网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


双因子认证!这4种身份认证方式你都了解吗?丨正经情报局02期

2019-08-01 22:28 推荐: 浏览: 72 views 字号:

摘要: 双因子认证的小科普 前几天公司里忽然出现了一个陌生人,坐在甄梵仁的位子上。 正当我打算和他打个招呼时,他却脱口而出:“贾正经,好久不见!” 这声音不是甄梵仁的吗?他整容了?? 这整的怕是他妈都不认识了吧! 当然,整容变帅了是件好事,但是却有一件事让他很苦...

双因子认证的小科普

前几天公司里忽然出现了一个陌生人,坐在甄梵仁的位子上。

正当我打算和他打个招呼时,他却脱口而出:“贾正经,好久不见!”

这声音不是甄梵仁的吗?他整容了??

这整的怕是他妈都不认识了吧!

当然,整容变帅了是件好事,但是却有一件事让他很苦恼——

输入密码后,  没办法通过手机软件的人脸识别!

可能很多人会问,明明已经有密码认证,为什么还要多设一层防护手段?活该了吧!

这就不得不提到一个概念——双因子认证。

在黑客横行的现在,单单依靠一串密码实在不能确保账户的安全。

尤其许多人也许是偷懒,也许是怕忘记,会设置简单的密码(能多简单就设置多简单)。

去年最弱密码 TOP 5 如下所示

榜单第一名属于铁打的“123456”,从2013年开始它就稳稳占据冠军宝座。

现在大约还有3%的人用它做密码。

这是什么概念?大概就是随便选择33个QQ,密码都输入123456,就能登录上去一个吧。

你甚至可以用这个密码登录乌克兰国防系统。

就是这些令人哭笑不得的弱密码,让许多公司操碎了心。

所以为了避免用户爸爸的账号被盗,他们采用了一种安全策略:双因子认证(2FA),英文名为:Two-factor Authentication。

也就是说,除了密码,还要用另一种非密码形式的验证因素来确认使用者的身份。

比如:短信验证、邮件验证、生物识别……

就好比你按开了自家门的电子锁,还要通过自家恶犬的检测……

然而,目前市面上的大多数双因子认证都有着自己的缺陷:安全系数不足。

先说说如今较常见的双因子认证之一:

一、人脸识别

市面上大部分使用人脸识别技术的软件,其识别流程大致如下:

检测人脸 → 活体检测 → 人脸对比→ 分析对比结果 → 返回结果

其中活体检测即在人脸识别时,要求用户进行眨眼、点头、张嘴等动作,以防止被静态图像破解,或者你在睡觉时被人偷偷解锁。

但是,已经有团队做出,不仅能让一张自拍照眨眼,还能变成可控制的3D人脸模型,并以此骗过了人脸识别,成功刷脸登录账户。

而且许多人脸识别是没有活体检测的环节,你只需要一张照片就能简单通过检测。

例如这样都能过检测

二、短信验证

再来说说短信验证。

因为手机与用户的零距离特性——现代人一旦离开手机,就与世界失联。所以如今大部分的公司都采用短信验证。

然而,短信验证码很容易被不法者拿到:手机复制卡、基站监听、获得短信权限的恶意APP……许多途径都能拿到你的验证码。

前段时间豆瓣网友“独钓寒江雪”就因为被恶意监听短信验证码而导致支付宝、京东及关联银行卡等一夜间被全部盗刷。

基于此,短信验证码本身的安全性并不高,它只是提高了与密码匹配使用时的“概率安全性”。

三、指纹解锁

再说说指纹解锁。常见的指纹识别原理有四种:热敏、电容、光学和超声波。

方法看着虽多,但是套路都是一样的:采集指纹的纹路(废话!指纹解锁肯定采集指纹)

热敏型利用指纹凹凸不平产生的热量差;

电容型利用指纹凹凸不平产生的电容差;

光学型利用光线反射,相当于给指纹“拍照”;

超声波型利用声波反射来判断凹凸纹路;

原理图

然而手指按在玻璃屏上,由于汗渍、污渍、皮肤油脂,经常会留下一个指纹印。

指纹识别模块运行时,会从屏幕下方射出光线,透过屏幕上的指纹油渍到达塑料卡片,再反射回接收器。有些智障的接收器会把屏幕上的指纹油渍误当成机主的手指而解锁。

此外,纽约大学的研究人员提出了一种可以生成“万能指纹”的神经网络模型,攻击手机指纹解锁的成功率最高可达 78%。

所以,你觉得指纹解锁还靠谱吗?

这样一想,指纹什么的验证都很不靠谱吧~那岂不是没有靠谱的保护手段!

莫慌!我这里有一个很特别的验证 :

四、图+身份认证

首先,你可能想问什么是图+呢?想知道吗?

不告诉你。

北卡科技的图+技术,指的是将文字、图片或语音信息加密隐藏在图片中。而目前,国内只有北卡科技实现了图像信息隐藏技术跨平台产品化应用。

这个技术的优点是隐秘性好、安全性高。

经过处理的图像外观、尺寸与大小不会改变而且信息经过国密算法SM2加密隐藏到图像中,无法提取与解析内容,抗隐写分析。

那这又与双因子认证有什么关系呢?

通过“图+”技术,管理员可便捷地在一张普通的图片中隐藏系统的配置与白名单用户身份认证信息。

用户使用新设备首次登陆时,需输入账号并导入该图片,完成身份认证,才能进行登陆。

而由于图片表面上与普通的图片一样,可能是风景照,可能是人像,可能是表情包,外人无法看出这张照片的特殊性。

验证图片:

所以,就算你的账号密码被别人知晓,但他无法通过第一次验证,无法登陆你的账号。

因此,咔信身份认证的安全指数是很高的~

可以说是无懈可击~

什么?你问整容后的甄梵仁怎么通过人脸识别?

本博士最后给他支了一招——使用打印出来的照片来解锁!

没错,就这么简单就解决了问题,溜了溜了~~

联系站长租广告位!

中国首席信息安全官


关闭


关闭