JupmServer堡垒机之MFA知识点
撰写信息:本文编写于2024年1月11日,内容除个人理解外还包含来自谷歌Bard帮助。
名词解释:多重要素验证(英语:Multi-factor authentication,缩写为 MFA),又译多因子认证、多因素验证、多因素认证,是一种电脑访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用电脑资源。例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以提高安全性。
这种技术在很久以前就在应用了,比如以前的网游mir2的密保和网银的U盾都是属于多因子认证。常见的安全组合手段就是密码加Ukey
MFA的认证因子
- 密码,就是我们最常用的信息安全保护方案。
- 所持有的物件:比如UKEY、身份证、ID卡等。
- 生物特征:虹膜、指纹、人脸识别等等。
- 位置识别:定位所在位置来作为鉴权条件。
- 还有很多新的技术比如手机通信信号识别等。
JumpServer基于OTP技术的MFA认证技术个人理解
基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。OTP是指一次性密码,每个OTP只能使用一次,有效期通常为30秒。
基于OTP技术的MFA认证原理如下:
- 用户在登录时,首先输入用户名和密码。
- 服务器验证用户名和密码是否正确。
- 如果用户名和密码正确,服务器端会生成一个OTP。
- 用户在绑定认证过的设备上查看当前时间点生成的OTP。
- 用户输入OTP。
- 服务器验证OTP是否正确。
- 如果OTP正确,服务器允许用户登录。
基于OTP技术的MFA认证具有以下优势:
- 可以有效防止密码被盗后的攻击。即使攻击者获得了用户的密码,也无法通过OTP进行登录。
- 可以提高认证的安全性。MFA认证比传统的单因素认证更加安全。
- 使用方便。用户只需要在认证设备上查看OTP即可。
基于OTP技术的MFA认证有以下几种实现方式:
- 硬件令牌:是一种硬件设备,可以生成OTP。
- 软件令牌:是一种软件应用,可以生成OTP。
- 短信OTP:是指将OTP发送到用户的手机号码。
基于OTP技术的MFA认证已经被广泛应用于各种场景,例如银行、金融、电商等。
基于OTP技术的MFA认证与基于动态验证码的MFA认证的区别
基于OTP技术的MFA认证和基于动态验证码的MFA认证都是在传统的用户名密码认证的基础上增加一个额外的认证因素。
两者的主要区别在于:
- OTP是一次性的,而动态验证码可以重复使用。OTP只能使用一次,有效期通常为30秒,而动态验证码可以重复使用,有效期通常为1分钟或更长。
- OTP通常使用硬件令牌或软件令牌生成,而动态验证码通常使用短信、邮件等方式发送。OTP通常使用硬件令牌或软件令牌生成,而动态验证码通常使用短信、邮件等方式发送。
基于OTP技术的MFA认证的优缺点
基于OTP技术的MFA认证具有以下优点:
- 安全性高。OTP是一次性的,即使攻击者获得了用户的密码和OTP,也无法在同一时间登录。
- 使用方便。用户只需要在认证设备上查看OTP即可。
基于OTP技术的MFA认证也存在以下缺点:
- 成本高。硬件令牌的成本较高。
- 使用不方便。用户需要携带或使用认证设备。
基于OTP技术的MFA认证的应用场景
基于OTP技术的MFA认证适用于以下场景:
- 需要高安全性的场景,例如银行、金融、电商等。
- 需要使用认证设备的场景,例如工厂、实验室等。