【安全意识】从德勤泄密事件,了解双因素认证的重要性

9月25日爆出,德勤(Deloitte)遭受到一次大规模网络攻击,造成其全球电子邮件服务器被入侵,24万员工与客户之间的往来邮件全部泄露,从而导致许多知名客户的敏感信息外泄。这一消息,对作为全球“四大”会计和咨询公司的德勤而言,无疑是一个巨大的丑闻——因为德勤的一大重要业务,就是提供网络安全咨询。

常言道:“木匠家里没板凳,裁缝身上没新衣”。这句老话就是德勤只注重对外销售安全解决方案,而轻视自身安全建设的最好写照。无论在任何规模的企业,最脆弱也最关键的因素都是人本身。在本次事件中,正是大量RDP端口对外开放、员工将VPN密码上传Google+这类的低级风险,造成了该公司安全防线的全线崩塌。

但关键在于,密码不慎被泄漏后,就真的没有其他方法防范入侵了吗?答案并不是这样。

 

什么是身份认证因素

身份认证因素,从定义上来说,是主体向系统提供的身份标识信息。最常见的身份认证因素就是用户名和密码,系统通过比对提供的用户名和密码信息是否与数据库中记录一致,从而判断此次访问操作是否合法。但除此之外,还有很多种其他的身份认证因素,并且各自都有优缺点。

身份认证因素,可以分为下列三类:

  1. 你知道什么。其中包括密码、PIN、短语等内容。
  2. 你拥有什么。其中包括智能卡、令牌和USB设备等。
  3. 你是谁/你做什么。其中“你是谁”主要包括生物特征信息,例如指纹、声纹、视网膜、虹膜、面部特征等。而“你做什么”主要是生物行为特征,例如击键力度、签名等。

理论上来说,在上述身份认证因素中,第一类相对较弱,第三类相对最强。然而即使是第三类,也不是绝对的安全。攻击者可以通过指纹膜实现指纹的复制,也能够通过录音实现声纹的重放。

当然,根据不同实际场景,还可能产生其他认证因素。例如,某公司在北京的服务器,可以只允许北京的IP访问,这时可以增加的一个因素就是“你在哪里”。

 

三类认证因素的优缺点

前面我们说到,三类身份认证因素各有其优缺点,我们就来具体分析一下。

第一种类型“你知道什么”,这些信息常常是静态的,因此也是最弱的认证方式。以静态密码为例,用户通常会选择容易记忆的信息作为密码,密码可以轻易共享给他人,通过穷举攻击可以快速破解短密码,并且可以通过监听网络等多种手段窃取密码。而其优点在于,登录方式便捷迅速,无需额外设备或配置。

第二种类型“你拥有什么”,优点在于可以通过一些可靠的算法来加强安全性,例如动态密码令牌可以实时生成当前的密码,智能卡、USB设备和引入了证书和强加密算法。但其缺点在于,需要额外携带并妥善保管设备,假如设备丢失,就会产生风险。

第三种类型“你是谁/你做什么”,是目前理论上最安全的认证方式,但同样存在一些缺点。首先,生物识别因素的错误率仍需不断降低。这种错误不仅包括正确的用户没有被识别,还包括非授权用户被错误地识别。而后者,将会产生严重安全隐患。此外,该认证方式往往需要事先录入大量信息,并且无法保证信息维持的时效(如人的变声、发型和容貌的自然变化、签字模式的改变等)。

由此可见,三类因素各有其利弊。我们就不能简单地将身份认证依托于其中的某一种,而是要结合使用、优势互补。因此,需要引入双因素认证。

 

什么是双因素认证

双因素认证,顾名思义,就是使用其中的两类身份认证因素进行认证。举例来说:我们平时刷卡消费,首先需要提供银行卡本身(即“你拥有什么”),随后需要输入密码(即“你知道什么”)。在登录公司外网邮箱时,也需要先输入一个预先设置好的密码(即“你知道什么”),再输入手机令牌上显示的数字(即“你拥有什么”)。

相比较来说,当使用两个不同的因素时,如果攻击者想成功进入系统,就需要收集所有相关的身份认证元素。例如,如果攻击者需要进入某员工的邮箱,不仅需要破解或窃取到密码,还需要偷窃或暂时持有装有令牌的移动设备,无疑就大大降低了攻击成功的概率。

 

从德勤泄密事件得到的安全启示

在此次德勤的安全事件中,攻击者通过使用一个被泄漏的管理员账号及密码,就成功获得了公司电子邮件服务器的访问权限。这说明,该公司的电子邮件系统没有部署任何双因素身份认证机制,仅凭借正确的用户名和密码,就可以在任何位置实现登录。也正是如此,才造成攻击者能不受任何限制地访问德勤的微软邮箱。

由此看来,对于企业中的一些重要系统,都需要使用双因素认证,来进一步保障安全性。目前大部分企业都会采用密码+手机短信验证码/令牌/生物标志的方式。这样就做到即使密码的第一层防线被突破,也还有另外一层防线做为最后的保障。

德勤的例子生动地告诉我们,企业安全并不能只停留于方案和口号,更需要脚踏实地的落实到公司中每一个系统、每一台主机和每一位员工。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论