freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

双因子认证!这4种身份认证方式你都了解吗?丨正经情报局02期
2019-08-08 11:29:14

大家好,我是贾正经

现在不少手机软件的双因子认证都很不靠谱,

导致用户的隐私被暴露、财产受损,

究竟什么双因子认证才靠谱呢?

来看看这个科普吧,希望大家喜欢~


双因子认证的小科普

贾正经第二期文档11.png

前几天公司里忽然出现了一个陌生人,坐在甄梵仁的位子上。

 

正当我打算和他打个招呼时,他却脱口而出:“贾正经,好久不见!”

 

这声音不是甄梵仁的吗?他整容了??

贾正经第二期文档95.png贾正经第二期文档97.png

这整的怕是他妈都不认识了吧!

 

当然,整容变帅了是件好事,但是却有一件事让他很苦恼——

 

输入密码后,  没办法通过手机软件的人脸识别!

贾正经第二期文档171.png

可能很多人会问,明明已经有密码认证,为什么还要多设一层防护手段?活该了吧!

 

这就不得不提到一个概念——双因子认证。

 

在黑客横行的现在,单单依靠一串密码实在不能确保账户的安全。


贾正经第二期文档264.png

尤其许多人也许是偷懒,也许是怕忘记,会设置简单的密码(能多简单就设置多简单)。

 

                                                                                                           去年最弱密码 TOP 5 如下所示

贾正经第二期文档353.png

 

榜单第一名属于铁打的“123456”,从2013年开始它就稳稳占据冠军宝座。

贾正经第二期文档395.png

 

现在大约还有3%的人用它做密码。

 

这是什么概念?大概就是随便选择33个QQ,密码都输入123456,就能登录上去一个吧。

 

你甚至可以用这个密码登录乌克兰国防系统。

 

就是这些令人哭笑不得的弱密码,让许多公司操碎了心。

贾正经第二期文档510.png

 

所以为了避免用户爸爸的账号被盗,他们采用了一种安全策略:双因子认证(2FA),英文名为:Two-factor Authentication。

 

也就是说,除了密码,还要用另一种非密码形式的验证因素来确认使用者的身份。

 

比如:短信验证、邮件验证、生物识别……

 

就好比你按开了自家门的电子锁,还要通过自家恶犬的检测……

贾正经第二期文档674.png

然而,目前市面上的大多数双因子认证都有着自己的缺陷:安全系数不足。

 

先说说如今较常见的双因子认证之一:

一、人脸识别

贾正经第二期文档739.png

市面上大部分使用人脸识别技术的软件,其识别流程大致如下:

 

检测人脸 → 活体检测 → 人脸对比→ 分析对比结果 → 返回结果

 

其中活体检测即在人脸识别时,要求用户进行眨眼、点头、张嘴等动作,以防止被静态图像破解,或者你在睡觉时被人偷偷解锁。

贾正经第二期文档866.png

但是,已经有团队做出,不仅能让一张自拍照眨眼,还能变成可控制的3D人脸模型,并以此骗过了人脸识别,成功刷脸登录账户。

 

而且许多人脸识别是没有活体检测的环节,你只需要一张照片就能简单通过检测。

贾正经第二期文档968.png

例如这样都能过检测

 

二、短信验证

 

再来说说短信验证。

 

因为手机与用户的零距离特性——现代人一旦离开手机,就与世界失联。所以如今大部分的公司都采用短信验证。

贾正经第二期文档1052.png

然而,短信验证码很容易被不法者拿到:手机复制卡、基站监听、获得短信权限的恶意APP……许多途径都能拿到你的验证码。

 

前段时间豆瓣网友“独钓寒江雪”就因为被恶意监听短信验证码而导致支付宝、京东及关联银行卡等一夜间被全部盗刷。

贾正经第二期文档1171.png

基于此,短信验证码本身的安全性并不高,它只是提高了与密码匹配使用时的“概率安全性”。

 

三、指纹解锁

 

再说说指纹解锁。常见的指纹识别原理有四种:热敏、电容、光学和超声波。

 

方法看着虽多,但是套路都是一样的:采集指纹的纹路(废话!指纹解锁肯定采集指纹)

 

热敏型利用指纹凹凸不平产生的热量差;

电容型利用指纹凹凸不平产生的电容差;

光学型利用光线反射,相当于给指纹“拍照”;

超声波型利用声波反射来判断凹凸纹路;

原理图


贾正经第二期文档1387.png

然而手指按在玻璃屏上,由于汗渍、污渍、皮肤油脂,经常会留下一个指纹印。

贾正经第二期文档1429.png

指纹识别模块运行时,会从屏幕下方射出光线,透过屏幕上的指纹油渍到达塑料卡片,再反射回接收器。有些智障的接收器会把屏幕上的指纹油渍误当成机主的手指而解锁。

 贾正经第二期文档1510.png

此外,纽约大学的研究人员提出了一种可以生成“万能指纹”的神经网络模型,攻击手机指纹解锁的成功率最高可达 78%。

 

所以,你觉得指纹解锁还靠谱吗?

 

这样一想,指纹什么的验证都很不靠谱吧~那岂不是没有靠谱的保护手段!

 

莫慌!我这里有一个很特别的验证 :

                        

四、图+身份认证

 

首先,你可能想问什么是图+呢?想知道吗?

 

不告诉你。

贾正经第二期文档1705.png

北卡科技的图+技术,指的是将文字、图片或语音信息加密隐藏在图片中。而目前,国内只有北卡科技实现了图像信息隐藏技术跨平台产品化应用。

 贾正经第二期文档1775.png

这个技术的优点是隐秘性好、安全性高。

 

经过处理的图像外观、尺寸与大小不会改变而且信息经过国密算法SM2加密隐藏到图像中,无法提取与解析内容,抗隐写分析。

 

那这又与双因子认证有什么关系呢?

 

通过“图+”技术,管理员可便捷地在一张普通的图片中隐藏系统的配置与白名单用户身份认证信息。

 

用户使用新设备首次登陆时,需输入账号并导入该图片,完成身份认证,才能进行登陆。

 贾正经第二期文档1963.png

而由于图片表面上与普通的图片一样,可能是风景照,可能是人像,可能是表情包,外人无法看出这张照片的特殊性。

验证图片:

贾正经第二期文档2033.png

所以,就算你的账号密码被别人知晓,但他无法通过第一次验证,无法登陆你的账号。

 

因此,咔信身份认证的安全指数是很高的~

 

可以说是无懈可击~

贾正经第二期文档2107.png

什么?你问整容后的甄梵仁怎么通过人脸识别?

 

本博士最后给他支了一招——使用打印出来的照片来解锁!

 

没错,就这么简单就解决了问题,溜了溜了~~

 


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者