等保资讯

双因子（或称双因素）认证一直是安全圈比较关注的一个话题，从等保1.0时期的关键评价指标项，到现在网络安全等级保护、关键信息基础设施、高风险判定指引，要求在各个层面的身份鉴别上均实现双因子身份鉴别，可见对双因子认证在日常应用的重视程度。

01什么是双因子认证？

 现代双因子认证的起源，可追溯到一战时期的英国情报局军情6处M16，用于针对处理安全、防务、外事、经济方面的事物情报、密码情报。

所谓的双因子认证是指结合密码、实物（信用卡、SMS手机、令牌）或指纹等生物标志中的两种条件对用户进行认证的方法。

02双因子的3种认证方式

一、知识

最常见的就是口令等知识, 其优势在于认证过程简单快捷, 不会出错。

二、实物

比如说是IC卡、令牌, USB Key等实物(古代的虎符也是这类)，其优势在于认证过程也简单快捷, 不会出错。

三、人的生物特征

比如指纹, 虹膜, 视网膜, 掌纹, 面貌等, 这些识别元素是每个人都是唯一的，用来作为认证是最强的, 但认证过程比较慢, 而且会出错。

结论

双因子认证的认证方法，就是必须使用上述三种认证因子的任意两者的组合才能通过认证。

03标准涉及双因子认证

《网络安全等级保护基本要求》

在三级安全计算环境中针对身份鉴别部分，要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。”

《关键信息基础设施网络安全保护基本要求》

在报批稿第7章安全防护中针对鉴别与授权要求“对设备、用户、服务或应用、数据进行安全管控，对于重要业务操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别方式等。”

《网络安全等级保护高风险判定指引》

在第7章针对双因素认证部分，判定内容为：“重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证，削弱了管理员账户的安全性，无法避免账号的未授权窃取或违规使用，可判定为高风险。”

结论

通过以上标准和指引可以看出，对双因子认证的要求举足轻重，用户登录资源需要具备唯一身份标识，对唯一身份标识的鉴别需要实现多因素强身份认证，且其中一种鉴别技术至少应使用密码技术来实现，并且多方解读高风险即为一票否决项。

04工作中暴露出的问题

网络安全对抗活动

从历年网络安全对抗活动行动了解到的情况来看，暴露出来的最大问题就是认证的安全问题。仅校验“账号+密码”的认证方式，很容易被口令猜测破解。

日常工作

日常工作中，缺少统一管理，资源各自认证，不便统一认证方式；账号各自维护，不便设置口令策略；日志各自保存，不便查询分析。