我可以在两家银行的身份验证程序之间进行选择,我需要帮助来选择最安全、最方便的选项。
选项“硬件令牌”:通过用户名/密码完成对 Web 平台的身份验证,但通过 PIN 和一次性硬件令牌密钥的组合执行交易。
选项“指纹”:Web 平台的身份验证也通过用户名/密码完成,但交易是通过通过指纹验证手机上的软件令牌应用程序并获得一次性令牌密钥来执行的。
我的理解是硬件令牌选项更安全,因为现在的手机和笔记本电脑很容易感染键盘记录和其他类型的软件来窃听我的密码。然而,指纹认证是一种生物识别形式的认证,据我所知只能用物理指纹而不是软件来欺骗,因此可能提供相同级别的安全性。
另一个弱点可能是窃取软件令牌种子的风险。
你觉得我应该怎么选?硬件令牌仍然是要走的路,还是生物特征识别在我的场景中是一个明智的选择?
简而言之:我会选择硬件令牌。
长版:第一件事:人们已经证明可以通过多种方式篡改指纹。可能最常见的方法是使用打印机从指纹重新创建它,但还有更多选择。您可以在文章7 如何击败指纹生物识别技术中看到其中的一些。不过还有很多。
但硬件代币也已被证明是“可破解的”。从我们掌握的少量信息中很难判断。这真的取决于令牌。在这个考虑中更重要的一点(至少对我来说)是:如果你的硬件令牌的种子被盗,你可以改变它。如果您的指纹(或其数字表示)公开可用,您的选择将非常有限。
如果它真的使用指纹在系统上进行身份验证,这应该是您的考虑因素。但是,如果在您的手机上使用它,它可能只是您手机中的一个令牌,并由操作系统使用指纹读取器替换密码来保护。在这种情况下,您的手机是您的硬件令牌,但它没有适当的读保护内存,例如令牌(应该有)。在这种情况下:我也会选择硬件令牌。
指纹不直接保护令牌(它不能——我们迄今为止没有可靠的方法来持续扫描指纹)。操作系统使用您的凭据加密令牌。对操作系统的 API 调用允许应用程序请求强制用户重新认证的令牌。
因此,移动应用程序的风险归结为 -
您还需要抵消这种风险有多高?即,该应用程序是否可以大规模利用,银行会弥补损失吗?你是一个高风险的目标吗(例如,亿万富翁可能比普通的乔有更高的攻击风险)。
对于绝大多数用户来说,我认为应用程序与强大的唯一密码配对时应该被视为足够安全。如果该应用程序遭到入侵,银行可能会受到打击并退款给客户。
理论上,硬件令牌应该更安全——它实际上是一个气隙系统。对于私钥/公钥系统,私钥永远不必离开设备。然而,制造商的设计决策和实施一直存在历史问题。
没有一个选项天生就比另一个更好。
手机令牌容易受到手机上的恶意应用程序的攻击,但它可以保护整个过程。
硬件令牌本身是无懈可击的,但整个链通常仍然不受网络钓鱼、MiM 攻击和 PC/浏览器上的恶意应用程序的保护。
虽然硬件令牌本身是安全的,但问题是它通常不会告诉您您正在授权哪种操作。攻击者很容易诱骗用户为他生成 OTP。几年前,这是对硬件令牌安全银行的相当普遍的攻击,主要漏洞是需要 OTP 才能登录 - 通过错误地声称第一次尝试是错误的来利用它是微不足道的。如果软件令牌提供有关被授权操作的关键信息,则此风险被消除。
所以这个问题可以归结为“链条的哪一部分更容易保护?” 如果您确定使用浏览器的计算机的安全性,它与银行的连接以及(最重要的是)您对网络钓鱼的警惕,那么硬件令牌会更好。如果您不从不受信任的来源安装应用程序,那么手机可能更容易保护。
如果移动令牌离线工作(基于质询-响应代码),并且您可以在激活令牌应用程序(airgap)后专用一部永久离线的手机,它是迄今为止最安全的解决方案(尽管最麻烦)。
指纹并不是最好的安全方式。正确实施的密码或 PIN 会更安全。但是,如果数据正确地存储在手机的硬件安全区域中,那就足够了。
基本上,这两种选择都可以正确或错误地实施。
对于这种多因素身份验证,我会选择指纹选项,以便于使用(你没有可能放错地方的东西)。这是假设银行提供两者时,他们相信它们既能提供足够的安全性,又能为成功攻击任何一个提供保险。我不认为生物指纹扫描仪应用程序像硬件令牌一样安全,因为如果移动设备受到攻击,就会存在在线攻击。对于我知道的任何攻击,硬件令牌都必须从您那里物理窃取(正如另一个答案指出的那样,它应该在互联网与其包含的秘密之间提供一个气隙)。
同样使用指纹选项,您仍然有可能发生这种情况。这是一个古老的故事,但它仍然让我不寒而栗。