据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
1、现行静态固定密码的缺陷
1)自身不安全导致ID盗用
- 自己不小心泄露或主动分享密码
- 黑客入侵脱库,即使用户数据库加密,也可以离线破解
- 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
- 黑客MITM抓包窃听
2)不方便导致用户友好性差
为对抗黑客攻击,需要提高密码质量,但又引出另外的问题
- 密码复杂,不好记忆
- 长期不用,忘记密码
- 大量密码,必须用记事本记录,容易泄露
- 强制定期修改密码,比较麻烦
- 临时分享密码,过后还要修改密码
2、其它用户认证方式的局限性
- VPN客户端软件绑定网卡、硬盘等硬件特征码认证,容易被伪造克隆硬件特征码绕过,或者直接搬走硬件异地使用
- USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
- 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
- SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
- 量子密码可以感知是否被窃听,但还不普及
- 短信接收认证码容易受到移动网络及用户流量套餐的限制,还存在短信窃听的潜在威胁;用户多时,短信接收有几分钟~十几分钟的延迟
3、TOTP动态密码认证介绍
TOTP是Time-based One-time Password的简称,即基于时间的一次性密码,需要安装手机TOTP APP/手机令牌软件,部分TOTP APP在打开时有FACE ID、Touch ID指纹识别等生物识别认证功能,相当于2FA/MFA(双因子认证/两步认证/多因素认证),只在激活时用到初始静态密码,阅后即焚,以后使用时,不需要联网,不需要WIFI或数据流量,离线使用,只与时间有关。
Google、Facebook等大公司的用户认证使用TOTP动态密码认证功能后,将ID盗用的发生率降低了99%。
TOTP动态密码认证具有以下特点:
- 30~300秒自动更新新密码,不怕泄露分享密码,不怕暴力破解,不怕抓包窃听,不怕在陌生环境、公共场所中当众使用,适用于零安全零信任的网络环境
- 用户认证数据与WEB/SQL服务器无关,不怕脱库
- 手机APP显示动态密码,每次密码都不一样,不需要记忆密码,不会忘记密码;临时分享密码,不能作为下一次登录的密码,也不需要修改密码
- 指定手机安装APP,必须先能登录此手机的才能获取TOTP密码,而且即使拿到手机也无法克隆到其它手机中
- 使用时,VPN用户通过电话等向TOTP密码保管者发出请求,他们可以是同一人,或者是不同的人,但也不需要同处一地;TOTP密码保管者核实对方身份、需求后,再可通过网络、短信等把最新TOTP密码发给VPN用户
- 手机是绝大多数人随身携带的物品,且绝大多数有TouchID、指纹识别等生物识别功能,能保障TOTP APP的安全,能快捷方便地获取TOTP密码
4、中神通大地云控TOTP动态密码认证功能 目前有IKEV2/IPSEC VPN、OCSERV/CISCO AnyConnect VPN、PPTP VPN、L2TP VPN、OpenVPN、WireGuard VPN、SSH等7种服务可以使用TOTP动态密码认证功能,可以扩展至其它服务,具体请见“中神通大地云控-TOTP动态密码认证设置及使用过程”。
参考文档:
1) 黑客利用泄露的 VPN 密码入侵 Colonial Pipeline
2) DarkSide使用了旧的VPN 密码对Colonial进行了攻击
[
本帖最后由 linda 于 2023-6-29 13:25 编辑 ]