什麼是多重因素身份驗證？

什麼是多重因素身份驗證？

說到資安課題，有很多的問題在於不正當存取。從 HENNGE 2018 年的數據調查得知，有 60% 的資安漏洞都在於「身份驗證」這個問題上。其實這個道理也並不難懂，因為每個軟體服務都會提升自己軟體在傳輸、管理或是程式碼的資安功能，但是最弱的環節卻往往來自「人」 -- 缺乏資安意識的使用者。這些使用者很有可能認為自己的帳號並不重要而把帳號的密碼設定得過於簡單，但是他們忽略掉了和他們的帳號連結的其他使用者可能有重要的資料在這個軟體服務裡。因為電腦和網路世界的盛行，現在常常聽到 某某的加密被破解或是某某資料庫外洩，所以單單只是密碼也顯得不再足夠。

這時候就需要多重因素身份驗證。

多重因素其實就如字面上的意思：除了密碼以外再加上別的身份驗證才允許使用者登入。而這個密碼以外的登入方式可以有不同的形式。除了大家比較熟悉的 SMS 簡訊密碼、一次性密碼（OTP）以外，其實還有公司用的 IP 限制等。今天想和大家探討多重身份驗證的種類和各個方法的利與弊。最後再討論為什麼多重因素身份驗證會是企業需要考慮的安全措施之一。

SMS 簡訊

這可能在台灣到現在為止都是主流的做法之一，尤其是在購物網站或是銀行網站等資安要求相對較高的服務。登入方式是由使用者在服務的網站登入並輸入完密碼之後，系統會以簡訊通知的方式寄送一組六位數的一次性密碼至使用者的手機號碼上。這麼做的目的就是為了確保可以登入該帳號的人只有「拿著」該手機的使用者才行。而現代人習慣不論是在家、在上班或是在外面基本上都帶著手機。因為派發的密碼是一次性的，所以就算旁人把密碼背下來或是一次性密碼洩漏出去了，下一次系統派發的一次性密碼不會是一樣的，所以沒有什麼問題。基本上 SMS 簡訊沒有什麼大問題，可是要使用的話必須擁有手機的號碼才行，並且系統寄出的簡訊有時候可能需要花個幾分鐘才會被收到。

OTP（一次性密碼）

一次性密碼其實和 SMS 簡訊很像，但是他解決了 SMS 簡訊的缺點。OTP 其實有幾種，而比較常見的有兩種：HOTP 和 TOTP。HOTP 是 HMAC-OTP，這裡的 Hash 是雜值，跟上次我們討論電子郵件資安防護中 DKIM 使用的一樣。伺服器系統會先産生一組隨機的初始值，這組初始值可以由 QR 碼的方式加到手機裡或是有些銀行會提供一個硬體的小計算機一樣的算盤。這個初始值存在於伺服器和裝置兩端之後，使用者每一次登入在輸入密碼以後，系統會由初始值通過一個雜值產生的運算式來產生一組看起來是隨機的六位數；這時候使用者也必須在手機或是算盤上取得以同樣初始值算出來的一模一樣的六位數。而每登入一次，計數器就會存在於系統和算盤裡。例如第二次登入時，除了把初始值加到運算式以外，第二次的 2 的這個訊息也會運用到運算式裡去，所以才能確保每一次登入時密碼都不一樣。但是這個計數器久了會跑掉，因為伺服器需要與手機保持著連線的狀態才行。

其實這個世界有一個很自然能夠取代計數器的參數：時間。時間就是個天然的計數器，數值也自然在改變。可是如果每一秒都會隨機產生一組新的一次性密碼就太多了；而每一天產生一組新的密碼又太少了顯得沒有意義。所以目前大都認可的是 RFC 6238 中的每 30 秒一組。大部份的 OTP 手機應用程式如 Google Authenticator 或是 Microsoft Authenticator 等都是如此。所以在使用 TOTP 的話，你會發現手機的時間如果不準了，OTP 的密碼會變得不正確。TOTP 既解決了簡訊寄送 SMS 花費的時間精力，又解決了 HOTP 計數器上的不穩定性。

IP 限制

一般使用者可能對 IP 限制比較陌生，因為一般自己家裡的網路的 IP 位址都是浮動的，所以大部份面向個人的網站服務如購物網站和銀行等多沒有此功能。但是負責 IT 的同仁應該不會太陌生，尤其是負責網管的 MIS。公司的網路因為用量比較大，用的人比較多，一般都會跟網路提供商（ISP）有特殊的合約，而 IP 位置大都是固定的。IP 位置（正確來說是公開的 IP 位置）是登入到網路上和其它的電腦或是伺服器溝通時一定會留下你的裝置位址訊息，跟家裡的住址很像。因為 IP 位置不太好偽裝，所以能來當做這個人的存取位置是相對可信的。而一個服務如 Office 365 只針對你的公司的公開 IP 位置打開的話，一般從公司以外是無法登入的。所以一般的企業雲端服務其實只要打開了 IP 限制基本上就可以阻擋從公司外部的大部份攻擊了。

裝置綁定

對於大部份的企業來說，光只是做 IP 限制的話不夠有彈性。像是常常在外面的業務或是在外辦公居多的董事長、總經理等不可能限制他們只能從公司的 IP 才能登入。這時候其實可以搭配上面提到的 OTP：讓使用者在公司內部時登入沒有問題，可是在公司外部登入時需要輸入一次性密碼才行。如此是比較典型的兩階段或是二重因素驗證。但是某些公司對資安的要求還要更嚴格的話，如果想限制只有許可的裝置才能登入到公司的雲端，以上的方法就無法達到了。畢竟企業的資料就是商機，不可能和個人的資料相提並論。

如果想要有彈性的限制「可以」並拒絕所有其它的裝置來登入到公司的雲端服務如 Office 365 或是 G Suite 的話，我們的 HENNGE Access Control 有幾種不同的機制：裝置憑證和安全瀏覽器。

安全瀏覽器是我們 HENNGE 專門為了裝置控管並達到「資料不落地」的效果所開發的軟體。安全瀏覽器其實和一般瀏覽器很像，但是差別在於管理員只允許使用者可以從安全瀏覽器來登入雲端的服務，並在從安全瀏覽器登入之後限制使用者的文字複製和檔案下載。

由於近年來，雲端服務快速地成長，使用雲端服務的公司也越來越多，所以對雲端資安這一塊有需求的公司也越來越多。HENNGE Access Control 目前是 HENNGE One 的產品系列中詢問度最高的。大部份的客戶都是想實現 IP 限制和裝置控管來達到資安的需求，但是礙於 G Suite 和 Office 365 的 IP 限制不完全或是高階方案太貴等，所以很多客戶考慮的是 G Suite Basic + HENNGE One 或是 Office 365 中的 E1 或是 Business Essential/Premium + HENNGE One 等。如果您的公司也對實施登入管控/存取控制有興趣，歡迎索取我們的介紹資料。