3. 双因素认证
在传统的用户名+密码的方式之上,引入动态口令,进行用户名+密码+动态口令的双因素认证方式。相比传统的用户名+密码方式,加入动态口令进行双因素认证,即使用户名、密码被泄露,但依然用户的身份不被仿冒。
见的双因素认证场景为VPN的登录认证,采用双因素认证,能极大地保护内部资源不被入侵。
派拉软件新一代MFA产品ParaSecure Multi-Factor Authentication(MFA),采用微服务架构设计,除了提供OTP动态口令服务外,更可提供各种生物特征识别如指纹、人脸、声纹等认证手段,安全连接云、员工、客户、供应链、物联网。
更可基于用户行为的风险识别,支持根据用户所在地点、终端、访问习惯等场景信息,制定差异化的认证策略,利用大数据技术和AI算法,以身份数据为基础建立风险引擎,引入风险模型算法,根据用户访问习惯、特征判别风险等级,智能化身份识别验证。
