双因子认证不可靠？

　　双因子认证技术真的那么完美且难于被攻破吗？近日，有国外研究人员对于双因子认证所具有的效果提出了严厉的质疑，尤其是以一次性密码和智能卡形式呈现的双因子认证令牌。研究表明，双因子认证技术需要取得一些新的进展和突破，才能恢复其作为一项安全保护措施所特有的安全性和吸引力。

　　迈克菲和Guardian Analytics公司近期发布了一份题为《深度剖析针对高净值账户的盗窃行动》(Dissecting Operation High Roller)的联合报告(下文简称“报告”)。在报告中，双因子认证技术受到了一些质疑。报告描述了这样一个案例：某个国际性犯罪团伙一直在窥视着企业和个人的银行账户，并且采用了与某地远程服务器密切关联的一个自动化操作，通过未授权且具有欺诈性的转账，企图盗窃巨额资金。由于犯罪团伙给受害者的计算机植入了恶意软件，因此，在这一过程中，用来验证银行账户访问授权的双因子认证令牌非但没有阻止不法分子，甚至连用户的验证过程都被操纵，并整合到了针对账户的自动化攻击过程中。

　　迈克菲高级研究和威胁情部主管Dave Marcus说：“我之前从未在其他任何地方见过这种情况。”他与Guardian Analytics威胁研究人员Ryan Sherstobitoff共同撰写了这份报告，介绍了这两家公司在对网络犯罪活动进行研究后的成果。上文描述的犯罪活动案例始发于去年秋季，当时受到侵害的主要是欧洲范围内的银行及其客户。

　　这一案例中的犯罪团伙精心设计了接管账户的整个过程，以便最大限度地获取并利用双因子认证技术的信息。Marcus说：“这一犯罪团伙开发出了一项基于双因子认证的欺诈技术。”

　　犯罪团伙设计出来的恶意软件能够获取到用户的登录信息，并将芯片和密码信息嵌入到自动化攻击过程中，以便执行欺诈性的转账操作。Marcus对此表示说：“收集令牌信息是欺诈过程的一部分。”

　　这就是为什么迈克菲和Guardian Analytics在联合报告中发表了强有力的声明。声明表示“破解掉使用物理设备的双因子认证技术，对于犯罪团伙而言是一大突破。金融机构必须重视这种新的手法，特别是考虑到这种破解方法可能会被推广到以其他安全形式承载的物理设备上。”

　　不过，Marcus谨慎地表示不建议大家停止使用双因子认证技术，而且他也认为，这一技术被破解不代表双因子认证天生就存在缺陷。他仍然坚持：“芯片与密码的组合是一道坚固的防线。”但他补充说，发生在欧洲的这次疯狂犯罪活动表明，双因子认证技术在设计方面需要加以某种改进，只有这样才能与日益狡猾的网络犯罪活动斗智斗勇。

　　英国Winfrasoft公司的技术主管Steve Hope也表达了同样的观点：“在双因子认证技术中应该采用更为创新性的方法。”这家公司已经设计出了自己的双因子认证方法，名为PINgrid。虽然Winfrasoft公司发现其企业客户目前还没有采用PINGgrid方法，但Hope仍然建议双因子认证技术采用新的方式以解决出现的问题。

　　Hope认为：“如今，双因子认证与交易之间没有有机地结合起来。”他指出，一个根本的问题可能是，双因子认证没有与交易和账户代码的验证直接联系起来。这两个验证过程如今是分开来的，但应该可以把它们结合起来，以抵御狡猾的攻击。当然，“恶意软件眼下很难对付。”他补充说道。

　　双因子认证有漏洞？

　　法国国家计算与自动化研究所(INRIA)的密码研究人员曾发布了一篇技术性很强的文章，该文章称他们发现了加快攻击令牌设备的实际方法。这篇文章的题名是《针对加密硬件的高效Padding Oracle攻击》(Efficient Padding Oracle Attacks on Cryptographic Hardware)。围绕双因子认证的另一场争议随之而爆发。

　　这些自称是Prosecco研究组的研究人员打算在即将召开的CRYPTO大会上更详细地探讨他们所发现的结果。他们表示，目前其已经可以从Alladin、Gemalto、RSA SecurID、Safenet和西门子等知名厂商的令牌中获取加密密钥。这一言论让安全圈子“炸开了锅”。

　　Prosecco研究组表示，其已经将破解RSA SecurID的时间缩短到了13分钟。EMC下属的安全部门RSA措辞激烈地驳斥了Prosecco研究组的这一说法。Prosecco研究组同时还表示，其他厂商的令牌同样不堪一击，但据说攻击时间会花费更长的事件，从21分钟到92分钟不等。

　　RSA首席技术官Sam Curry近日在其公司博客中写道：“这番言论无疑为我们敲响了警钟，已经部署了RSA SecurID 800验证器的客户应该引起注意。不过，事实却并非如此。Prosecco所报告的大部分信息都夸大了该研究的实际影响，而且采用了故弄玄虚的技术行话，让安全从业人员无法准确评估与产品有关的安全风险。目前来看，用户和整个行业都把时间浪费在了查明实际情况上。”

　　不过，美国的一些密码研究人员表示，不应对法国研究人员的这些说法掉以轻心。

　　约翰斯·霍普金斯大学的密码学家兼研究人员Matthew Green最近在个人博客中写道，“密码令牌行业这几年来日子并不好过”，Prosecco研究组发表的这篇文章也许只是最新的坏消息而已。

　　被问及对这一研究有什么看法时，Green说：“所有这些令牌都采用了RSA加密方案中的一种已知而且易受攻击的实施机制。从我们所知道的情况来看，这种加密机制从1998年开始就遭受到了攻击。所以从这个意义上来看的话，其算不上是什么新话题。”但他表示，法国研究人员所做的是，“证明了这些令牌很容易遭到黑客的攻击。按理来说，开发人员应该早在这篇文章发表之前就认识到这一问题，并加以解决。不过事实并非如此。”

　　Green认为，Prosecco研究组的研究人员“大大加快了攻击速度，使得对这些令牌设备的攻击成为可能。这很了不起，因为攻击令牌通常没那么快就能得逞。而新的攻击只要在几分钟内之间就能生效，而不是几小时或几天内。”

　　Green表示，他不想就这种攻击提出“危言耸听”的说法和警告，因为这“完全取决于令牌在特定的应用环境下的使用方式。不过，这一问题应该得以解决。要知道，安全产品的作用不是用来应对最好的情况，而是防范最坏的情况。”

　　他得出的结论是，依赖令牌进行加密的企业和用户应该对这些消息有所关注，“并采取措施来保护自己及客户的数据。”

　　7800万美元的损失

　　一直以高净值资产为目标的全球犯罪团伙目前已经从恶意行为中“赚取”了大约7800万美元的资产。

　　迈克菲和Guardian Analytics公司发布的威胁报告显示，目前已有60家甚至更多机构的信息和资产被窃取，实际损失的总数可能比估值还要高得多。

　　这两家安全公司表示，他们跟踪了至少12个团伙，这些团伙依靠大约60台集成了高度自动化服务组件的服务器来窃取金融账号。这些入侵和盗窃案例主要发生在欧洲地区，同时也有证据表明拉丁美洲和美国也有类似的案件。这些诈骗行为被认为与基于恶意软件的SpyEye 和 Zeus攻击不同，它们有更高的自动化程度，而且通常不需要人的介入就可以完成。

　　“我们发现，犯罪团伙正在应用多种自动化方式来进行攻击。” 迈克菲高级研究和威胁专家Dave Marcus表示。

　　德国的一家银行成为被发现的首个案例。迈克菲和Guardian Analytics 公司2012年1月在这家银行的服务器日志中分析道，犯罪团伙盗用了176个银行账户并且试图将近100万欧元转移到在葡萄牙、希腊和英国开设的账号。

　　黑客对于德国这家银行的攻击是高度自动化的，报告显示，类似的攻击手段也曾经被用于某家意大利银行。不过，利用SpyEye和Zeus等恶意软件来转移资金的案例在之前从未见过。

　　这份报告称，包括信用社、大型全球银行和地区银行等在内的各类银行机构都有可能遭到攻击。3月份，犯罪团伙采用这种新的自动化方式对荷兰银行系统下了手。这些黑客绕过了端点安全防护和针对欺诈行为的监测工具。。

　　两家被攻击的荷兰银行共有5000多个企业账户卷入其中，涉及金额大约为3558万欧元。在拉丁美洲，有超过12家公司成为被攻击的目标，每个企业账户都损失了大约50万到200万美元的资金。迈克菲和Guardian Analytics 公司表示，他们已经将其发现报告给了相关法律部门。

　　根据这份报告，这轮针对高净值账户的盗窃行动利用了Zeus和SpyEye恶意软件来危害用户计算机，然后跳过证书验证直接从银行账户中执行欺诈交易。此外，尽管在这些攻击中可能有人介入其中，但大部分的操作都是完全自动化的，一旦系统被攻破，诈骗行为就会自动被反复执行。

　　这份报告称，这些在荷兰和美国发现的最新攻击已经将欺诈交易过程从用户端发展到了服务器端。

　　报告称，定制化的代码能够使得犯罪分子隐藏犯罪攻击过程，避免反病毒扫描，这些代码包括客户端恶意软件Rootkit和加密链接。“一些Web服务器不断改变IP地址来使得黑名单失效。”报告称，从根本上说，这些攻击中所采用的技术对于犯罪团伙来说是重大的突破，因为他们已经“破解了采用物理设备的双因子认证。”

　　报告还称，这种攻击在那些已经部署了合理分层权限控制和监测软件的公司中没有太大效果。迈克菲和Guardian Analytics公司正在规划更为合适的安全配置，比如在客户主机上进行实时威胁情报更新，并采用辅助安全硬件来对抗恶意软件。

　　双因子认证可靠与否完全取决于令牌在特定的应用环境下的使用方式。不过，这一问题应该得以解决。要知道，安全产品的作用不是用来应对最好的情况，而是防范最坏的情况。

　　——约翰斯·霍普金斯大学密码学家Matthew Green

　　链接

　　什么是双因子认证

　　双因子认证(Two-factor authentication)是一种验证形式，又被简称为TFA、T-FA或者2FA，其要求采用两种以上的认证因素来进行验证。

　　在信息认证领域，双因子认证是一种通用的验证方式。其一般都会结合密码、信用卡、手机短信、指纹或者物理硬件加密等多种方法实现。双因子认证技术致力于通过多重验证方式减少用户在数据请求过程中所遭遇到的风险。这一技术经常被同其它认证技术所混淆，实际上，要识别是否是双因子认证技术很简单。双因子认证技术包含了三个基本的因素：

　　用户已知的信息 我们经常接触到的密码就属于这一类认证因素。

　　用户拥有的物品 银行卡、手机以及加密令牌等到都在这一分类内。

　　用户自身的属性 这一认证因素利用了指纹、虹膜等身体组成部分。

　　实际上，双因子认证不是一个新的概念。当我们在银行自动提款机上取钱时，就已经应用到了双因子认证技术。在这一过程中，第一个认证因素是用户的储蓄卡或者信用卡，第二个认证因素则是用户所输入的密码。没有以上这些因素的话，可想而知，我们不可能从提款机上取到钱。这就是一个最基本的双因子认证系统。其中，储蓄卡或者信用卡属于用户拥有的物品，密码则归类为用户已知的信息。

　　需要提起注意的是，双因子认证并不能完全避免数据安全问题，而只是为用户提供更多的安全保障。(文/李旭阳)

　　中国工商银行福建省分行技术支持中心 林源