雙因子認證不可靠？

雙因子認證技術真的那么完美且難于被攻破嗎？近日，有國外研究人員對于雙因子認證所具有的效果提出了嚴厲的質疑，尤其是以一次性密碼和智能卡形式呈現的雙因子認證令牌。研究表明，雙因子認證技術需要取得一些新的進展和突破，才能恢復其作為一項安全保護措施所特有的安全性和吸引力。

邁克菲和Guardian Analytics公司近期發布了一份題為《深度剖析針對高凈值賬戶的盜竊行動》（Dissecting Operation High Roller）的聯合報告（下文簡稱“報告”）。在報告中，雙因子認證技術受到了一些質疑。報告描述了這樣一個案例：某個國際性犯罪團伙一直在窺視著企業和個人的銀行賬戶，并且采用了與某地遠程服務器密切關聯的一個自動化操作，通過未授權且具有欺詐性的轉賬，企圖盜竊巨額資金。由于犯罪團伙給受害者的計算機植入了惡意軟件，因此，在這一過程中，用來驗證銀行賬戶訪問授權的雙因子認證令牌非但沒有阻止不法分子，甚至連用戶的驗證過程都被操縱，并整合到了針對賬戶的自動化攻擊過程中。

邁克菲高級研究和威脅情部主管Dave Marcus說：“我之前從未在其他任何地方見過這種情況。”他與Guardian Analytics威脅研究人員Ryan Sherstobitoff共同撰寫了這份報告，介紹了這兩家公司在對網絡犯罪活動進行研究后的成果。上文描述的犯罪活動案例始發于去年秋季，當時受到侵害的主要是歐洲范圍內的銀行及其客戶。

這一案例中的犯罪團伙精心設計了接管賬戶的整個過程，以便最大限度地獲取并利用雙因子認證技術的信息。Marcus說：“這一犯罪團伙開發出了一項基于雙因子認證的欺詐技術。”

犯罪團伙設計出來的惡意軟件能夠獲取到用戶的登錄信息，并將芯片和密碼信息嵌入到自動化攻擊過程中，以便執行欺詐性的轉賬操作。Marcus對此表示說：“收集令牌信息是欺詐過程的一部分。”

這就是為什么邁克菲和Guardian Analytics在聯合報告中發表了強有力的聲明。聲明表示“破解掉使用物理設備的雙因子認證技術，對于犯罪團伙而言是一大突破。金融機構必須重視這種新的手法，特別是考慮到這種破解方法可能會被推廣到以其他安全形式承載的物理設備上。”

不過，Marcus謹慎地表示不建議大家停止使用雙因子認證技術，而且他也認為，這一技術被破解不代表雙因子認證天生就存在缺陷。他仍然堅持：“芯片與密碼的組合是一道堅固的防線。”但他補充說，發生在歐洲的這次瘋狂犯罪活動表明，雙因子認證技術在設計方面需要加以某種改進，只有這樣才能與日益狡猾的網絡犯罪活動斗智斗勇。

英國Winfrasoft公司的技術主管Steve Hope也表達了同樣的觀點：“在雙因子認證技術中應該采用更為創新性的方法。”這家公司已經設計出了自己的雙因子認證方法，名為PINgrid。雖然Winfrasoft公司發現其企業客戶目前還沒有采用PINGgrid方法，但Hope仍然建議雙因子認證技術采用新的方式以解決出現的問題。

Hope認為：“如今，雙因子認證與交易之間沒有有機地結合起來。”他指出，一個根本的問題可能是，雙因子認證沒有與交易和賬戶代碼的驗證直接聯系起來。這兩個驗證過程如今是分開來的，但應該可以把它們結合起來，以抵御狡猾的攻擊。當然，“惡意軟件眼下很難對付。”他補充說道。

雙因子認證有漏洞?

法國國家計算與自動化研究所（INRIA）的密碼研究人員曾發布了一篇技術性很強的文章，該文章稱他們發現了加快攻擊令牌設備的實際方法。這篇文章的題名是《針對加密硬件的高效Padding Oracle攻擊》（Efficient Padding Oracle Attacks on Cryptographic Hardware）。圍繞雙因子認證的另一場爭議隨之而爆發。

這些自稱是Prosecco研究組的研究人員打算在即將召開的CRYPTO大會上更詳細地探討他們所發現的結果。他們表示，目前其已經可以從Alladin、Gemalto、RSA SecurID、Safenet和西門子等知名廠商的令牌中獲取加密密鑰。這一言論讓安全圈子“炸開了鍋”。

Prosecco研究組表示，其已經將破解RSA SecurID的時間縮短到了13分鐘。EMC下屬的安全部門RSA措辭激烈地駁斥了Prosecco研究組的這一說法。Prosecco研究組同時還表示，其他廠商的令牌同樣不堪一擊，但據說攻擊時間會花費更長的事件，從21分鐘到92分鐘不等。

RSA首席技術官Sam Curry近日在其公司博客中寫道：“這番言論無疑為我們敲響了警鐘，已經部署了RSA SecurID 800驗證器的客戶應該引起注意。不過，事實卻并非如此。Prosecco所報告的大部分信息都夸大了該研究的實際影響，而且采用了故弄玄虛的技術行話，讓安全從業人員無法準確評估與產品有關的安全風險。目前來看，用戶和整個行業都把時間浪費在了查明實際情況上。”

不過，美國的一些密碼研究人員表示，不應對法國研究人員的這些說法掉以輕心。

約翰斯?霍普金斯大學的密碼學家兼研究人員Matthew Green最近在個人博客中寫道，“密碼令牌行業這幾年來日子并不好過”，Prosecco研究組發表的這篇文章也許只是最新的壞消息而已。

被問及對這一研究有什么看法時，Green說：“所有這些令牌都采用了RSA加密方案中的一種已知而且易受攻擊的實施機制。從我們所知道的情況來看，這種加密機制從1998年開始就遭受到了攻擊。所以從這個意義上來看的話，其算不上是什么新話題。”但他表示，法國研究人員所做的是，“證明了這些令牌很容易遭到黑客的攻擊。按理來說，開發人員應該早在這篇文章發表之前就認識到這一問題，并加以解決。不過事實并非如此。”

Green認為，Prosecco研究組的研究人員“大大加快了攻擊速度，使得對這些令牌設備的攻擊成為可能。這很了不起，因為攻擊令牌通常沒那么快就能得逞。而新的攻擊只要在幾分鐘內之間就能生效，而不是幾小時或幾天內。”

Green表示，他不想就這種攻擊提出“危言聳聽”的說法和警告，因為這“完全取決于令牌在特定的應用環境下的使用方式。不過，這一問題應該得以解決。要知道，安全產品的作用不是用來應對最好的情況，而是防范最壞的情況。”

他得出的結論是，依賴令牌進行加密的企業和用戶應該對這些消息有所關注，“并采取措施來保護自己及客戶的數據。”

7800萬美元的損失

一直以高凈值資產為目標的全球犯罪團伙目前已經從惡意行為中“賺取”了大約7800萬美元的資產。

邁克菲和Guardian Analytics公司發布的威脅報告顯示，目前已有60家甚至更多機構的信息和資產被竊取，實際損失的總數可能比估值還要高得多。

這兩家安全公司表示，他們跟蹤了至少12個團伙，這些團伙依靠大約60臺集成了高度自動化服務組件的服務器來竊取金融賬號。這些入侵和盜竊案例主要發生在歐洲地區，同時也有證據表明拉丁美洲和美國也有類似的案件。這些詐騙行為被認為與基于惡意軟件的SpyEye 和 Zeus攻擊不同，它們有更高的自動化程度，而且通常不需要人的介入就可以完成。

“我們發現，犯罪團伙正在應用多種自動化方式來進行攻擊。” 邁克菲高級研究和威脅專家Dave Marcus表示。

德國的一家銀行成為被發現的首個案例。邁克菲和Guardian Analytics 公司2012年1月在這家銀行的服務器日志中分析道，犯罪團伙盜用了176個銀行賬戶并且試圖將近100萬歐元轉移到在葡萄牙、希臘和英國開設的賬號。

黑客對于德國這家銀行的攻擊是高度自動化的，報告顯示，類似的攻擊手段也曾經被用于某家意大利銀行。不過，利用SpyEye和Zeus等惡意軟件來轉移資金的案例在之前從未見過。

這份報告稱，包括信用社、大型全球銀行和地區銀行等在內的各類銀行機構都有可能遭到攻擊。3月份，犯罪團伙采用這種新的自動化方式對荷蘭銀行系統下了手。這些黑客繞過了端點安全防護和針對欺詐行為的監測工具。。

兩家被攻擊的荷蘭銀行共有5000多個企業賬戶卷入其中，涉及金額大約為3558萬歐元。在拉丁美洲，有超過12家公司成為被攻擊的目標，每個企業賬戶都損失了大約50萬到200萬美元的資金。邁克菲和Guardian Analytics 公司表示，他們已經將其發現報告給了相關法律部門。

根據這份報告，這輪針對高凈值賬戶的盜竊行動利用了Zeus和SpyEye惡意軟件來危害用戶計算機，然后跳過證書驗證直接從銀行賬戶中執行欺詐交易。此外，盡管在這些攻擊中可能有人介入其中，但大部分的操作都是完全自動化的，一旦系統被攻破，詐騙行為就會自動被反復執行。

這份報告稱，這些在荷蘭和美國發現的最新攻擊已經將欺詐交易過程從用戶端發展到了服務器端。

報告稱，定制化的代碼能夠使得犯罪分子隱藏犯罪攻擊過程，避免反病毒掃描，這些代碼包括客戶端惡意軟件Rootkit和加密鏈接。“一些Web服務器不斷改變IP地址來使得黑名單失效。”報告稱，從根本上說，這些攻擊中所采用的技術對于犯罪團伙來說是重大的突破，因為他們已經“破解了采用物理設備的雙因子認證。”

報告還稱，這種攻擊在那些已經部署了合理分層權限控制和監測軟件的公司中沒有太大效果。邁克菲和Guardian Analytics公司正在規劃更為合適的安全配置，比如在客戶主機上進行實時威脅情報更新，并采用輔助安全硬件來對抗惡意軟件。

鏈接

什么是雙因子認證

雙因子認證（Two-factor authentication）是一種驗證形式，又被簡稱為TFA、T-FA或者2FA，其要求采用兩種以上的認證因素來進行驗證。

在信息認證領域，雙因子認證是一種通用的驗證方式。其一般都會結合密碼、信用卡、手機短信、指紋或者物理硬件加密等多種方法實現。雙因子認證技術致力于通過多重驗證方式減少用戶在數據請求過程中所遭遇到的風險。這一技術經常被同其它認證技術所混淆，實際上，要識別是否是雙因子認證技術很簡單。雙因子認證技術包含了三個基本的因素：

用戶已知的信息 我們經常接觸到的密碼就屬于這一類認證因素。

用戶擁有的物品 銀行卡、手機以及加密令牌等到都在這一分類內。

用戶自身的屬性 這一認證因素利用了指紋、虹膜等身體組成部分。

實際上，雙因子認證不是一個新的概念。當我們在銀行自動提款機上取錢時，就已經應用到了雙因子認證技術。在這一過程中，第一個認證因素是用戶的儲蓄卡或者信用卡，第二個認證因素則是用戶所輸入的密碼。沒有以上這些因素的話，可想而知，我們不可能從提款機上取到錢。這就是一個最基本的雙因子認證系統。其中，儲蓄卡或者信用卡屬于用戶擁有的物品，密碼則歸類為用戶已知的信息。

需要提起注意的是，雙因子認證并不能完全避免數據安全問題，而只是為用戶提供更多的安全保障。（文/李旭陽）