多因素身份认证之手机推送认证

最新推荐文章于 2023-11-17 17:15:17 发布
最新推荐文章于 2023-11-17 17:15:17 发布
阅读量617 收藏 1
点赞数
分类专栏: 宁盾国产化身份域管(微软AD替代) 文章标签: 身份目录即服务DaaS 多因素认证MFA 手机推送认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/125872287
版权

多因素身份认证 (MFA) 是保护企业 IT 资源访问安全的一种关键工具,也是零信任安全模型的核心组成。特别在远程办公以及数据泄露事件层出不穷的背景下,越来越多企业都开始考虑实施多因素身份认证策略。

根据近期一项对 IT 专业人员的调查,52.6%的中小型企业已经要求为所有应用程序和系统登录添加多因素身份认证。其中手机推送认证形式(无密码认证)的二次认证是保证良好用户体验的绝佳选择,但与其他认证形式相比又如何呢?

本文将从企业实施的角度分析多因素身份认证的最佳实践,希望能找到同时满足决策者和终端用户的方案。

1. MFA 是什么?企业为什么要使用?

多因素身份认证也称多因子身份认证(Multi-Factor Authentication,MFA),是在传统登录认证时使用的用户名密码之外增加额外认证因素的做法。通常,这些因素可以分为以下三类:

  • “用户知道的”:包括用户名密码凭证,以及密保安全问题等
  • “用户拥有的”:与设备相关,例如手机上的令牌或硬件令牌
  • “用户天生的”:一般指生物识别技术,人脸、指纹、虹膜。

根据美国最大通信公司 Verizon 在2021年发布的《数据泄露调查报告》显示,61%的数据泄露都涉及密码凭证。由此可见,密码作为单一验证因素时并不充分,企业还是会因数据泄露造成损失。要解决这一问题,在登录时添加二次认证就能大大提升安全性,数据表明多因素身份认证能使账号被盗的可能性降低99.9%。那么用于二次认证的因素对于安全保护的效果是否有不同影响呢?对此,谷歌安全博客发现,不同形式的验证因素对于账号接管攻击(ATO)的防护效果确实存在差异:

上图详细说明了六种最常用多因素身份认证因素的防护效果对比,主要分为基于设备和基于知识两大类。可以看到基于设备的验证因素中,设备安全提示的防护效果达到了100%,而手机推送认证(无密码认证)就属于设备安全提示这一类别,下面将具体介绍手机推送认证形式,以及与其他形式的验证因素相比有何优势。

2. 什么是手机推送形式的多因素身份认证?

手机推送形式的多因素身份认证需要用户持有智能手机,并利用手机上的消息推送功能来验证用户身份,因此属于“基于设备”的多因素身份认证,因其无需输入动态密码,也属于无密码认证形式。在 PC 端登录应用或系统时,用户在输入用户名和密码后,只需解锁手机并在推送出来的新消息中点击确认按钮就能批准 PC 端的访问请求。

这一验证形式对于终端用户来说十分方便,对 IT 管理员来说也降低了部署成本,因而广受欢迎。在简单说明了手机推送验证的过程后,下面将介绍除了手机推送以外的其他验证因素,进一步比较各自的优缺点。

3. 推送认证以外的 MFA 因素
 

     1)短信验证

短信验证也是如今广泛采用的一种验证因素。用户提交密码凭证后,会收到短信或邮件形式的验证码,用户还需要输入正确的验证码以后才能完成登录。

从上一节的图表可以看出,短信验证能有效防止自动和批量的网络钓鱼攻击,但难以应对针对性的账号攻击,原因在于短信验证需要第三方网络在验证服务器和终端用户之间充当中间人,为网络攻击提供了更多可操作空间,增加了安全风险。

相比之下,手机推送验证是直接在用户的智能手机上使用验证器APP实现的,不需要用户输入验证码,不仅优化了用户体验,也节省了验证时间。与短信验证相比,使用手机推送验证的用户每年在登录上花费的时间要少13分钟。

    2)时间型动态口令(TOTP)

时间型动态口令(TOTP)是一种随机生成的身份验证令牌形式,通常是通过智能手机APP创建,因此和手机推送一样也属于“基于设备”的验证因素。

动态口令每隔一段时间不断刷新,用户必须在刷新前输入正确的验证码,否则就会失效。这相当于在系统和攻击者之间增加了大型缓冲区,攻击者需要同时获取用户凭证和持有手机上的动态口令才能破解账号,因此动态口令比短信验证更安全,也更容易管理。

然而,有些用户认为动态口令过于繁琐,体验不佳。但是多因素身份认证已经为用户添加了额外验证步骤,而动态口令与其他形式的验证因素相比已经是相对轻巧有效的方案了。

手机推送和动态口令在安全性上大致相同,在用户体验方面稍稍优于后者。一般而言,身份验证器APP都会同时支持这两种形式,允许用户按需选择,这在部署多因素身份认证中是很重要的考量。

    3)硬件令牌

硬件令牌就像数字版的密钥锁。用户持有的每个硬件令牌都内置独一无二的密钥,只要用户不丢失,身份验证就应该是高度安全的。谷歌的数据图也证明了硬件令牌的安全性,可以完全阻止几种主要的账号攻击。硬件令牌虽然安全性较高,但在部署上也有不少问题:成本高、维护难、易丢失。维护难是指实施和绑定硬件令牌工作量巨大;易丢失会导致终端用户账号被持续锁定,只有找回令牌才能解锁。

相比之下,手机推送的验证形式性价比更高,更适合大规模实施,安全性也几乎没有差别。

    4)生物识别

过去,生物识别似乎只存在于科幻小说,主要有视网膜扫描和语音或面部识别。如今,生物识别已经成为现实。很多人都习惯用指纹识别或面部识别解锁手机或笔记本电脑。 尽管在目前的企业环境中大规模管理生物识别数据仍然存在很多问题,但通过手机上的身份验证器APP,生物识别也自然而然加入了验证环节中。例如,用户要接收推送通知必须先解锁手机,而现在大多数人解锁手机都会用到生物识别,相当于设备自带的额外安全层。

3. 如何选择手机推送的多因素身份认证方案?

IT 企业可以选择多种解决方案在用户群中强制执行手机推送的认证策略。而在考虑采用哪种解决方案时,需要重点关注以下三个问题:

  • 有哪些 IT 资源需要保护?
  • 所选方案如何与现有工具交互?
  • 方案成本是多少?

基于以上三点,身份目录即服务(DaaS)可提供更适合现代化 IT 架构的解决方案。基于 SaaS 模式,提供云 MFA 能力,具备目录服务、RADIUS 认证模块、统一策略管控中心,管理员可以轻松管理几乎所有 IT 资源的身份认证,包括云和本地资源。

其中,云 MFA 模块支持手机推送认证、手机APP 令牌等多种认证形式,兼容 iOS 和安卓系统,不仅适合云应用和本地应用的手机推送认证,也可用于VPN、云桌面等网络设备的身份验证,免去安装部署过程,按需订阅付费,更经济更高效。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解多因素身份认证更多内容,可前往宁盾官网博客解锁更多干货)

nington01
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开放平台实现安全的身份认证与授权原理与实战:多因素身份验证
禅与计算机程序设计艺术
11-09 44
作者:禅与计算机程序设计艺术 1.背景介绍 概述 随着互联网企业网站的迅速发展,越来越多的应用服务需要在线提供。随之而来的一个重要问题就是如何保障用户数据的安全,特别是在一些高度敏感的场景下,例如银行交易、借贷信息等。传统的方式有密码加密或者使用VPN、TOR等隐私
Node.js实现数据推送
12-23
场景:后端更新数据推送到客户端(Java部分使用Tomcat服务器)。 后端推送数据的解决方案有很多,比如轮询、Comet、WebSocket。 1. 轮询对于后端来说开发成本最低,就是按照传统的方式处理Ajax请求并返回数据,在学校的时候实验室的项目一直都采用轮询,因为它最保险也最容易实现。但轮询带来的通信资源的浪费是无法忽视的,无论数据是否改变,都照常发送请求并响应,而且每次HTTP请求都带有很长的头部信息。 2. Comet的概念是长连接,客户端发送请求后,后端将连接保持下来,直到连接超时或后端返回数据时再重新建立连接,有效的将通信资源转移到了服务器上,实际消耗的是服务器资源。 3. W
认证授权基础:搞清Authentication,Authorization以及Cookie、Session、Token、OAuth 2、SSO
Cybenko
07-08 1413
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有权限干什么。 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户I
1+1>2的效果,多因素身份认证是怎么实现的?
Secboot的博客
05-09 2063
当你下班回家时,掏出钥匙即可将锁打开。门锁并不在乎钥匙的持有者是谁,它唯一关心的就是钥匙是否适合。也就是说,哪怕钥匙持有者是你的邻居,甚至是一个小偷,都能悄无声息地将门打开。 如果开门所需的不仅有钥匙,而且还有能够识别主人身份的摄像头或其他传感器设备呢?别人即使拿着钥匙,但因为无法通过进一步的身份认证,所以还是无法开门。 企业为什么需要多因素身份认证?目前,只用“用户名+密码”的方式登录账户(OA...
如何应用基于条件访问策略的多因子认证MFA)?
yuzijiang11111的博客
07-04 450
在云和移动化的复杂网络环境下,以人的身份作为唯一主体建立的信任机制不足以应对所有的安全威胁。基于条件访问策略的多因子认证MFA)以应用、网络、设备、终端等全场景的身份为核心保护对象,从零构筑信任并搭建新的安全防卫边界。...
登录认证(双因子)-手机令牌设计及实现
Ssoul、肥鱼的博客
09-06 3002
双因子验证(2FA),指互不相关的两个因子来验证用户身份,又被称作两步验证或者双因素验证,是一种安全验证过程。用户通过独有的认证因子做登录校验,通常是密码+令牌的形式。此处讲解令牌流程。
因素认证 (MFA) 是防止数据泄露的最佳安全实践方法
Authing的博客
10-20 1890
因素认证 (MFA) 如何防止数据泄露
Global Azure启用Multi-factor Authentication配置介绍
weixin_33751566的博客
01-23 147
Global Azure启用Multi-factor Authentication配置介绍说到Azure下的Multi-factor Authentication服务,其实很直观的可以大概了解其意思,在azure上的Multi-factor Authentication服务可以提供用户登录Azure portal进行多重身份验证的功能,用户除了输入正确的密码信息还需要设置需要...
Spring Security 多因素认证MFA
new_ord的博客
02-27 2154
在本文中,我们将使用Spring Security 实现多因素认证,使用 TOTP(基于时间的一次性密码)作为第二种身份识别形式。此 TOTP 由用户移动设备上的应用程序生成,例如 Google 身份验证器。
Java实现短信验证
李闪闪
12-01 1119
使用的短信平台接口是网建短信通:短信平台接口_短信API接口_短信通接口_106短信接口_网建SMS短信通接口 可以免费试用5条短信。 这是接口和参数: 这是返回值: 这是用户名和密钥: 这是完整代码: import org.apache.http.HttpEntity; import org.apache.http.NameValuePair; import org.apache.http.client.ClientProtocolException; import org.a.
混合移动应用的消息推送之websocket
02-20
混合应用一般使用Cordova之类的中间件,以WebView作为用户界面层,以Javascript作为基本逻辑,以及和中间件通讯,再由中间件访问底层API的方式,进行应用开发。开发时可能不采用或者大部分不采用原生语言,但是却有...
各屏独立信号的多屏推送软件
05-13
后来开发了多屏控制的工具,工具可以自动打开9个程序,推送到对应位置。按快捷键鼠标回主屏,自定义推送程序到对应屏(同时鼠标也到对应屏)。 . https://blog.csdn.net/chenxiaotao22/article/details/106099905
C#后台推送苹果手机消息
04-11
后台推送消息到苹果服务器,苹果手机可以接收上面的消息! 后台推送消息到苹果服务器,苹果手机可以接收上面的消息!
各平台手机App消息推送push接口
09-15
各平台手机App消息推送push接口
双因子与多因子身份验证有什么区别?
分享平台工程、应用部署的最佳实践
08-05 943
身份验证身份访问管理(Identity and Access Management, IAM)的一个基本概念,让系统能够验证用户的身份身份验证因素是在授予访问权限之前证明用户本人身份的安全机制。目前存在三种类型的身份验证因素:知识因素(knowledge factor):一次性密码(one-time password, OTP),个人识别码(PIN)/密码、密保问题的答案持有的对象(possession factor):移动设备或其他物理设备、硬件令牌(Ukey)、安全令牌/安全密钥。...
多因子身份认证技术在企业中有哪些应用场景?
weixin_41834816的博客
03-31 4909
提起身份认证,我们会想到生活中的签名、指纹等识别措施。在互联网数字世界中,传统单一的身份认证方式已经无法满足用户对安全性、灵活性、准确性等更高的要求。大数据、人工智能等技术的催生,多因子身份认证成为用户安全的重要保障。什么是多因子身份认证?在互联网时代,用户身份认证是安全的第一道大门,是用户在访问各类应用的必经过程,而确保用户身份安全则是互联网业务开展的安全基石。现在,随着网络安全的愈发重视,多因...
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
MFA多因子认证
最新发布
Enweitech Software Works
11-17 372
多因子认证MFA(Multi-Factor Authentication)是一种安全认证过程,需要用户提供两种及以上不同类型的认证因子来表明自己的身份,获得系统或设备的访问权限,提高认证的安全性。
Vulnerabilities in multi-factor authentication:多因素身份验证漏洞
Zeker62的博客
08-19 414
许多网站完全依赖使用密码的单因素身份验证来验证用户。但是,有些要求用户使用多种身份验证因素来证明其身份。 对于大多数网站来说,验证生物识别因素是不切实际的。但是,基于您知道的和您拥有的内容,同时看到强制性和可选的双因素身份验证two-factor authentication (2FA) 变得越来越普遍。这通常需要用户输入传统密码和他们拥有的带外物理设备的临时验证码。 虽然攻击者有时有可能获得一个单一的基于知识的因素,例如密码,但能够同时从带外来源获得另一个因素的可能性要小得多。因此,双因素身份验证显然比单
spring boot+vue+websocket带token身份认证推送消息实现
05-25
要实现Spring Boot + Vue + WebSocket带Token身份认证推送消息,可以按照以下步骤进行: 1.在Spring Boot中配置WebSocket,包括WebSocket配置类、WebSocket处理器、WebSocket拦截器等。 2.在Vue中使用WebSocket连接到后端WebSocket服务,可以使用Vue-WebSocket插件来实现。 3.在后端WebSocket连接建立时,验证用户身份,可以使用JWT Token来进行身份认证。在用户登录成功后,生成JWT Token并返回给前端,前端在连接WebSocket时将JWT Token放入请求头中。 4.后端WebSocket服务在接收到WebSocket连接请求后,从请求头中获取JWT Token,并使用JWT Token验证用户身份。 5.验证通过后,将WebSocket连接信息保存到WebSocket连接池中,可以使用ConcurrentHashMap来保存WebSocket连接信息。 6.当需要向用户推送消息时,从WebSocket连接池中获取对应的WebSocket连接,并向连接中发送消息即可。 下面是一个简单的示例代码,仅供参考: 后端Spring Boot代码: WebSocket配置类: ```java @Configuration @EnableWebSocket public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(webSocketHandler(), "/ws") .addInterceptors(new WebSocketInterceptor()) .setAllowedOrigins("*"); } @Bean public WebSocketHandler webSocketHandler() { return new MyWebSocketHandler(); } } ``` WebSocket处理器: ```java public class MyWebSocketHandler extends TextWebSocketHandler { private static final Map<Long, WebSocketSession> sessionPool = new ConcurrentHashMap<>(); @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { Long userId = getUserIdFromToken(session); if (userId == null) { session.close(); return; } sessionPool.put(userId, session); } @Override public void afterConnectionClosed(WebSocketSession session, CloseStatus status) throws Exception { Long userId = getUserIdFromToken(session); if (userId != null) { sessionPool.remove(userId); } } private Long getUserIdFromToken(WebSocketSession session) { HttpHeaders headers = session.getHandshakeHeaders(); String token = headers.getFirst("Authorization"); if (StringUtils.isEmpty(token)) { return null; } try { Claims claims = Jwts.parser().setSigningKey("secret").parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); return userId; } catch (Exception e) { return null; } } public static void sendMessage(Long userId, String message) throws IOException { WebSocketSession session = sessionPool.get(userId); if (session != null) { session.sendMessage(new TextMessage(message)); } } } ``` WebSocket拦截器: ```java public class WebSocketInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { HttpHeaders headers = request.getHeaders(); String token = headers.getFirst("Authorization"); if (StringUtils.isEmpty(token)) { response.setStatusCode(HttpStatus.UNAUTHORIZED); return false; } try { Claims claims = Jwts.parser().setSigningKey("secret").parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); attributes.put("userId", userId); return true; } catch (Exception e) { response.setStatusCode(HttpStatus.UNAUTHORIZED); return false; } } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception ex) { } } ``` 控制器: ```java @RestController public class WebSocketController { @GetMapping("/push") public void push(@RequestParam("userId") Long userId, @RequestParam("message") String message) throws IOException { MyWebSocketHandler.sendMessage(userId, message); } } ``` 前端Vue代码: ```javascript import Vue from 'vue' import VueWebSocket from 'vue-websocket' Vue.use(VueWebSocket, 'ws://localhost:8080/ws', { reconnection: true, reconnectionAttempts: 5, reconnectionDelay: 3000, format: 'json', passToStoreHandler: function (eventName, event) { if (!eventName.startsWith('SOCKET_')) { return } let method = 'commit' let target = eventName.toUpperCase() let msg = event Vue.store[method](target, msg) } }) // 登录成功后保存JWT Token到localStorage中 localStorage.setItem('jwtToken', 'xxxxx') // 连接WebSocket并带上JWT Token Vue.prototype.$socket = Vue.prototype.$connect({ format: 'json', passToStoreHandler: true, reconnection: true, reconnectionAttempts: 5, reconnectionDelay: 3000, queryParams: { Authorization: localStorage.getItem('jwtToken') } }) ``` 使用时,可以调用WebSocketController的push接口向指定用户推送消息,例如: ```javascript this.$http.get('/push', { params: { userId: 123, message: 'Hello, World!' } }) ``` 注意:本示例仅供参考,实际使用时需要根据实际需求进行修改和完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值