随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证(客户端终端安全问题)也成了互联网安全所面临的重要问题。
使用静态口令进行身份验证给企业和用户在可用性和安全性方面带来了问题
-
为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解;
-
黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取;
- 内部工作人员可通过合法授权取得用户密码而非法使用;
- 不满足合规性要求、等保要求使用多因素身份认证。
动态口令(OTP,One-Time
Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。
动态令牌,是用特定的算法而产生不同的口令作为一次性使用的密码,其特点主要是由算法产生的口令只能使用一次。可通过手机中的专用软件、短信和专用硬件分发给用户。具有一次性、复杂性、安全性,同时口令生成也十分方便,更无需记忆。据统计,目前有
85%以上的世界 500
强企业在运用它保护登录安全,并且广泛应用在可应用于金融、保险、税收、海关、商务、办公、教育、娱乐、消费等行业等领域。
无需记忆
密码遗忘是令许多人头疼的问题。随着网络应用的普及,需要人们记忆的密码越来越多。动态密码使用户无需记忆多个密码且方便携带。
内外兼“固”
在信息系统的入侵者中,暴力破解和内部入侵者占80%以上。而动态密码认证系统把密钥生成和管理完全交给系统自动完成,最大限度地减少了人为因素,有效地防止了内部人员和外部人员作案,使系统安全防范对内对外同样坚固。
双重保险
动态密码认证系统采用双因素认证机制。用户即使将动态密码、账户同时丢失,也不会造成损失
简单易行
IC卡认证、CA认证、指纹认证都需要专用终端认证设备的配合,应用范围受到很大限制,动态密码令牌凡是在可以输入十进制数码的设备上都可以实现,简单使用。
系统相对独立,接口简单,易与现有的电子商务站点认证系统对接,采用专用动态密码认证服务器进行认证,保障现有应用系统的完整性,保护系统资源。
OTP 手机令牌双因素认证
手机令牌,是用来生成动态口令的基于挑战/应答同步方式的手机客户端软件,用户使用该软件扫描服务端下发的二维码注册,之后软件将随时间生成一个6位数的动态密码,手机动态密码可在Android、ios等手机操作系统运行,做到密钥与手机捆绑。将手机令牌与andang-ASP身份认证服务系统相结合,可以为组织机构提供一个使用简单、安全性高、稳定性好、成本低廉的双因子身份认证解决方案。
在生成口令的过程中,不产生任何通信,从而保证口令不会在网络传输中被截取。由于其在具有高安全性、零成本、无需携带、获取以及无物流等优势,相比硬件令牌其更符合互联网的精神。
主要好处
客户端:
- 支持多种手机系统,Android、iOS;
- 支持产生基于时间、验证服务端动态口令;
- 支持产生6位动态口令,便于输入;
- 支持产生30秒时间间隔的动态口令;
- 使用方便,无需记忆,也无需携带额外的设备;
- 支持OTP动态令牌有效时长显示;
- 客户端支持密码或生物特征等多种解锁方式;
- 完全兼容谷歌、微软、腾讯等第三方身份验证器。
服务端:
- API对接,便于和应用系统集成;
- 支持本地化部署或选用安当公有云SaaS服务;
- 支持用户管理,日志审计;
- 支持用户自注册,更加安全、高效;
- 一个管理后台对接多个应用,也可分应用管理;
- 管理员支持FIDO身份认证,更加安全;
- 相比硬件Key,总体使用成本低;
- 公有云SaaS服务收费模式灵活,支持按天计费;
技术参数
标准 | 符合OATH相关标准 |
内置安全算法 | 符合OATH组织的标准TOTP算法 |
密钥类型 | base32、hex编码 |
口令长度 | 6位 |
口令周期 | 30s |
算法支持 | SHA1、SHA256、SHA512、SHA224、SHA384、SM3 |
认证模式 | 时间型动态口令认证、验证服务端 |
---|