多因素身份认证(MFA)解决方案已经应用了许多年,它的出现是因为传统的口令已经不能满足安全级别较高的系统认证需求,需要通过多个认证方式结合来提高安全性。随着越来越多的用户开始使用MFA加强端点安全,攻击者也正在马不停蹄地设计新的方法来攻破使用中的MFA方案,其中一些尝试已经取得巨大成功,这说明有些MFA方法已经不再有效。
在应用FIDO之前,Google已经提供了名为“两步验证”的双因素身份认证机制。用户登录Google账户的时候,除了要输入用户名和口令,还要求用户输入自己手机的一个验证码(验证码将会以短信的形式发送到手机上,通过语音电话播放,或者通过移动应用生成,还支持USB硬件设备),为帐户额外添加了一层保护。Apple ID也提供类似的机制,称作“双重认证”。首次登录一台新设备时,除了口令之外,还需要提供自动显示在另外一台受信任设备上或者发送至预设电话号码的六位数验证码。输入验证码并验证通过后,该设备将被认为是受信任的设备。
然而,YouTube上已经出现了绕过现有MFA技术的教学视频,从简单的网络钓鱼,到推送轰炸(攻击者反复发送推送通知,直到推送通知被接受),乃至更复杂的利用通信协议漏洞以获取短信MFA代码(“假基站”)。
例如,针对使用推送通知作为第二因素的MFA方案,攻击者使用的一种常见方法是创建虚假的登录页面,然后发送网络钓鱼电子邮件,诱导公司员工访问该页面。当员工在假页面中输入用户名和口令时,攻击者只需获取凭据并将其输入到真正的登录页面。当员工收到MFA请求(推送通知)时,他们很可能会将其视为真实的,并点击“是”。通过这种简单的方法,攻击者就能够攻陷员工的帐户,进而利用该账户的权限在公司内部网络中横向移动或安装勒索软件。
正如《什么是“真正的”多因素身份鉴别?》中指出的,“多信道”不一定是“多因素”,“多重身份鉴别”不一定是“真正的”多因素身份鉴别。在由飞天诚信科技股份有限公司(以下简称“飞天诚信”)牵头的密码行业标准化研究项目《多因素身份鉴别密码技术应用研究》(以下简称“《研究》”)中,对此进行了具体分析。根据分析,多因素身份鉴别有两种模式:一种是“串联”模式(例如基于智能密码钥匙的“PIN+数字签名”),具有便于升级的优点,但其安全性取决于所使用的载体;另一种是“并联”模式(例如“口令+动态口令”),具有便于扩展的优点,但需要保障通过多重鉴别的身份的一致性。根据《研究》确立的框架,上述例子属于“并联”模式的多因素身份鉴别,但并没有采取足够的措施来保障通过多重鉴别的身份的一致性,由此产生了安全漏洞。
FIDO2是FIDO联盟推出的新一代身份鉴别框架,使用“无口令”的多因素身份鉴别机制。FIDO2与W3C组织的WebAuthn标准实现了互通,目前已被Google Chrome、Mozilla Firefox,Microsoft Edge、Apple Safari等主流浏览器全面支持。自2017年与微软合作推出第一个FIDO2生物识别无密码认证安全解决方案以来,飞天诚信构建了丰富的FIDO产品线,包括BioPass FIDO、BioPass FIDO Plus (支持FIDO2和PIV),AllinPass FIDO产品(USB / NFC / BLE)等等。飞天诚信FIDO产品的核心模块获得了美国国家标准与技术研究所(NIST)颁发的FIPS-140-2二级认证(证书编号为4422),且物理安全级别达到3级(《飞天诚信FIDO核心模块符合SP800-63B AAL3要求》)。
飞天诚信于2014年加入FIDO联盟,现为FIDO联盟董事会成员。2021年,飞天诚信成为全球首家获得FIDO生物识别认证的FIDO产品供应商。
