发新话题
打印

中神通大地云控-推出TOTP动态密码认证功能,让天下无贼

中神通大地云控-推出TOTP动态密码认证功能,让天下无贼

据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
 

1、现行静态固定密码的缺陷 
1)自身不安全导致ID盗用
  • 自己不小心泄露或主动分享密码
  • 黑客入侵脱库,即使用户数据库加密,也可以离线破解
  • 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
  • 黑客MITM抓包窃听
2)不方便导致用户友好性差 为对抗黑客攻击,需要提高密码质量,但又引出另外的问题
  • 密码复杂,不好记忆
  • 长期不用,忘记密码
  • 大量密码,必须用记事本记录,容易泄露
  • 强制定期修改密码,比较麻烦
  • 临时分享密码,过后还要修改密码

2、其它用户认证方式的局限性
  • VPN客户端软件绑定网卡、硬盘等硬件特征码认证,容易被伪造克隆硬件特征码绕过,或者直接搬走硬件异地使用
  • USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
  • 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
  • SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
  • 量子密码可以感知是否被窃听,但还不普及
  • 短信接收认证码容易受到移动网络及用户流量套餐的限制,还存在短信窃听的潜在威胁;用户多时,短信接收有几分钟~十几分钟的延迟

3、TOTP动态密码认证介绍  
       TOTP是Time-based One-time Password的简称,即基于时间的一次性密码,需要安装手机TOTP APP/手机令牌软件,部分TOTP APP在打开时有FACE ID、Touch ID指纹识别等生物识别认证功能,相当于2FA/MFA(双因子认证/两步认证/多因素认证),只在激活时用到初始静态密码,阅后即焚,以后使用时,不需要联网,不需要WIFI或数据流量,离线使用,只与时间有关。 
       Google、Facebook等大公司的用户认证使用TOTP动态密码认证功能后,将ID盗用的发生率降低了99%。 
       TOTP动态密码认证具有以下特点:​
  • 30~300秒自动更新新密码,不怕泄露分享密码,不怕暴力破解,不怕抓包窃听,不怕在陌生环境、公共场所中当众使用,适用于零安全零信任的网络环境
  • 用户认证数据与WEB/SQL服务器无关,不怕脱库
  • 手机APP显示动态密码,每次密码都不一样,不需要记忆密码,不会忘记密码;临时分享密码,不能作为下一次登录的密码,也不需要修改密码
  • 指定手机安装APP,必须先能登录此手机的才能获取TOTP密码,而且即使拿到手机也无法克隆到其它手机中
  • 使用时,VPN用户通过电话等向TOTP密码保管者发出请求,他们可以是同一人,或者是不同的人,但也不需要同处一地;TOTP密码保管者核实对方身份、需求后,再可通过网络、短信等把最新TOTP密码发给VPN用户
  • 手机是绝大多数人随身携带的物品,且绝大多数有TouchID、指纹识别等生物识别功能,能保障TOTP APP的安全,能快捷方便地获取TOTP密码

4、中神通大地云控TOTP动态密码认证功能
 
      目前有IKEV2/IPSEC VPN、OCSERV/CISCO AnyConnect VPN、PPTP VPN、L2TP VPN、OpenVPN、WireGuard VPN、SSH等7种服务可以使用TOTP动态密码认证功能,可以扩展至其它服务,具体请见“中神通大地云控-TOTP动态密码认证设置及使用过程”。 


参考文档: 
1) 黑客利用泄露的 VPN 密码入侵 Colonial Pipeline 
2) DarkSide使用了旧的VPN 密码对Colonial进行了攻击 




[ 本帖最后由 linda 于 2023-6-29 13:25 编辑 ]

TOP

发新话题