据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
1、现行静态固定密码的缺陷
1)自身不安全导致ID盗用
- 自己不小心泄露或主动分享密码
- 黑客入侵脱库,即使用户数据库加密,也可以离线破解
- 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
- 黑客MITM抓包窃听
2)不方便导致用户友好性差 为对抗黑客攻击,需要提高密码质量,但又引出另外的问题
- 密码复杂,不好记忆
- 长期不用,忘记密码
- 大量密码,必须用记事本记录,容易泄露
- 强制定期修改密码,比较麻烦
- 临时分享密码,过后还要修改密码
2、其它用户认证方式的局限性
- USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
- 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
- SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
- 量子密码可以感知是否被窃听,