摘要:本文将讨论基于令牌的身份验证的最大威胁,包括那些安全专家最有可能发现的攻击,以及如何确保令牌和其它身份验证方法在这些特定攻击下得到保护。 |
RSA的攻击是攻击者以令牌供应商为目标来破坏整个身份验证系统安全性的一个例子。攻击令牌,尤其是智能卡,已经可以通过使用差分功耗分析(differential power analysis)来实现了。Zeus木马以攻击客户端而著称,即使使用了令牌。如果序列号和种子文件被导入,而且只要时间是同步的,那么这个免费的工具Cain and Abel甚至还包括生成令牌代码的功能。
安全专家可能发现的最常见的攻击并不令人惊讶:对客户端的攻击是最常见的,因为通常来讲,它们及其用户仍然是企业环境中最薄弱的环节。因此,当登录客户端之后,防止恶意软件窃取令牌是很重要的。一些USB令牌包括直接读取令牌以及把它嵌入到网页窗体中用于身份验证的功能。这样可能会防止一些恶意软件的入侵,但是恶意软件仍然可以拦截网页窗体提交来捕获令牌。顾名思义,一次性密码的一个好处是它们仅一次有效、或者在一段有限的时间段内有效。如果种子文件在RSA攻击中被损坏,那么攻击者在进行网络钓鱼时就可能会使用种子,并用从你所处环境的其他部分所钓来的信息来攻击你的系统。因此,确保员工意识到来自钓鱼式攻击的潜在危险是必需的。
企业防御策略
在选择实施哪一种身份认证、或者如何强化现有的实施方案时,安全专家应该考虑到这些威胁。你可以通过限制网络访问、或者通过关闭防火墙来保护令牌基础设施,使得只允许必需的系统访问。如果一个攻击者成功地利用漏洞入侵了你的令牌供应商,那么你可以通过公开地与供应商沟通,弄清楚哪些其它漏洞可能会由于这个破坏而被利用,以此来保护你的企业。另外,定期检查日志从而确定是否有任何可疑的身份认证正在发生,同时,如果现有的系统不能达到你的安全级别,那么就要以容易切换到一个新的供应商的方式来安装令牌供应商的软件。
为了抵御对令牌自身的攻击,请对那些具有强大防篡改功能的安全令牌进行投资,比如:防篡改实例和设计用来防篡改的软件/硬件,并训练用户如何保持令牌的物理安全性,以及遵从RSA公司在该安全事件之后所提出的建议。另外,还可以参考关于维护客户端免受攻击的其它建议。
结论
因为RSA公司至今只公开发布了关于其最近的先进持续威胁漏洞的少量信息,所以企业不得不对其进行猜测,从而做出相应计划以确保它们的SecurID系统是被安全地应用和维护的。然而,企业应该一直听从RSA公司关于这起事件所提出的建议,因为许多建议都是标准的最佳安全做法。对于高安全性环境有针对性的攻击来讲,RSA攻击可能会削弱企业的安全性,但对大多数企业来讲,该事件所造成的影响甚微。
责任编辑:Lily