61阅读

如何使用安全套-除了双因素:如何使用U2F来改善应用安全

发布时间:2017-10-12 所属栏目:技术

一 : 除了双因素:如何使用U2F来改善应用安全

【51CTO.com快译】您还记得过去在用双因素身份验证之前,只使用一个用户名和密码就能被认为是安全的好时光吗?事实上,其实从来都不是那样的。在少年时的朱利安·阿桑奇(Julian Assange)闯入五角大楼之前,甚至在互联网广为传播到世界各地之前,人们就在使用暴力密码攻击去攻破了一个个系统。美剧《黑客军团》里的Mr. Robot就运用社交工程破解了其视为目标的大多数人的账户。

除了双因素:如何使用U2F来改善应用安全

使用2FA(双因素身份认证)曾被视为是对此的补救方法,但其方法已被发现有着黑客可利用的漏洞,而应对此挑战的办法则比较昂贵的。幸运的是,还有一个双因素身份认证的替代方案:通用第二要素认证,或称U2F,它正是应用程序开发人员所需一个的开源方案。

双因素身份认证的问题

在转为使用双因素身份认证之前,通过检查各种单因素身份认证的基线挑战来做好准备是很重要的。根据对主要服务提供商,如Adobe、Twitter、Linkedin和雅虎的攻击上升趋势所显示,仅用密码和安全问题的方式会将用户暴露于黑客面前。

由于用户不断重复使用某个秘密这一事实,密码本身成了一个最大问题。黑客们深谙这一点,所以一旦他们破解并窃取了一个帐户的身份验证凭证,他们则会尝试着以此潜入受害者的其他服务。如果用户选择使用了弱的密码机制,则黑客完全可以使用到Kali Linux的Crunch工具或是其它现成的密码破解工具。

既然单因素身份认证是不安全的,那么2FA(双因素身份认证)一定可靠吗?实际上,2FA的实施也有其自身局限性。例如,当您的双因素身份认证依赖于通过短信方式发送的一个验证码的话,骗子则可以通过利用社会工程学骗取用户的电话以获取之。而如果通过使用智能手机来作为第二种认证因素的话,也会有其它的风险。例如我们需要保护应用程序在逻辑上远离各种恶意软件。

实施双因素身份认证的另一个挑战在于价格方面。像谷歌或Facebook这样拥有数十亿用户的公司是无法实施昂贵且复杂的解决方案的。例如为它们所服务的每个用户提供一个唯一的令牌或智能卡,这都将是一笔非常昂贵的开销。那么,如何才能有效且划算的实施2FA呢?我们可以考虑“通用第二要素认证”,或称U2F。

U2F是如何工作的

由谷歌和Yubico所共同创建的U2F(通用第二要素认证)开启了认证的新标准。它允许用户安全且即时地使用一个设备去访问多个在线服务,而不需要安装特殊的设备驱动程序或客户端软件。通过使用U2F,您可以使用一个令牌来认证许多个服务。

U2F要求用户使用一个支持U2F标准的钥匙令牌(如USB类型)设备和浏览器。而钥匙设备的功能是作为一个安全令牌,让用户登录到多个支持U2F的在线服务上,那些服务包括了定制的应用程序。目前Chrome和Firefox都已支持U2F。

U2F标准协议的初探

Yubico定义U2F为:“一个具有挑战-响应协议的扩展,它提供网络钓鱼和MitM(中间人攻击)保护,特定应用程序的密钥,设备克隆检测和设备认证功能。”该协议的控制旨在对已知的和新的攻击予以防护。它使用的是非对称加密,也称公钥加密算法,其中私钥驻留在Yubikey设备之中。客户端上的浏览器内也开启了对挑战、处理和应用程序ID之类的适当控制(如下图所示)。

如何在您的网站上实现U2F

想让您的网站访问者以U2F的方式进行双因素身份认证相对来说是比较容易的,另外Yubico也提供了开发人员指南。您有三种选择,其中最简单的路径是使用Yubico的U2F的验证服务器(u2fval)。它通过一个简单的基于JSON的REST API提供了U2F的注册和认证,所以您不需要对应用程序的代码做太多的修改。此外,它还能对例如Wordpress这样流行的内容管理系统平台,以插件的形式提供“开箱即用”式的支持。所有的代码都是开源的,并且能在Github上获取到。

如何用u2fval来进行U2F的实施

如前所述,采用带有U2F的双因素身份认证的最简单方法是使用Yubico的U2F验证服务器(u2fval)。如果您正在Linux或Mac OS系统上做开发,其安装是很容易的。您只需使用如下这个pip命令:

sudo pip install u2fval

您还可以使用其它的Python或Github安装命令。

简单的配置是需要的,但是服务器并不需要一个数据库。您还必须配置每一个客户端,以及它所进行的身份认证方式。不幸的是,这已经超出了u2fval的范畴,所以您需要独立地实现它。

U2F的潜在安全问题

既然U2F式的双因素身份认证协议依赖于浏览器上客户端级别的验证,那么潜在的攻击就可能来自驻留于浏览器本身的安全漏洞。所以U2F的安全性取决于谷歌、Mozilla等其它公司在其浏览器上应用该协议的良好程度。

此外,如果您使用的是U2F验证服务器,那么请记住,REST API的调用需要进行服务器级别的强验证控制。如果API的验证不能被安全地开发和验证,您可以会受到服务器端的攻击。同时,由于U2F依赖于一个数据库,因此所有通过路径/etc/yubico/u2fval/u2fval.conf这一配置文件的访问都应该受到限制。而且,因为在Apache服务器上部署u2val服务器时,有一个选项是使用mod_wsgi,那么在Apache中监控将来可能出现的漏洞,对于防护未来出现的攻击来说是至关重要的。

鉴于身份验证的控制完全掌握在开发人员的手中,我建议大家应该保持谨慎的态度。要知道,一个对于U2F的劣质应用实施将会导致客户端身份认证上的各种安全错误。

U2F的未来

U2F式的双因素身份认证协议是建立在强安全的理念之上的。它在通过诸如Gmail、Github和Facebook等服务传播双因素身份认证的方面有着非常有希望的未来。当然组织要想采用之,则必须首先有一个适当的安全软件开发生命周期。

它的成功实施取决于您是如何编程与集成其它所需组件的。这包括您验证客户的方式,和对数据库的访问设置。运用安全的DevOps的方法,并遵循OWASP指南可以帮助您创建出各种牢固的应用程序,并能防御未来出现的各种验证方面的攻击。

原文标题:Beyond two-factor: How to use U2F to improve app security,作者:Johanna Curiel

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

二 : ac3filter安装后如何使用?

ac3filter安装后如何使用?


一、视频篇1、DivX编码。DivX是伴随着高质量影片的发展而逐渐完善的一种视频编码格式,经典版本是DivX 3.11 alpha,而现在的最新版本是5.05。建议安装方法:先装DivX 3.11 alpha,一路next下去,生成几个快捷方式,这时运行“Run Me First !!”,确定后一般会弹出提示没有数字签名,按“是”继续即可。然后再装DivX 5.05,一路回车。为什么两个版本的DivX都要安装呢,因为DivX 3.1是最稳定的版本,而且DivX的后继版本和DivX 3.11的程序设计上也并不一样。话扯远了,两个都装上,嘿嘿。2、Xvid编码。从去年的下半年开始,Xvid编码格式逐渐打破了DivX的垄断地位,随着其技术的发展,越来越多的人喜欢上了使用Xvid进行压缩。明眼人一看就知道这两个编码一定有联系(Xvid正好是DivX的反写嘛),其实两个编码颇有渊源,朋友到

三 : 震动安全套如何使用 毛毛虫震动套怎么样

常听到人们说,女人会懂得保护自己,性爱时一定要做足安全措施,否则吃亏的是女人(www.61k.com]。震动安全套让女人更安全,还可以途添快感。那么,震动安全套如何使用,毛毛虫震动套怎么样?

震动安全套如何使用?震动安全套使用方法有搭配避孕套使用及单独使用:

1.搭配避孕套使用:将避孕套套在阳具上后再将本产品套环套在避孕套之上、请注意套环上的震动器要位于阳具根部的上方。

2.单独使用、将产品包装撕开直接将控制把拉启动震动器震动后,轻轻接触敏感处.

毛毛虫震动套怎么样?毛毛虫震动套备受女性朋友们的喜欢。其提供双电池超长动力,毛毛虫柔软的触须给女性绝美摩擦,还能套在手指上使用!

在使用时还可以将震动器从毛毛虫中取出。置于安全套头部,再将安全套按说明书套在阴茎上。这样震动器可以与阴茎一起进入女性的深处,震动器在女性体内跳动着,欢叫着,同时也震动着男性的龟头部份。

除此以外,女性还可以将毛毛虫套在食指上,开着震动,自我安慰。DO IT YOURSELF,自已动手,丰衣足食,食指可以模仿性爱动作快速抽动,让自已快速达到高潮。

本文标题:如何使用安全套-除了双因素:如何使用U2F来改善应用安全
本文地址: http://www.61k.com/1058879.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1