软件令牌是多因素安全中有效的第二个因素吗？

Question

我们正在更改工作场所的远程登录安全流程，我们担心新系统不使用 多重身份验证 就像旧的那样。（我们一直使用RSA密钥卡，但由于成本原因正在更换。）新系统是一个反网络钓鱼图像系统，被误解为一个双因素身份验证系统。我们现在正在探索在不向用户发放硬件设备的情况下继续提供多因素安全性的方法。

是否有可能编写一个基于软件的令牌系统来安装在用户的 PC 上，从而构成多因素身份验证系统中真正的第二因素？这会被视为“用户拥有的东西”，还是只是“用户知道的东西”的另一种形式？

编辑： 弗雷克雷 关于 cookie 的观点很好。对于这个问题，假设 cookie 已被排除，因为它们不够安全。

Answer 1

我会说“不”。我认为如果不发布最终用户可以随身携带的东西，您就无法真正获得多因素身份验证的“您拥有的东西”部分。如果您“拥有”某些东西，则意味着它可能会丢失 - 没有多少用户会丢失整个台式机。“你拥有的东西”的安全感，归根到底来自于以下几点：

• 当您没有它时您会注意到 - 明确指示安全性已受到损害
• 只有1人可以拥有它。所以如果你这样做了，别人就不会

软件代币不提供相同的保证，出于良心，我不会将其归类为用户“拥有”的东西。

Answer 2

虽然我不确定这是一个“有效”的第二个因素，但许多网站已经使用这种类型的过程一段时间了：饼干。几乎不安全，但它就是您所描述的项目类型。

就“用户拥有的东西”与“用户知道的东西”而言，如果它是驻留在用户 PC 上的东西（例如后台应用程序在询问时提供信息但不要求用户执行任何操作），我会将其归档在“用户拥有的东西”。如果他们在某个字段中输入密码，然后输入另一个密码来解锁您存储在其 PC 上的信息，那么它就是“用户知道的内容”。

关于已经存在的商业解决方案：我们使用名为 BigFix 的 Windows 产品。虽然它主要是一个远程配置和合规性产品，但我们有一个模块，可以作为我们用于远程/VPN 情况的多因素系统的一部分。

Answer 3

软件令牌是第二个因素，但它可能不如 RSA 密钥那么好。如果用户的计算机受到威胁，攻击者可以悄悄地复制软件令牌，而不留下任何被盗的痕迹（与 RSA 密钥不同，他们必须拿走密钥本身，这样用户就有机会注意到它丢失了）。

Answer 4

我同意@freespace 的观点，即该图像不是用户多因素身份验证的一部分。正如您所说，该图像是反网络钓鱼计划的一部分。我认为镜像实际上是系统对用户的弱认证。该图像向用户提供验证，表明该网站是有效的，而不是虚假的网络钓鱼网站。

是否有可能编写一个基于软件的令牌系统来安装在用户的 PC 上，从而构成多因素身份验证系统中真正的第二因素？

基于软件的令牌系统听起来您可能想研究 Kerberos 协议， http://en.wikipedia.org/wiki/Kerberos_（协议）. 。不过，我不确定这是否算作多因素身份验证。

Answer 5

你所描述的是 电脑 有，而不是用户。因此，您可以（取决于实现）确信它是计算机，但不能保证用户......

现在，既然我们谈论远程登录，也许情况是个人笔记本电脑？在这种情况下， 笔记本电脑 是你拥有的东西，当然还有你知道的密码......然后剩下的就是安全实施，并且可以正常工作。

Answer 6

安全总是需要权衡。硬件令牌可能更难窃取，但它们无法防御基于网络的 MITM 攻击。如果这是一个基于 Web 的解决方案（我认为是这样，因为您使用的是基于图像的系统之一），您应该考虑提供相互 https 身份验证的解决方案。然后您将获得针对众多 DNS 攻击和基于 wi-fi 的攻击的保护。

你可以在这里找到更多：http://www.wikidsystems.com/learn-more/technology/mutual_authentication和http://en.wikipedia.org/wiki/Mutual_authentication这是有关设置相互身份验证以防止网络钓鱼的教程：http://www.howtoforge.net/prevent_phishing_with_mutual_authentication.

基于图像的系统被宣传为相互身份验证，我想确实如此，但由于它不是基于加密原理，因此它非常弱。如何才能阻止 MITM 也展示该图像？在我看来，它也不太用户友好。