我们正在工作场所更改远程登录安全性流程，我们担心新系统不像旧系统那样使用多因素身份验证。 (我们一直在使用RSA密钥卡，但由于成本原因而将其替换。)新系统是一种反网络钓鱼图像系统，被误认为是两因素身份验证系统。我们现在正在探索在不向用户发行硬件设备的情况下继续提供多因素安全性的方法。

是否可以编写一个基于软件的令牌系统以安装在用户的PC上，而该系统将构成多因素身份验证系统中真正的第二因素？是将其视为"用户拥有的东西"，还是仅仅是"用户知道的东西"的另一种形式？

编辑：phreakre对cookie提出了一个很好的观点。出于这个问题的考虑，假设由于cookie不够安全而被排除在外。

解决方案

回答

虽然我不确定这是否是"有效"的第二个因素，但许多网站使用这种类型的程序已有一段时间了：cookie。几乎不安全，但这是我们要描述的项目类型。

就"用户拥有的东西"还是"用户知道的东西"而言，如果它是用户PC上的某个东西(例如后台应用程序，在被问到但不要求用户执行任何操作时提供信息)，我可以将其提交给"用户拥有的东西"。如果他们在某个字段中输入密码，然后输入另一个密码来解锁我们存储在其PC上的信息，那么这就是"用户所知道的"。

关于已经存在的商业解决方案：我们使用一种称为BigFix的Windows产品。虽然它主要是一种远程配置和合规性产品，但我们有一个用于它的模块，该模块可以作为我们针对远程/ VPN情况的多因素系统的一部分。

回答

软件令牌是第二个因素，但是与RSA密钥卡相比，它可能不是一个好的选择。如果用户的计算机受到攻击，攻击者可以在不留下任何痕迹的情况下默默地复制软件令牌(与RSA密钥卡必须自己携带密钥卡的情况不同，因此用户有机会注意到它已丢失)。

回答

我会说"不"。我认为，如果不发布最终用户可以携带的东西，我们真的不能真正获得多因素身份验证的"拥有的东西"部分。如果我们"拥有"某些东西，则意味着它可能会丢失，不会有很多用户失去整个台式机。毕竟，"我们拥有的东西"的安全性来自以下方面：

• 我们会在没有的时候注意到它-明确表明安全性已受到损害
• 只有一个人可以拥有它。所以如果你这样做，别人不会

软件令牌不能提供相同的保证，并且我不会出于良心将其归类为用户"拥有"的东西。

回答

我同意@freespace的观点，该图像不是该用户的多因素身份验证的一部分。当我们声明该图像是反网络钓鱼方案的一部分时。我认为该图像实际上是对用户的系统弱认证。该图像向用户提供该网站有效而非伪造的钓鱼网站的身份验证。

Is it possible to write a software-based token system to be installed on the user's PCs that would constitute a true second factor in a multi-factor authentication system?

基于软件的令牌系统听起来像我们可能想研究Kerberos协议http://en.wikipedia.org/wiki/Kerberos_(protocol)。我不确定这是否可以算作多因素身份验证。

回答

我们所描述的是计算机拥有的东西，而不是用户拥有的东西。
因此，我们可以(取决于实现方式)确信它是计算机，但不能保证与用户有关...

现在，由于我们正在谈论远程登录，也许情况是个人笔记本电脑？在这种情况下，笔记本电脑就是我们所拥有的东西，当然，我们所知道的东西就是它的密码...然后剩下的就是安全的实现，并且可以正常工作。

回答

安全始终是权衡取舍。硬件令牌可能更难于窃取，但是它们无法针对基于网络的MITM攻击提供保护。如果这是基于Web的解决方案(我假设是这样，因为我们使用的是基于图像的系统之一)，则应考虑提供相互https身份验证的功能。然后，我们将获得免受大量DNS攻击和基于wi-fi的攻击的保护。

在这里你可以找到更多：
http://www.wikidsystems.com/learn-more/technology/mutual_authentication
和
http://en.wikipedia.org/wiki/Mutual_authentication
这是有关设置相互身份验证以防止网络钓鱼的教程：
http://www.howtoforge.net/prevent_phishing_with_mutual_authentication。

基于图像的系统被称为相互身份验证，我猜是这样，但是由于它不是基于加密原理的，所以它非常薄弱。还有什么要阻止MITM也不能显示图像？它也比用户友好的IMO少。