TOTP动态密码认证功能,让天下无贼!

本文分析了静态密码认证的缺陷和其它认证方式的局限性,重点介绍了TOTP动态密码认证的优势。TOTP是一种基于时间的一次性密码,结合2FA/MFA,提供更高的安全性,有效防止ID盗用、暴力破解等问题。Google和Facebook等公司采用TOTP后,显著降低了账户被盗风险。中神通大地云控的TOTP认证功能支持多种VPN服务,提高了用户认证的安全性和便利性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
 

1、现行静态固定密码的缺陷 

1)自身不安全导致ID盗用

  • 自己不小心泄露或主动分享密码
  • 黑客入侵脱库,即使用户数据库加密,也可以离线破解
  • 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
  • 黑客MITM抓包窃听

2)不方便导致用户友好性差 为对抗黑客攻击,需要提高密码质量,但又引出另外的问题

  • 密码复杂,不好记忆
  • 长期不用,忘记密码
  • 大量密码,必须用记事本记录,容易泄露
  • 强制定期修改密码,比较麻烦
  • 临时分享密码,过后还要修改密码
     

2、其它用户认证方式的局限性

  • USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
  • 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
  • SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
  • 量子密码可以感知是否被窃听,但还不普及
  • 短信接收认证码容易受到移动网络及用户流量套餐的限制,还存在短信窃听的潜在威胁;用户多时,短信接收有几分钟~十几分钟的延迟
     

3、TOTP动态密码认证介绍         TOTP是Time-based One-time Password的简称,即基于时间的一次性密码,需要安装手机TOTP APP,部分TOTP APP在打开时有FACE ID、Touch ID指纹识别等生物识别认证功能,相当于2FA/MFA(双因子认证/两步认证/多因素认证),只在激活时用到初始静态密码,阅后即焚,以后使用时,不需要联网,不需要WIFI或数据流量,离线使用,只与时间有关。 

       Google、Facebook等大公司的用户认证使用TOTP动态密码认证功能后,将ID盗用的发生率降低了99%。 

       TOTP动态密码认证具有以下特点:​

  • 30~300秒自动更新新密码,不怕泄露分享密码,不怕暴力破解,不怕抓包窃听,不怕在陌生环境、公共场所中当众使用,适用于零安全零信任的网络环境
  • 用户认证数据与WEB/SQL服务器无关,不怕脱库
  • 手机APP显示动态密码,不需要记忆密码,不会忘记密码;临时分享密码,过后不需要修改密码
  • 指定手机安装APP,只有在有此手机的地方才能登录,而且即使拿到手机也无法克隆到其它手机中

4、中神通大地云控TOTP动态密码认证功能 

      目前有IKEV2/IPSEC VPN、OCSERV/CISCO AnyConnect VPN、PPTP VPN、L2TP VPN、OpenVPN、WireGuard VPN、SSH等7种服务可以使用TOTP动态密码认证功能,可以扩展至其它服务,具体请见“中神通大地云控-TOTP动态密码认证设置及使用过程”。 

 在线网页:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1562 

 docx文档:http://www.trustcomputing.com.cn/help/totp_auth.docx 

参考文档: 

1) 黑客利用泄露的 VPN 密码入侵 Colonial Pipeline 

    https://www.solidot.org/story?sid=67961 

2) DarkSide使用了旧的VPN 密码对Colonial进行了攻击 

    http://www.infoobs.com/article/20210714/48462.html 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值