在美國,大約19% 的成年人口經歷過身份盜用。超過 6000 萬美國人的在線身份被黑客攻擊其服務提供商或政府機構的客戶數據庫。歐洲和其他國家的情況類似。
身份盜用並不是唯一與密碼被破解和在線賬戶被盜並駕齊驅的犯罪:信用卡欺詐、勒索、侵犯隱私和非法竊聽都在世界各地頻繁發生。
多因素身份驗證(MFA,有時簡化為“雙因素”或 2FA)已被證明是增強在線帳戶安全性的有效工具。但是,啟用 MFA 或 2FA 並不意味著您的帳戶自動安全。
幾個世紀以來,軍方和精英階層一直在使用 MFA。例如,在大仲馬的《三個火槍手》中,達達尼昂收到了法國安妮女王的戒指以及他需要用來與白金漢公爵溝通的口頭指示,以警告公爵紅衣主教黎塞留和米拉迪德溫特正在密謀殺死他。
現代使用 MFA 來保護計算機記錄和在線帳戶的安全起源於銀行業,典型的例子是從 ATM 機提取現金,這需要有銀行卡並知道您的 PIN。
使用 ATM 的人。 圖片來自Pixabay
在 2000 年代初期,銀行、在線商店和服務推出了基於包含一次性密碼 (OTP) 的短信的電信版 2FA。現在這是 2FA 本身的同義詞。
最近,移動應用程序(例如跨平台的 Google Authenticator)使用TOTP和HMAC軟件算法為移動平台帶來了與運營商無關的 2FA。
Android 智能手機上的 Google 身份驗證器屏幕截圖。圖片來自AskUbuntu,來自 StackExchange
那麼,為什麼還要為需要攜帶另一個對象的老式硬件身份驗證令牌而煩惱呢?
在這篇文章中,我們將嘗試解釋為什麼硬件第二因素解決方案是一個不錯的選擇,並將指導您了解我們的旗艦產品Hideez Key的功能,它使硬件 MFA 成為此類情況下有效且易於使用的解決方案。
事實上,外部設備是真正的第二個因素——在現代網絡空間中感到安全所需的多個因素之一
在網絡犯罪分子和政府甚至可以繞過雙因素身份驗證的時代,將您的第二因素信任給您想要保護的同一台設備並不是最好的解決方案。眾所周知的雙因素身份驗證的三大支柱是您知道什麼(即密碼或 PIN)、您擁有什麼(即銀行卡、數字令牌或其他物理對象)以及您是什麼(即指紋、虹膜或其他生物特徵數據)眼部靜脈、您在鍵盤上打字的方式、您聲音或心跳的聲波模式等)。
使用純軟件 2FA 的客戶將自己限制在他們知道的範圍內,即他們的永久密碼或密碼短語和一次性密碼(OTP) 或 PIN,這最終只是另一個密碼。這意味著以某種方式控制了您的客戶端設備或能夠看到您屏幕上的內容(想想閉路電視或現代辦公大樓內隱藏的安全攝像頭)的計算機專業人員或罪犯可以像那樣繞過純軟件 2FA。
事實上,考慮到現代世界的所有威脅,我們建議我們的客戶超越傳統的 2FA,轉向更複雜的 MFA,以生物識別數據作為身份驗證的主要因素,所有其他輔助因素只需要證明所發出的確認消息的真實性基於生物識別數據。在這裡,易用性開始發揮關鍵作用。
如果正確設置和使用,外部設備可以比 OTP 更可靠
自 2000 年代後期以來,通過短信發送的 OTP 已成為銀行業非常流行的身份驗證方法,並已擴展到電子郵件、社交網絡、雲存儲等在線服務。在那裡,OTP 易於使用。然而,它們的可靠性取決於許多因素。
首先,客戶需要確保用於傳送 OTP 的移動網絡受到充分保護。已經有關於4G 甚至 5G 網絡缺陷的公開報告,而 3G 早在 2010 年也遭到破壞。
其次,SMS OTP 容易受到政府竊聽,這對於那些在言論自由和其他基本人權方面存在問題的國家來說可能是個問題。每個 3G 和 4G 標準都內置了強制性工具,供授權的政府執法機構訪問在執法機構管轄範圍內運營的移動網絡的 SMS 服務器。此外,當攻擊的受害者在該國家/地區使用漫遊時,可以攔截此類 SMS OTP。
與電信運營商不同,2FA 令牌硬件供應商目前沒有義務向大多數國家/地區的政府披露其技術,因為這可能會對銀行安全和政府通信本身產生不利影響。這並不意味著政府不能針對硬件 2FA 技術,但這樣做的合法手段非常有限。
基於藍牙的外部 2FA 設備提供與正確維護的 USB 硬件令牌相同級別的保護,同時提供基於 SMS 的 OTP 或移動應用程序(如 Google Authenticator)的便利性
雖然用於 2FA 的基於 USB 的硬件令牌非常可靠和高效,但如果使用得當,它們需要客戶在每次需要使用時將它們插入設備的 USB 插槽中。這會激勵客戶將操縱桿“留在插槽中”,從而使該操縱桿啟用的第二個因素容易受到黑客攻擊。
Hideez Key 結合了硬件第二因素驗證器的可靠性和無線通信協議的易用性。最終用戶無需將設備插入任何地方,只需將其放在口袋中或放在靠近身體的鑰匙鏈上即可。
與其他基於藍牙的“解鎖您的計算機”設備不同,Hideez 認真對待嗅探和 MITM 攻擊。我們在標準藍牙配對之上使用額外的保護措施。這些保護措施改進了初始密鑰交換,並使未經授權的嗅探和其他信號攔截技術更難以在我們的設備上執行。
惡意軟件攔截客戶端設備上的藍牙流量也可能是一個問題,但我們通過向加密密鑰交換添加額外的保護措施來解決它。
設備如何知道它的所有者?
任何硬件第二因素的另一個關鍵漏洞與任何物理密鑰或訪問令牌相同——軟件假定出示物理令牌進行身份驗證的人是合法所有者。但是,如果第二因素設備丟失或被盜怎麼辦?
如果 Hideez Key 因任何原因丟失,用戶還可以使用My Hideez取消 Hideez Key 與他們帳戶的鏈接,或聯繫他們的系統管理員。這將防止未經授權使用 Hideez Key。
通過藍牙同步比通過雲或 Wi-Fi 同步更安全
在適當的時候知道您的密碼與確保密碼安全同樣重要。 iCloud Keychain、LastPass、Dashlane、SafeInCloud 等各種移動平台提供具有跨設備同步功能的內部和獨立密碼管理器。
儘管所有這些解決方案都享有盛譽,但它們都使用互聯網在各種客戶設備之間同步數據,這意味著存在潛在的漏洞。
對於具有本地無線連接的設備(Hideez Key 為藍牙 4.2 LE),則不存在此類漏洞。最終用戶可以使用我們的外部硬件密碼庫作為在各種支持藍牙的設備之間同步密碼的媒介,而無需使用 Internet 連接,但存在相關風險。我們的團隊通過傳輸層和應用程序內部的上述附加加密層來減輕嗅探和其他與無線相關的風險。
包起來
雖然基於軟件的 MFA 越來越受歡迎並且總比沒有好,但當前的網絡安全環境需要真正的分佈式 MFA。只有硬件解決方案才能做到這一點。
儘管如此,硬件解決方案必須提供易用性和可靠性,以最大限度地降低客戶可能決定採取簡單選擇並通過將 USB 記憶棒留在 USB 插槽中或為最終用戶使用“1111”PIN 來損害他們的第二個因素的風險第二因素設備上的標識。
用於 MFA 的藍牙設備通過提供便利和易用性解決了這個問題,同時實施了強大的安全措施。但值得注意的是,它們確實會增加專用無線電設備攔截信號的風險,並且無法防範安裝在配對設備內的惡意軟件攔截數據的風險,儘管這些類型的攻擊目前並不常見。
基於藍牙的 MFA 解決方案為客戶提供了一個額外的好處,即無需互聯網即可在客戶的各種設備之間進行無線同步。
如果最終用戶精心設計並妥善維護,基於藍牙的第二因素設備將提供易用性和工業級保護。
了解更多關於 Hideez 關鍵功能和規格的信息。如果您想在您的公司或組織中實施此類解決方案 - 請參閱Hideez Enterprise Solution或安排免費演示:
