网站认证安全一般是指网站确认用户身份的过程中涉及的安全问题。在认证过程中,最常用的方式是静态口令方式。静态口令方式以其实现简单、不需要额外的硬件支持等优势而得到大规模采用。但是,众所周知,静态口令方式的安全性不高。为了提高网站认证的安全性,一次性令牌(手机验证码)、USB Key等方式也慢慢引入网站认证中,例如,网上银行的认证中常常要求用户插入USB Key,快捷支付中一般要求用户输入手机收到的一次性验证码。
保证认证安全的首要任务是保证凭据的安全性,并尽可能提高凭据的易用性。以下是针对认证安全的一些技术、攻击和建议。
(1)凭据的安全存储
2011年的密码外泄门事件曾轰动一时,导致密码泄露的根本原因是服务器端采用了错误的凭据存储策略,即以明文形式存储凭据。采用这种存储策略,攻击者一旦获得了数据库中的数据,就完全掌握了用户的凭据信息。
令人惊讶的是,早已有成熟的技术解决这一安全威胁,却居然有那么多的服务商的密码被外泄。为了防止凭据存储数据库被攻击者窃取后导致口令泄漏,服务器在存储用户的口令时,一般在口令中加入salt后进行杂凑处理。这样,即使攻击者窃取了整个数据库,也无法获知用户的口令。
(2)统一身份认证服务
大多数网络应用都要求用户注册并登录,用户往往因为需要记住大量的用户名和口令而烦恼。一种解决办法是,为每个网络应用都设置相同的用户名和口令,但是密码外泄门事件充分说明了这一做法存在的隐患;另一种解决办法是采用统一身份认证(或称为单点登录)。
目前,百度、新浪微博、QQ、人人等掌握大量用户的服务商都提供了身份认证服务,例如,在登录大众点评时,可以使用人人账户登录。简单地说,用户只需在一个网络应用中(如sina)注册并登录,就可以访问其他网络应用(如大众点评)。这种方式大大减轻了用户的记忆负担,一定程度上降低了口令泄漏的风险。
(3)两步认证机制
Microsoft、Google、支付宝等推出了采用两步认证机制在口令验证通过后,要求用户输入一个一次性口令,这个一次性口令来自移动终端(如手机)上安装的Authenticator应用。采用传统的口令和用户移动终端的动态令牌双重保护,可以更好地保护身份认证的安全性。
但是,如果用户开启了两步认证机制,而无法使用Authenticator(如手机丢失)时,账户恢复将给用户造成一定的麻烦。Google账户恢复流程可能需要3-5个工作日;在没有设置备用邮箱的情况下,Microsoft账户恢复甚至需要30天的时间。即使Microsoft为此采用了设置备用邮箱的措施,但攻击者也可能根据已获得的口令来猜测备用邮箱的口令。
(4)网络钓鱼
网络钓鱼是指伪装成其他应用以获得如用户名和口令等个人敏感信息的过程。通常,网络钓鱼通过email或其他即时通讯工具进行,常常诱导用户到URL与界面外观与真正网站几无差别的假冒网站输入个人敏感数据。网络钓鱼难以通过技术手段进行侦测,主要依靠用户自身辨别。因此,建议不要随意的点击电子邮件或即时通讯工具中的链接,以免造成不必要的损失。
(5)口令设置建议
为了降低口令被攻破的风险,以下给出几条口令设置的建议:
1)分类管理口令。针对不同安全要求的账户,设置不同等级的口令,如对网上银行口令,使用大小写字母+数字+特殊字符的口令,而对普通的账户使用简单的口令即可。
2)降低口令与个人信息的关联性。尽量将口令设置为与个人公开信息无关的字符串,如不采用生日作为口令等,否则容易遭到社会工程学的攻击。
3)设置较强的口令。口令长度建议在8位以上,并同时使用大小写字母、数字和特殊字符,如Abc12#$%678。
