白皮书：使用密钥替换密码 + OTP 身份验证

17 9 月, 2024

编辑

Husnan Bajwa，超越身份
乔什·西诺（Josh Cigna），Yubico
顾静，超越身份

抽象

对于已经实施了第二个因素（如 SMS OTP）来降低撞库风险的企业，本文将提供有关用密钥替换密码 + OTP 的指导。

观众

本白皮书适用于负责部署和维护多重身份验证（MFA）登录流程的 ISRM 和 IT 人员。

1. 引言

许多旨在保护其员工安全的企业已经部署了 SMS 和基于应用程序的一次性密码（OTP）作为密码身份验证的附加因素。本白皮书面向目前正在考虑转向使用密钥进行 FIDO 身份验证的这些组织。虽然本白皮书专门关注 OTP，但讨论和建议可以使用可网络钓鱼的第二个因素（包括基于应用程序的 OTP 和推送通知）推广到任何系统。

本白皮书从安全性、用户体验和部署简易性方面对作为密码和密钥的附加身份验证因素的 OTP 进行了比较。它还提供了从 OTP 迁移到通行密钥的一般指导，以改善用户体验，同时加强组织的整体安全态势。本文中的指南将涵盖转向密钥的关键步骤，包括规划、用例识别和文档、试点注意事项以及部署和培训指南。本文档针对低可靠性使用案例，包括内部身份验证、外部身份验证以及第三方和 B2B 身份验证策略。鉴于组织通常将 OTP 作为密码的第二个因素实施，因此在本文档中，所有对 OTP 的引用都应假定为用作密码的第二个因素。

本文档不涵盖特定的供应商技术或实施。有关中等或高确定性使用案例的指导，请参阅 FIDO Alliance发布的其他白皮书 [1]。由于本文档是一系列白皮书的一部分，因此建议读者从介绍性文档 [2] 开始。

下载白皮书

2. OTP MFA 与密钥：为什么选择密钥

与 OTP 相比，密钥在安全性、用户体验和易于部署方面具有多种优势。

2.1 安全性

基于 OTP 的 MFA 已被广泛采用，以降低撞库和重复使用的风险。SMS 和基于身份验证器应用程序的 OTP 是最常部署的解决方案，因为它们的成本相对较低，并且易于在广泛的用户和使用案例中部署。然而，这种类型的 MFA 相对简单，使其容易受到社会工程和许多 MFA 绕过工具包的攻击，因为密钥生成器和验证身份提供商（IDP）之间不存在双向通信，这意味着 OTP 可以在最终用户或 IDP 不知情的情况下被第三方拦截和使用。

此外，基于 OTP 的 MFA 需要对设备进行信任，组织可能无法管理或了解其安全状况。这意味着组织依靠最终用户来维护自己设备的安全以及识别网络钓鱼企图的能力。虽然用户培训可以帮助解决其中一些攻击，但检查安全连接和熟悉的 URL 等历史指南仍然依赖于时刻警惕的用户群。

通行密钥提供防网络钓鱼、防重放的登录，可减轻用户的认知负担并增强组织的整体安全状况。之所以能实现这一点，是因为密钥实现了范围限定为信赖方域的加密质询-响应协议。然后，身份验证器依靠安全行为（如生物识别证明或 PINS）来解锁身份验证器上的凭据，同时保持用户友好的体验。使用密钥，组织可以拥有用于无密码场景的强大第一因素身份验证，或者为传统 MFA 工作流提供强大的第二因素。

2.2 用户体验

通行密钥通过多种方式改善了密码和 OTP 的用户体验，包括：
通行密钥手机信号覆盖较差，密码也能正常工作，而 SMS OTP 需要移动网络连接。例如，用户可以在飞机上进行无线访问，但不允许使用 SMS。在这种情况下，无法传递 SMS OTP，而可以使用密钥进行身份验证。
自动填充 UI 支持在移动设备和桌面上的浏览器内无缝集成。
登录速度提高 4 倍，无需等待代码交付 [3]
防止密码和密码输入错误
通行密钥建立在生物识别证明（面部或指纹）等常见身份验证行为之上。

2.3 易于部署

对于一些没有大型专职支持人员的微型、小型和中型企业，最终用户部署专门的
身份验证硬件令牌可能会造成障碍。这包括 OTP 硬件令牌或 FIDO 安全密钥。从历史上看，基于 SMS/App 的 OTP 易于部署使其成为更有利的选择。采购、物流和配置是运营和 IT 团队进行的持续战斗。通过更新 FIDO2 生态系统以扩展身份验证器环境，这个问题得到了缓解，并允许使用许多不同的设备作为密钥存储。

所有这些结合在一起意味着，与 SMS OTP 相比，密钥的部署要容易得多且成本更低，原因如下：
不需要 SMS 集成。企业无需配置或维护与移动运营商或第三方 SMS 供应商的接口，从而降低了部署复杂性。
企业将不必支付与 SMS OTP 相关的每笔交易费用，从而降低了身份验证的总拥有成本。
FIDO 身份验证使用密钥。通行密钥易于在各种设备和应用程序中实现。
SMS OTP 依赖于运营商特定的 API 或未标准化的第三方供应商 API，这增加了供应商锁定和缺乏互操作性的风险。
不需要时间同步。通行密钥避免了 SMS 有时限的 OTP （TOTP）的时间同步要求。代码不需要在短时间内输入，并且 SMS 的送达率问题不会导致登录失败。

使用密钥的 FIDO 身份验证已作系统（OS）和浏览器提供商所接受。大多数主要供应商提供的这种现有操作系统支持意味着，在大多数情况下，可以利用企业中的现有硬件（如笔记本电脑、手机和平板电脑）来部署带有密钥的 FIDO，而无需昂贵的更新和更换。

在某些情况下，企业使用共享的单用户设备，例如 iPad。对于这些用例，存储在集成平台身份验证器中的密钥可能不合适，因为设备的任何用户都可以访问该凭证。在这些情况下，组织应使用漫游身份验证器（硬件安全密钥）来生成和存储密钥，以便在共享设备上使用。这提供了相同的易用性和便利性。请注意，为用户购买和管理这些硬件密钥可能需要支付额外费用。在许多情况下，使用硬件密钥时，可能需要向用户颁发第二个硬件密钥作为备份，以降低用户被锁定其帐户的风险。

3. 从 OTP 迁移到密钥的部署策略

3.1 确定部署模型

规划成功的密钥部署需要组织考虑用户的需求以及他们在角色中使用的计算设备，以最大限度地发挥密钥对员工的实用性。组织在规划密钥部署时至少应考虑以下问题，以便使尽可能广泛的受众可以访问密钥：

使用哪种计算设备？
您的用户使用的是笔记本电脑还是台式计算机？移动设备？片？
设备是单用户设备还是多用户（例如，共享）设备？
设备是由公司预置的，还是用户在工作中使用自己的个人设备？
使用 USB 端口、蓝牙或 NFC 是否有限制？
访问互联网有限制吗？
您的用户是否通常佩戴限制使用设备上生物识别技术的手套或口罩？

根据上述问题的答案，组织可以选择几种类型的身份验证器之一来存储用户的密钥。密钥的灵活性意味着组织可以根据其安全状况和 UX 需求进行混合和匹配。本系列中的其他文档将更详细地介绍每种类型的身份验证器。

3.2 部署测试

在确定部署模型并部署集成了应用程序的 FIDO 服务器后，建议组织使用试点组来测试用户的注册、身份验证和恢复过程（见下文）。然后，在开始广泛推出密钥之前，使用试点的反馈来改进流程并解决试点人群提出的问题。

3.3 用户体验

3.3.1 注册

企业应实施可靠的注册流程，以确保用户正确、安全地与其密钥相关联，如之前的 FIDO 白皮书中所述。考虑注册体验至关重要，因为它是用户与密钥的首次交互。以下是在设计注册体验时需要考虑的一些因素：

身份验证 – 建议在注册过程开始时让用户以物理或远程方式证明其身份，以确保流程强大、防滥用。这可能最后一次涉及 SMS OTP。
自助注册 – 用户使用其现有凭证来引导新的密钥。
监督注册 – 与 IT/帮助台合作进行注册。这降低了与自助服务模型相关的风险，这些模型容易受到原始凭据的网络钓鱼攻击。
预配置凭证 – 工作量大、保证高，但需要一种机制才能将凭证交到用户手中。
远程用户 – 自助服务或预先设置，但需要一种机制来向用户提供 PIN 以首次解锁设备。

3.3.2 登录

使用密钥设计 FIDO 部署的第一步是了解用户群、常见工作模式和可用设备 – 手机、平板电脑、笔记本电脑、台式机。此步骤至关重要，因为启用适用于用户现有设备的用户友好型工作流程是成功推出的核心。

常见用户环境和等效建议包括：

用户主要在移动设备或平板电脑上运行的环境 – 了解内置的解锁功能。
混合设备环境或依赖各种 SaaS 工具的环境 – 利用 IDP 提供的 SSO 或构建灵活的登录工作流程。
共享帐户 – FIDO RP 可以配置为允许将多个凭据与登录名相关联。探讨
跨设备混合身份验证或漫游身份验证器。

3.3.3 恢复

任何身份验证过程的强度都取决于其最薄弱的环节，这就是为什么恢复过程经常被攻击者滥用来破坏系统的原因。同步密钥是持久凭证，可以通过从密钥提供程序恢复，在设备丢失和意外擦除的情况下幸存下来，并减少执行账户恢复来为用户建立新凭证的需要。使用密钥时，用户丢失凭证的频率预计会降低。但是，在某些情况下，密钥或对密钥的访问权限可能会丢失，因此需要帐户恢复。

对于使用无法备份或恢复 device-bound passkeys 的密钥实现，应使用备份身份验证方法（例如使用备份身份验证器）执行帐户恢复，以引导新身份验证器的注册。如果备份身份验证机制不可用，组织必须提供替代的恢复途径。组织应采用基于风险的方法来设计和实施账户恢复系统。具体实施细节将根据组织要求而有很大差异。通常，恢复机制绝不应依赖于用户尝试恢复的凭据以外的弱因素。在需要重新注册密钥的情况下，组织应设计自动或手动机制，以防止使用不再注册给该用户的密钥。

对于使用同步密钥的密钥实施，请务必记录新设备的引导/注册流程，并构建风险规避流程（包括身份验证），以恢复或更换完整的提供商账户。虽然这些灾难性事件应该很低，但可能仍然有必要让用户完成此过程。提前了解正确的流程将使组织免受操纵和停止工作事件的影响。

有关账户恢复的其他注意事项，请参阅 FIDO Alliance针对 FIDO 依赖方的推荐账户恢复做法。[5]

3.4 管理员注意事项：

监控实施和采用指标对于确保部署成功和确保实现使用密钥进行 FIDO 身份验证的安全优势至关重要。以下是指示企业密钥迁移成功的指标和流程的建议。

3.4.1 监控和了解利用率

强烈建议管理员使用组或其他分段结构，以允许将用户和应用程序的子集正常过渡到密钥。应仔细构建试点群体，并应由组织中的各种最终用户类型和级别组成。在迁移之前和之后监控以下项目的使用情况，将提供有关计划有效性的关键见解，并指导重要的调整。

设备注册：
- 用户注册他们的第一台设备需要多长时间？
安全事件：
- 载入时设备在哪里？
- 使用了哪些身份验证方法（如果有）来确保载入正确的用户？
- 如果使用了经理、IT 支持或同行审批工作流程，谁提供了证明？
- 是否存在以前不存在的一天中的时间或设备位置异常？
用户身份验证：
- 用户是否能够成功进行身份验证？
- 他们的日常身份验证模式中是否有任何可观察到的变化，这些变化表明存在问题或增加了摩擦？
- 对星期几和一天中的时间的分析是否表明存在任何问题？
密钥管理：
- 密钥是否按预期使用，并且仅来自已知设备？某些身份验证器支持设备认证，这提供了密钥来源和身份验证器身份的保证。如果密钥的来源是实施的重要安全控制措施，请务必验证您选择的身份验证器解决方案是否支持此类认证。
- 有多少个密钥与个人帐户相关联？通常的指导是，与用户账户关联的密钥数量应接近用户使用的设备数量。例如，如果您的用户使用Android手机和Windows笔记本电脑，那么您应该会看到与用户帐户关联的两到三个密钥，每个平台验证器上都存储了一个密钥，可能还有一个来自安全密钥的备份。在这种情况下，如果一个账户注册了 5 到 6 个密钥，那么是时候进行调查并可能删除过多的密钥了。每个组织对过度的定义可能有所不同，应根据其环境的观察来定义。此外，根据您的部署，请考虑您为密钥身份验证启用的应用程序数量。如果您部署了密钥作为 SSO 集成的凭证，则您的用户每台设备只能有一个密钥。如果您基于特定于应用程序部署了密钥，则每个应用程序的每个设备可能有一个密钥。建议组织监控与每个用户关联的密钥数量，并将此数据用作通知密钥管理的上下文。
谁的密钥与 administrative/service/break-glass 帐户相关联？与最佳做法将管理访问与正常用户访问分开的方式相同，还建议为管理帐户生成一组单独的通行密钥。如果它们是共享的，请务必包括轮换、监控和良好的清理实践。
如何删除密钥？如果员工离开公司或转到其他角色，则应禁用、删除他们的帐户，或者应评估和审查访问权限。如果根据法律要求不合理，则应立即删除通行密钥，以防止在禁用过程中进行未经授权的帐户访问。同样，如果用户报告设备丢失或被盗，则还应删除与这些设备关联的任何通行密钥。
兼容性保证：
- 应用程序和终端节点平台的任何组合是否在身份验证事件中显示异常变化或下降？
- 密钥身份验证的所有调用方法是否持续有效，包括在升级后？