在移動(dòng)電話使用的早期階段,其管理和安全保證都遵循著企業(yè)標(biāo)準(zhǔn)。如今,移動(dòng)設(shè)備數(shù)量激增,并由不同的人和企業(yè)所使用和擁有。然而,許多運(yùn)行著關(guān)鍵任務(wù)的設(shè)備是由不同的安全供應(yīng)商和技術(shù)來保障其安全的。
當(dāng)移動(dòng)設(shè)備上的內(nèi)容、應(yīng)用程序、數(shù)據(jù)、個(gè)人信息被存放到不同的設(shè)備平臺(tái)(如蘋果和安卓)上時(shí),形勢(shì)就出現(xiàn)了不同的變化,對(duì)訪問授權(quán)的關(guān)注才引起重視。正是由于這些變化,企業(yè)開始擔(dān)心訪問策略和技術(shù),并開始關(guān)注哪些人可以訪問和控制設(shè)備上的信息。
對(duì)于上述問題,企業(yè)已經(jīng)實(shí)施了許多不同的策略,并在一定程度上獲得了成功。這些技術(shù)包括:口令字符串、非文本口令、生物識(shí)別等。
口令字符串
通常,口令字符串指的是協(xié)同用戶ID進(jìn)行認(rèn)證的一套字符。使用這類用戶認(rèn)證的系統(tǒng)要提示用戶輸入ID和口令才能進(jìn)行訪問。許多設(shè)備和應(yīng)用程序都使用這類用戶認(rèn)證,因?yàn)槠湟子趯?shí)施和使用。但是,口令字符串還有一些嚴(yán)重的安全缺陷:
口令易被猜測(cè)、共享、濫用等;蠻力攻擊可用于獲得口令字符串;互聯(lián)網(wǎng)上有許多已泄露的口令清單;口令會(huì)留下鍵入的痕跡,因而易于猜測(cè);
有很多不同的方法可用于繞過移動(dòng)設(shè)備上的口令認(rèn)證。攻擊者可以使用不同的軟件和攻擊來輕松地繞過口令。其中包括:
1.口令猜測(cè):攻擊者可以簡單地嘗試用戶的生日、手機(jī)號(hào)碼、雇員ID、家庭成員生日等的組合來猜測(cè)口令。這種猜測(cè)要求對(duì)設(shè)備的物理訪問,也可以通過猜測(cè)輸入痕跡的組合來實(shí)施。由于許多設(shè)備有觸摸屏,因而觸摸可能會(huì)留下對(duì)猜測(cè)口令有利的輸入痕跡。
2.蠻力攻擊:在這種攻擊中,攻擊者必須物理訪問移動(dòng)設(shè)備而不是遠(yuǎn)程攻擊。蠻力攻擊嘗試一套口令來解鎖設(shè)備。這是一種耗時(shí)的過程,因?yàn)槠湟蕾嚨氖强诹畹膹?fù)雜性。口令越復(fù)雜,就需要越多的時(shí)間來嘗試整個(gè)口令字典。
破解進(jìn)入移動(dòng)認(rèn)證或APP過程可能需要花費(fèi)30分鐘到一個(gè)月的時(shí)間。口令字符串的檢查要進(jìn)行到其匹配合法的口令并實(shí)現(xiàn)解鎖為止。
Clockwork Recovery這個(gè)工具允許我們恢復(fù)設(shè)備。但是,此工具可用于攻擊設(shè)備,因?yàn)樗⒉灰罂诹罹涂梢栽L問手機(jī)的用戶訪問界面。此界面包含著設(shè)備的口令。獲得了用戶訪問的界面后,攻擊者就可以用一個(gè)空文件來替換gesture.key文件。這就使任何人都可以隨意訪問設(shè)備的口令。
為防止口令攻擊,我們可以限制設(shè)備的嘗試次數(shù)。在超過次數(shù)限制后,將要求輸入PIN碼才能訪問手機(jī)。在嘗試失敗后,手機(jī)會(huì)被鎖定無法訪問。在些情況下,依據(jù)手機(jī)所包含的信息的性質(zhì),手機(jī)內(nèi)容將被清除。我們?nèi)绾闻渲檬謾C(jī)設(shè)備的認(rèn)證安全是很重要的。只有通過限制失敗的嘗試次數(shù),才能防止攻擊者繞過字符串口令認(rèn)證。
非文本口令
移動(dòng)和其它設(shè)備上的非文本口令是基于可重復(fù)的行為生物特性,如語音生成的密鑰、語音頻率、時(shí)機(jī)、擊鍵力度等。非文本口令的目的是確保破解口令更困難。
語音生成的密鑰要收集行為的測(cè)量結(jié)果。用戶發(fā)出口令短語,然后系統(tǒng)要執(zhí)行前端的信號(hào)處理,并記錄關(guān)于特性的測(cè)量結(jié)果。
當(dāng)今的黑客能夠冒充用戶的語音,從而危害用戶的網(wǎng)絡(luò)狀態(tài)。語音識(shí)別攻擊可以使用克隆的語音命令,或是使用用戶的樣本語音,或利用類似的方法,從而繞過安全機(jī)制,冒充用戶的語音,使攻擊者訪問用戶的重要文件,暴露用戶的隱私。
有許多軟件可被用于操縱語音,從而可用于模仿或冒充受害者的語音。
聲控技術(shù)已經(jīng)被列入黑名單,因?yàn)槠湟子谠馐芄簟9粽呖梢岳每寺≌Z音命令和通過軟件來輕松地繞過語音識(shí)別。
生物認(rèn)證
生物認(rèn)證往往被用于至少包含兩種方法的多重認(rèn)證。生物認(rèn)證可是一種類似于口令的東西,或是一次性生成的字符串,或是你獨(dú)有的特性。生物認(rèn)證涉及指紋、虹膜、書寫簽名掃描等等。
每個(gè)人都有其自己獨(dú)特的指紋。指紋無法被清除或改變覆蓋,每個(gè)人的指紋都不同于他人。指紋這種模式被用于認(rèn)證移動(dòng)設(shè)備和其它機(jī)密設(shè)備。
指紋掃描技術(shù)是到目前為止最為著名的技術(shù),很多移動(dòng)公司都在采用指紋掃描以確保其設(shè)備更安全。但是,有時(shí),黑客可以繞過這種特性,可以繞過指紋掃描。其使用的兩種主要的方法是:假手指和漏洞。
假指紋:可以繞過指紋掃描器的假指紋最初是由一個(gè)稱為“混沌計(jì)算機(jī)俱樂部”的德國黑客組織完成的。這些黑客曾演示根據(jù)用戶的手指而創(chuàng)建出虛假指紋的過程。在此過程中,可以輕松地從移動(dòng)設(shè)備的反射觸摸屏得到用戶指紋。當(dāng)然,隨著新式手機(jī)的閱讀器的敏感性不斷增強(qiáng),假指紋將很難起作用。
利用漏洞:攻擊者可以利用移動(dòng)設(shè)備中的漏洞繞過指紋掃描器。例如,曾有人找到一種方法可以繞過蘋果手機(jī)的指紋掃描器,從而訪問手機(jī)中的聯(lián)系人和照片。為防止這些生物繞過技術(shù),用戶可以禁用設(shè)備鎖定時(shí)允許用戶訪問某些功能的“控制中心”選項(xiàng)。
通過認(rèn)證的用戶可以訪問移動(dòng)設(shè)備上的所有應(yīng)用。繞過認(rèn)證會(huì)破壞用戶的私密、社交生活、公司機(jī)密和個(gè)人憑據(jù)。多數(shù)認(rèn)證攻擊是從物理上來實(shí)施的, 所以用戶應(yīng)謹(jǐn)慎地與其他人共享其設(shè)備。用戶應(yīng)選擇對(duì)移動(dòng)設(shè)備的可用性和公司的網(wǎng)絡(luò)安全有積極作用的最可行的認(rèn)證方法(如多重認(rèn)證)。而且,公司應(yīng)經(jīng)常執(zhí)行漏洞評(píng)估、設(shè)備更新,并在建立移動(dòng)認(rèn)證策略之前獲得用戶反饋。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標(biāo)題:移動(dòng)認(rèn)證安全簡要指南
本文網(wǎng)址:http://m.lukmueng.com/html/support/11121820178.html
相關(guān)文章
