据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
1、现行静态固定密码的缺陷
1)自身不安全导致ID盗用
- 自己不小心泄露或主动分享密码
- 黑客入侵脱库,即使用户数据库加密,也可以离线破解
- 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
- 黑客MITM抓包窃听
2)不方便导致用户友好性差 为对抗黑客攻击,需要提高密码质量,但又引出另外的问题
- 密码复杂,不好记忆
- 长期不用,忘记密码
- 大量密码,必须用记事本记录,容易泄露
- 强制定期修改密码,比较麻烦
- 临时分享密码,过后还要修改密码
2、其它用户认证方式的局限性
- USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
- 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
- SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
- 量子密码可以感知是否被窃听,但还不普及
- 短信接收认证码容易受到移动网络及用户流量套餐的限制,还存在短信窃听的潜在威胁;用户多时,短信接收有几分钟~十几分钟的延迟
3、TOTP动态密码认证介绍 TOTP是Time-based One-time Password的简称,即基于时间的一次性密码,需要安装手机TOTP APP,部分TOTP APP在打开时有FACE ID、Touch ID指纹识别等生物识别认证功能,相当于2FA/MFA(双因子认证/两步认证/多因素认证),只在激活时用到初始静态密码,阅后即焚,以后使用时,不需要联网,不需要WIFI或数据流量,离线使用,只与时间有关。
Google、Facebook等大公司的用户认证使用TOTP动态密码认证功能后,将ID盗用的发生率降低了99%。
TOTP动态密码认证具有以下特点:
- 30~300秒自动更新新密码,不怕泄露分享密码,不怕暴力破解,不怕抓包窃听,不怕在陌生环境、公共场所中当众使用,适用于零安全零信任的网络环境
- 用户认证数据与WEB/SQL服务器无关,不怕脱库
- 手机APP显示动态密码,不需要记忆密码,不会忘记密码;临时分享密码,过后不需要修改密码
- 指定手机安装APP,只有在有此手机的地方才能登录,而且即使拿到手机也无法克隆到其它手机中
4、中神通大地云控TOTP动态密码认证功能
目前有IKEV2/IPSEC VPN、OCSERV/CISCO AnyConnect VPN、PPTP VPN、L2TP VPN、OpenVPN、WireGuard VPN、SSH等7种服务可以使用TOTP动态密码认证功能,可以扩展至其它服务,具体请见“中神通大地云控-TOTP动态密码认证设置及使用过程”。
在线网页:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1562
docx文档:http://www.trustcomputing.com.cn/help/totp_auth.docx
参考文档:
1) 黑客利用泄露的 VPN 密码入侵 Colonial Pipeline
https://www.solidot.org/story?sid=67961
2) DarkSide使用了旧的VPN 密码对Colonial进行了攻击