随着等保2.0的普及,越来越多的WEB应用登录开始采用双因素或多因素身份验证,如何简单、便捷、快速的实现用户安全登录对于软件应用开发者来说至关重要。
身份认证和登录是两个不同的概念,登录指从识别用户身份,到允许用户访问其权限相应的资源的过程。在登录的过程中,“鉴权”与“授权”是两个关键的过程。而身份认证只是其中的一个环节,即“鉴权”。
身份认证的形式丰富多彩,传统的方式是用户名和密码验证。随着等保2.0普及,越来越多的应用需要采用双因素认证或多因素认证,即多种认证方式组合使用来保证用户登录的安全性。目前常见的WEB应用登录身份认证登录方式包括USBkey ID绑定登录,OTP动态口令,CA数字证书,FIDO快速身份认证等。各种登录方式的对比如下:
USB Key ID:服务器端绑定用户名和KeyID,这样客户端登录时,进行验证;优点是集成方便,但安全性是低的.
OTP:一次动态口令验证,是指计算器系统或其他数字设备上只能使用一次的密码,有效期为只有一次登录会话或交易。相对于静态密码,OTP 重要的优点是它们不容易受到重放攻击。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它,因为它将不再有效。第二个主要优点是,使用多个系统相同(或类似)密码的用户,如果其中一个密码被攻击者获得,不是对所有的系统都容易变得脆弱。
CA数字证书:由于基于非对称密钥,安全性相对高,可以采用双向认证方式支持。服务器证书可由第三方可信机构签发,标识,便于用户识别和通讯加密。防范网站假冒钓鱼以及数据安全。客户端证书由客户自己签发(微软CA、openssl等)。相比于其它认证方式,对服务器资源消耗更多,成本也高一些。
FIDO快速身份认证:和CA数字证书认证一样,基于非对称密钥,服务器端只保存客户公钥,私钥只留存在客户端,安全性高。同时一个USBkey中可以注册多个密钥对,同时实现多个应用系统的支持。而且FIDO在多个操作系统上的安全和易于访问,支持Windows10/11、macOS、Linux、Android平台,以及 Google Chrome、MozillaFirefox、MicrosoftEdge、360和 AppleSafari等多数网络浏览器;客户端无需安装任何插件。
安当ASP免费身份认证服务
安当ASP身份认证平台,已集成了OTP和FIDO两种认证方式,实现一个统一后台集中管理,便于快速部署和用户管理,客户只需要简单的几行代码调用即可快速享受到OTP或者FIDO身份认证服务,实现双因素或者多因素身份认证。
免费版服务开放了软令牌功能,客户可以使用微信小程序或者Windows Hello Pin/指纹/面部识别来快速实现身份认证。对于企业用户来说,免费版功能开放了99个客户端的认证数量,足以满足客户的一般使用场景。
安当OTP身份验证器
FIDO身份认证示例