Twitter的雙因素驗(yàn)證系統(tǒng):更安全但卻不一定更好
就在本周早些時候,Twiiter公布了自家最新雙因素身份認(rèn)證系統(tǒng)。通常情況下,每當(dāng)聽說這類系統(tǒng)時,我總是好奇他們是否會使用基于時間的一次性密碼算法(簡稱TOMP)。
TOMP目前已經(jīng)被多家企業(yè)奉為標(biāo)準(zhǔn)化方案,其中包括Amazon、Dropbox、Linode、Evernote以及微軟。使用這套算法的重要作用在于,大家所有的安全令牌機(jī)制都可被囊括于同一款應(yīng)用程序當(dāng)中。不過Twitter決定放棄這套方案;事實(shí)上,他們表示自己開發(fā)的安全機(jī)制效果更為理想。
事實(shí)的確如此。
簡而言之,Twitter利用公鑰/私鑰加密為設(shè)備創(chuàng)建一套密鑰對,同時通知Twitter的服務(wù)器當(dāng)前公鑰設(shè)置的具體內(nèi)容。秘密的私鑰永遠(yuǎn)不會被公開,并與由公鑰驗(yàn)證的簽名一道用于標(biāo)記由設(shè)備發(fā)出的請求。
這套系統(tǒng)的出色之處在于,即使Twitter的服務(wù)器被攻陷,攻擊者也只能獲取到一大堆公鑰。缺少私鑰的配合,犯罪分子將無法冒充用戶進(jìn)行操作。
但這套方案的定制特性意味著任何使用雙因素認(rèn)證機(jī)制的用戶都必須首先安裝Twitter應(yīng)用程序。為了鼓勵人們積極使用其應(yīng)用,Twitter僅將API調(diào)用權(quán)限提供給少數(shù)開發(fā)人員用于編寫自己的平臺,這相當(dāng)于以“愛用用、不用滾”的惡劣態(tài)度擺了用戶一道。此舉實(shí)際上相當(dāng)于強(qiáng)迫用戶只使用Twitter提供的社交服務(wù)。
不過就我目前觀察到的結(jié)果,開發(fā)人員對Twitter提出的方案并不買賬——事實(shí)上,眼下還沒有哪家第三方客戶端廠商能順利接手這套新型驗(yàn)證機(jī)制。由于不想安裝根本用不上的應(yīng)用客戶端,用戶本身也選擇了離開或者壓根不理這套雙因素驗(yàn)證方案。當(dāng)然,Twitter的如意算盤也許是希望能借此擠垮與自己競爭的第三方客戶端。
即使Twitter真的遭遇安全違規(guī),他們也更可能直接重置密鑰對而非以審慎的態(tài)度處理問題。這種簡單粗暴的方式與我們經(jīng)常聽說的Hash及Salt密碼被盜狀況非常相似,對于密碼保護(hù)而言并無益處。在這樣的背景下,就算是雙因素安全機(jī)制也會變得于事無補(bǔ)。
如果要對上述爭論做個總結(jié),那么一切都應(yīng)該被歸結(jié)到保持一致性方面。盡管Twitter的一鍵式系統(tǒng)確實(shí)相當(dāng)便捷,用戶能夠在使用多種安全令牌系統(tǒng)的同時繼續(xù)在不同客戶端中保持一致的使用體驗(yàn);然而如果大家對于安全問題的關(guān)注已經(jīng)嚴(yán)謹(jǐn)?shù)介_始使用雙因素認(rèn)證機(jī)制,那么對基于TOMP的安全系統(tǒng)也應(yīng)該完全能夠應(yīng)付得來。
所謂安全性,其核心在于對風(fēng)險進(jìn)行管理,而只有合理的保護(hù)強(qiáng)度(既不過弱也不必過強(qiáng))才能真正實(shí)現(xiàn)安全效果。我們不可能為了小概率事件而在入睡時把移動設(shè)備放在防爆掩體當(dāng)中。Twitter帶來的雙因素系統(tǒng)到底是不是更安全?沒錯。但我們真的有必要花這么大力氣為每位普通用戶降低安全風(fēng)險嗎?答案顯然是否定的。
還有很多其它能幫助大家制定安全決策的服務(wù)企業(yè)可供選擇,如果他們掌握的信息足夠全面——例如了解我們?nèi)绾问褂米约旱脑O(shè)備、習(xí)慣于將哪些數(shù)據(jù)保存在其中以及這部分?jǐn)?shù)據(jù)的實(shí)際價值——就會發(fā)現(xiàn)每個人對安全性的需求都不一樣。不少用戶也正是出于這樣的考慮才會使用非常愚蠢的密碼內(nèi)容。
Twitter的所作所為給我留下了深刻印象——一套更加封閉的專有系統(tǒng),巧妙地在宣傳安全賣點(diǎn)的同時給了開發(fā)人員一記狠狠的耳光。出發(fā)點(diǎn)的正確并不能扭曲現(xiàn)實(shí),這種危害開發(fā)人員利益的做法完全不能接受。
很多用戶對目前Twitter所采用的基于TOMP系統(tǒng)的安全機(jī)制表示滿意,即使其實(shí)際安全效果相對較差。我們根本找不到足夠的理由來替代現(xiàn)有方案。與密碼這種油盡燈枯、必須迎來替代方案的機(jī)制不同,目前我們還看不到強(qiáng)行推廣雙因素驗(yàn)證的必要性與合理性。
在理想狀態(tài)下,我們也許應(yīng)該同時擁有兩套方案可供選擇;一者關(guān)注安全性而在便捷性方面做出妥協(xié)、另一者則強(qiáng)調(diào)便捷性而采取相對較弱的保護(hù)機(jī)制。不過商家顯然還沒有做好為用戶量身定制安全方案的準(zhǔn)備。
