看First Citrus银行如何实现无口令身份验证

与密码使用相关的问题接连出现——用户口令要么太容易被罪犯猜出，要么让用户疲于记忆；要么总是重用，要么总是被盗。直到最近都没有什么切实的办法能够摆脱口令的困扰。

即便手机上的指纹或人脸扫描器能够让你不用输入口令就能登录支付宝或云盘账户，口令本身还是存在的。在你首次设置应用的时候要用口令，当你想在另一台设备或用另一个浏览器登录时也需要。

不过，情况开始有了改变。今年3月，万维网联盟(W3C)通过了与FIDO联盟联合开发的WebAuthn标准，允许在Web上通过智能手机指纹读取器之类的验证机制进行无口令身份验证。所有主流浏览器都支持该标准，包括Chrome、Firefox、微软Edge，以及Safari。安卓手机和 Windows 10 主机也支持。

该标准的底层思想就是：身份是联合的。指纹、照片或录音本地存储在手机上，不传输给第三方。手机采用安全的机制验证用户身份，然后向网站或应用确认这一身份。这套系统显然不完全安全。有很多种方法可以黑掉指纹和人脸ID，而且如果身份验证机制是硬件令牌，比如U盾，还有可能被盗。但相比传统的用户账户+口令方式，已经是安全上的巨大进步了。

身份验证机制迁移并不容易，但一些机构已经开始向前迈进。去年秋天开始的试用期过后，今年2月，佛罗里达州 First Citrus 银行正式向其员工推出无口令身份验证。该社区银行的网络安全总监 Joe Kynion 表示：

我们全面部署了这套系统，银行每位员工都用自己手机上固有的生物识别特征进行身份验证，无论他们的手机是安卓机还是iPhone。

私钥由雇员自己保管，而公钥由银行通过其身份验证技术提供商HYPR加以管理。即便银行的网络安全防线被攻破，黑客也无法盗走曾经能给他们带来丰厚收益的员工口令列表了。

该银行作出如此转变的动机源自美国国家标准与技术局(NIST)发布的更严格的密码建议。Kynion解释称，他们不想因为某位员工在纸上写下超级难记的口令而开除他。所以开始寻求其他办法将用户从不得不输入复杂Windows口令的负担中解脱出来。

Kynion最初还考虑过人脸识别扫描器，但该设备人均开销250美元。这种成本是不可承受的，而且，老实讲，当时的人脸识别技术识别率也就50%左右。

依赖智能手机之类随身设备的去中心化密码管理思路很有启发性。当今社会，驾照忘带了都还好，手机忘家里了就万万不可了。所以，用手机验证具有现实可行性。

谷歌、微软或Facebook应该持有你的身份吗？

现在很多面向消费者的网站，还有一些商业网站，都允许人们使用Facebook、谷歌、微软或LinkedIn之类大型社交平台的凭证登录。比如说，可以通过安卓生物特征识别验证身份，然后再用该身份验证登录其他多个账户。

这种方式的局限在于有多少企业愿意信任谷歌的用户身份，更别提臭名昭著的Facebook了。所以，企业纷纷构建自己符合FIDO标准的身份验证系统，或者采用企业级身份验证供应商提供的技术，就像 First Citrus 与HYPR合作那样。HYPR首席执行官 George Avetisov 称：谷歌登录已经有些年头了，Facebook登录方式也一样。但大银行都不允许用户用这种方式登录。银行或企业还是希望自行保有该身份验证层。

而且，企业通常都需要跨平台。不是所有用户都有Facebook账户，也不是所有用户都想在第三方网站上使用这些账户，安卓手机或微软账户更不是人们的标配。企业不会想被谷歌绑定的，也不想跟微软绑定。

谷歌和微软对业界贡献良多，为数百万人带来了免密登录功能，让大家都习惯了生物特征识别方式。人们依然需要这些科技巨头继续推广无口令身份验证方法。

从硬件令牌到手机

过去，FIDO合规的设备是U盘密钥和智能卡之类的东西。这种东西又贵又容易丢，普通消费者也不是每个人都会用。但手机就不一样了，老年人都知道怎么用手机。手机验证方式的接纳率肯定不低。在主流Web浏览器、Windows和安卓操作系统的强力支持下，前路该怎么选已经很清晰了。

苹果Safari浏览器是首家支持FIDO身份验证标准的。iPhone保护生物识别特征信息的方法符合FIDO要求。虽然iPhone本身至今为经过FIDO认证，很多iPhone应用倒是FIDO合规的。Nok Nok 和HYPR这样的公司全都有软件开发工具包供服务提供商用以打造自己的应用并在iOS上部署。

iPhone平台会在什么时候通过认证呢？这就要看苹果什么时候提交认证申请了。有可用应用，还有谷歌和微软支持，已经没有什么障碍阻止企业开始朝这个方向迈进了。微软摒弃密码的策略非常激进，微软账户、Windows账户如今都支持FIDO身份验证。

员工入职或拿到新手机时就会在公司认证自己的手机，也就进入到了这套系统中，根本不用设置口令，也不用使用或集中存储密码。

不过，PC用户的网站身份验证体验目前还不是那么良好。举个例子，用户可能会被要求在手机上打开一个应用，通过互联网来进行身份验证，或者得把手机连接到PC上。随着无口令身份验证方式的推广，用户体验应该也会趋同。

在Citrus银行，员工将手机接入电脑，往手机上下载一个应用，再与电脑上运行的HYPR应用同步，然后就可以使用电脑了。Citrus银行通过MSI推送在每个员工的桌面电脑上远程部署了该软件，并在系统注册表中写入可供连接HYPR服务器进行比对的唯一密钥。

这种方法让初始身份验证过程轻松快速，但也允许其他员工到别人已登录的电脑上授权他们的手机。Kynion承认，这里面存在漏洞。该解决方案会向员工显示能够访问他们电脑的其他设备列表，然后员工就会奇怪这些手机都是谁的，最终可能删除掉其他私钥。

另一个问题是，现在依然有部分人出于某些顾虑而不用智能手机。Kynion表示：

我们有因为型号太老而淘汰掉的智能手机。把这些手机设成仅WiFi模式发给不用智能手机的员工就可以达到100%采用率了。从此再也不用担心发生忘记口令而登录不了系统的状况。

摆脱口令

口令无处不在，而且数量还在倍增，很多系统和应用的核心都内置了密码。口令管理供应商Dashlane的数据显示，2017年，普通用户需要口令的账户平均有150个之多。但是这不意味着用户需要记忆150个不同口令，因为很多人都会不断重复使用同一个口令。

企业里面这种现象就更严重了。另一家口令管理供应商LastPass报告称，2017年员工平均持有191个口令。波耐蒙研究所今年早些时候的调查也表明，69%的IT和网络安全人员会与同事共享口令，51%在业务或个人账户上重复使用5个口令。

埃森哲实验室全球安全研究与开发部门主管 Lisa O"Connor 表示：这是个棘手的挑战。企业得做得更好。如果摆脱了共享秘密式口令，企业的攻击界面和暴露面都会直线下降。

而要达成这种转变，公司企业需彻底重新思考身份验证过程，用可信设备和第三方身份验证系统来代替向用户分发凭证。

如果可信设备或身份验证系统失效了怎么办？那就得确保所用模型是不会回滚到口令时代的了，回滚到其他东西即可。比如回溯到发布账户的机构并重新确立账户访问权。如果是手机丢失了，那就将该用户账户重新指配到新凭证上。

该过程也可以是向备份手机号码发送一条短信，或者呼叫帮助服务台，甚至是发封电子邮件。采取哪种方式取决于业务和交易类型，以及所需的升级层次。

认证方式转变也不是难于上青天的程度，但时至今日仍有许多公司会落回口令或PIN。需要跨部门的协调一致的努力才能真正转变，目前整个行业都依赖口令。

因此，提供无口令身份验证的公司企业仍在后端备有口令，同时备有的还有口令带来的种种安全问题。无口令身份验证是在口令之外提供给客户的另一种选择，不是完全替代口令。Aetna之类的公司企业中仍有500万终端用户选择使用身份验证供应商Accepto的口令身份验证系统。

而且，即便公司企业将自身系统切换到无口令身份验证方式，他们的员工登录大多数Web应用时也依然要用回口令。First Citrus 银行正在考察口令管理技术。使用口令管理技术就只需记忆一个包含双因子身份验证的主口令。Kynion甚至都不知道自己网银的登录凭证是什么，口令管理产品自动处理好了。

现在，First Citrus 银行正在评估企业级系统。口令管理系统可以创建随机字符口令，用户无需实际知道这些随机口令。一些密码管理系统还有无口令登录支持。Dashlane是 First Citrus 银行考虑的平台之一。

毫无疑问，如果我们采纳Dashlane，我会建议我们使用谷歌Authentication。

层次化身份验证夯实安全

某些情况下，一个口令不足以通过身份验证，因为用户通常都是在驻地通过可信设备在正常上班时间登录，而且所做的事情也是平时做的那些。此类行为验证也可以作为生物特征识别或硬件令牌的补充，为安全再添一层防护。不仅仅是第一次登录的时候，应用使用期间也可以继续验证用户。

除非你有解决方案跟踪用户的行为，否则用户终会拿到数据访问特权。验证须是认知性的，且要持续和可行——如果你检测到异常，你需将此人踢出。

最新方式是基于上下文部署多层身份验证方法。低风险交易无缝完成，高风险交易需要额外的验证步骤以确保用户有效性。身份验证不再仅仅非黑即白，进入了灰色地带。

生物特征识别验证方法不依赖指纹或面部扫描，但依赖可被集中存储并用于完全无缝身份验证的细微标志。如果公司集中存储用户指纹，其中安全风险不言而喻。只要黑客染指该存储库，后果不堪设想。

输入模式又怎样呢？业界正考虑基于击键节奏识别用户，也就是在按键间跳转和放开按键所花的时间。人在早晨或夜晚的输入模式可能会不同。

在智能手机上这些模式还可以包含用户在屏幕上滑动或持握手机的方式。创建此类识别机制需要具备识别用户使用模式的能力，这些模式不仅要难以逆向工程，还得是对特定应用而言是唯一的。

越来越多的公司企业在用这些技术，用户地理位置信息和已知设备等用户资料中的其他元素也被利用起来了。欧洲对强身份验证的要求驱动了此类技术的采纳，尤其是在金融服务行业。大多数情况下，这些方法部署在口令之上提供额外的安全，而不是替代密码。密码依然深度嵌入当今互联网，不是能够轻易改变的事物。包含WebAuthn的新FIDO规范正在为无口令验证时代开辟道路，但这一步伐才刚刚迈出不久。

公司企业往身份验证过程中添加安全层的选项还有不少。

比如说， First Citrus 银行里有些操作就不是一个人能完成的。Kynion表示他们是严格的最小权限原则奉行者。单独一个人执行不了向别人转账100万美元的操作，CEO都不行。涉及对外转账的每一笔交易都要第二个人登录才行。所以，发起转账交易的人真正能够执行交易之前还有一系列动作有待创建和批准。

该银行还对用户行为分析的最近进展投以了关注。如果用户突然间试图打开从未打开过的文件夹，该启发式算法就会保存记录或触发警报来加以缓解。这种方式也是个有趣的可能性，但 First Citrus 目前尚未部署。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。