使用一次性密码(OTP)作为身份验证的第二个因素的验证方法越来越普及,但是一些安全专家警告说,如果这些密码没有得到良好部署,可能会让企业比完全没有使用一次性密码的企业更加不安全,一些批评家将Facebook部署一次性密码作为典型的例子。
Facebook近日向用户宣布,现在他们可以使用移动电话来通过短信接收一次性密码,可以使用一次性密码在20分钟中内登录他们的帐户,用户可以在他们不信任的计算机上考虑使用这种密码登录。
“可以说,Facebook的这个方法让用户的帐号更加不安全了。如果你离开你的电脑或者当登录到Facebook时,没有锁上你的手机,其他人就可以访问你的帐户,并且将手机更改为其他手机来控制,”Sophos公司的高级安全顾问Chet Wisniewski表示,他还补充道,大部分人的手机都没有启用密码保护,而手机又非常容易丢失。“现在我们可以随时随地远程访问网络,Facebook认为这个功能可以为在图书馆、网吧和机场的用户提供‘安全’的方式来登录帐户,而不会让你的信息暴露给可能安装在这些计算机上的恶意软件。”
根据RSA公司的产品营销经理Rachael Stockton表示,并不是所有的一次性密码都是以相同方法创建的。
“有的方法比其他方法更加安全。短信比其他验证方法更加容易被破解,”她表示,“硬件和软件一次性密码一般都被认为比短信传动的一次性密码更加安全,但是这些验证方法都应该作为安全保护分层方法的一部分,包括基于风险的身份验证等。”
当你在选择适合的方法时,Stockton建议决策要点应该放在必要的安全水平、需要保护的信息的价值、便于最终用户使用以及一次性密码形成因素的成本等。
部署一次性密码的企业应该考虑提供一个以上的OTP形成因素,她表示,“当企业为不同的用户群部署一次性密码时,他们需要考虑提供多种选择的身份验证形式和方法,毕竟不同用户群要求各不相同,”Stockton表示,“短信获取密码可能对于某些用户很便利,但对于那些手机经常不在身边的人就不便利了。此外,他们还需要考虑现在和将来,他们所需要支持的大量应用程序,并且确保他们的解决方案能够整合所有这些应用程序。”
同时,不管选择的是哪种一次性密码或者企业的规模有多大,一次性密码都只是确保机器和帐户安全的保护生态系统的一部分,而不是全部。
“最后,不管公司是向大型还是小型企业部署一次性密码,他们都需要部署拥有强大管理控制能力的系统,考虑到配置、管理、报告和审计这些重要业务资产的重要性,”Stockton表示。
Sophos公司的Wisniewski认为,一次性密码应该能够在更好的身份验证发展方面发挥重要的作用,但与此同时,大家也不能把它当作是安全的灵丹妙药。
“多因素身份验证是保护可信任计算机和安全地远程访问网络的很棒的方法,”他表示,“多因素身份管理并不能解决所有问题,但是能够解决密码被共享和被破解的问题。”
与Stockton的意见一样,他警告说,一次性密码和其他多因素身份验证的方法只有在不容易受到漏洞攻击的系统中发挥强大的作用。
“多因素身份验证方法并不能解决数据盗窃恶意软件将信息发送给网络罪犯的问题。如果你使用密码的计算机已经受到恶意软件的感染,那么你是使用常用密码登录还是一次性密码登录都是一样,”Wisniewski表示,“一旦计算机被攻击,你可能可以通过使用一次性密码来保护你的密码,但是你访问或者输入的所有数据都出于威胁之中。如果系统非常重要,而你需要远程访问该系统,并且你愿意部署额外的身份验证方法,那么被访问的数据可能太重要以至于不应该冒着数据可能被恶意软件截取的风险。”