软件令牌是多因素安全性中有效的第二个因素吗？

Posted 2023-02-19

【中文标题】软件令牌是多因素安全性中有效的第二个因素吗？

【英文标题】：Is a software token a valid second factor in multi-factor security?

【发布时间】：2010-09-09 12:12:42

【问题描述】：

我们正在更改我工作场所的远程登录安全流程，我们担心新系统不会像旧系统那样使用multi-factor authentication。 （我们一直在使用 RSA 密钥卡，但由于成本原因正在更换它们。）新系统是一种反网络钓鱼图像系统，被误解为双因素身份验证系统。我们现在正在探索如何在不向用户发布硬件设备的情况下继续提供多因素安全性。

是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上，这将构成多因素身份验证系统中真正的第二因素？这会被认为是“用户拥有的东西”，还是仅仅是“用户知道的东西”的另一种形式？

编辑：phreakre 对 cookie 提出了一个很好的观点。对于这个问题，假设 cookie 已被排除，因为它们不够安全。

【参考方案1】：

安全总是需要权衡取舍。硬件令牌可能更难被窃取，但它们无法针对基于网络的 MITM 攻击提供保护。如果这是一个基于 Web 的解决方案（我假设它是，因为您使用的是基于图像的系统之一），您应该考虑提供相互 https 身份验证的东西。然后，您可以免受众多 DNS 攻击和基于 wi-fi 的攻击。

您可以在此处了解更多信息： http://www.wikidsystems.com/learn-more/technology/mutual_authentication 和 http://en.wikipedia.org/wiki/Mutual_authentication 这是一个关于设置相互身份验证以防止网络钓鱼的教程： http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.

基于图像的系统被宣传为相互身份验证，我猜是这样，但由于它不是基于加密原理，所以它很弱。是什么阻止 MITM 也展示图像？它也不是用户友好的 IMO。

【讨论】：

不完全准确，你拥有的东西，如果做得好，可以防止基于网络的攻击。例如，加密智能卡。你是对的，是伪 2ndfactor，比如 RSA securid。这并不能阻止 MITM...

另一方面，您关于“图像身份验证”的观点是正确的。我一直在反对那台机器，我不明白为什么它不明显。

【参考方案2】：

您所描述的是计算机拥有的东西，而不是用户。 所以你可以假设（取决于实现）确信它是计算机，但不能保证用户......

现在，既然我们在谈论远程登录，也许情况是个人笔记本电脑？在这种情况下，笔记本电脑就是你所拥有的东西，当然，它的密码也是你知道的......那么剩下的就是安全实施，并且可以正常工作。

【参考方案3】：

我同意@freespace 的观点，即图像不是用户多重身份验证的一部分。正如您所说，该图像是反网络钓鱼计划的一部分。我认为图像实际上是系统对用户的弱认证。该图像向用户提供了网站有效而非虚假网络钓鱼网站的身份验证。

是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上，这将构成多因素身份验证系统中真正的第二因素？

基于软件的令牌系统听起来您可能想研究 Kerberos 协议，http://en.wikipedia.org/wiki/Kerberos_(protocol)。不过，我不确定这是否算作多重身份验证。

【参考方案4】：

我会说“不”。如果不发布最终用户可以随身携带的东西，我认为您无法真正获得多因素身份验证的“您拥有的东西”部分。如果您“拥有”某些东西，则意味着它可能会丢失 - 没有多少用户会丢失他们的整个台式机。 “你所拥有的东西”的安全性，毕竟来自以下几点：

当您没有它时您会注意到 - 明确表明安全性已受到损害 只有 1 人可以拥有它。因此，如果您这样做，其他人就不会这样做

软件令牌不提供相同的保证，我不会凭良心将其归类为用户“拥有”的东西。

【参考方案5】：

软件令牌是第二个因素，但它可能不如 RSA fob 好。如果用户的计算机受到威胁，攻击者可以默默地复制软件令牌，而不会留下任何被盗的痕迹（与 RSA 密钥卡不同，他们必须自己拿走密钥卡，因此用户有机会注意到它丢失了）。

【参考方案6】：

虽然我不确定它是否是“有效”的第二个因素，但许多网站已经使用这种类型的过程有一段时间了：cookie。几乎不安全，但它是您描述的项目类型。

就“用户拥有的东西”与“用户知道的东西”而言，如果它是驻留在用户 PC 上的东西（例如后台应用程序在被询问时提供信息但不要求用户做任何事情），我会将其归档在“用户拥有的东西”下。如果他们在某个字段中输入密码，然后输入另一个密码来解锁您存储在他们 PC 上的信息，那么这是“用户知道的”。

关于已经存在的商业解决方案：我们使用名为 BigFix 的 Windows 产品。虽然它主要是一个远程配置和合规性产品，但我们有一个模块作为我们用于远程/*** 情况的多因素系统的一部分。