如何让一次性密码适应多因素认证模式

多因素身份验证是一个术语，用来描述采用了两种或者两种以上不同形式的认证模式来提高利用规避、破坏或者以其它方式绕过正常身份认证体系难度的安全机制。对于多因素身份验证来说，关键是每个“因素”利用的是一种不同类别的认证机制，而不是第二种认证采用的是同一机制的不同实例。

用于认证的验证因素往往属于下列三个类别之一：

• 使用者本质属性：对于这一类别来说，生物特征识别技术是最常见的例子。
• 使用者拥有属性：智能卡、手机、笔记本计算机之类的特定物品都可以作为这种类型的认证因素。
• 使用者需知属性：对于这种类型的认证因素来说，最常见的例子就是一个密码。

通常情况下，一次性密码系统属于使用者需知属性类别的认证因素。但是，对于恶意安全黑客来说，不同寻常的骨头才难啃(这里有双关语意)。对于典型的密码认证系统来说，会显示出一个输入提示框，使用者将记得的密码输入进去，就可以进入到使用环境中。而对于一次性密码系统来说，在每次对身份进行认证的时间，使用的都是不同密码。每个密码只能使用一次;这就是“一次性”这一定语的来源。

对于一次性密码系统的登录来说，每次都要使用不同的一次性密码。优秀的系统往往会采用两种不同的方式建立受到限制的产生时间以生成一种可预见的运算密码体系：在某些一次性密码系统中，采用的是令牌或软件，并以实现在对应系统中的密码输入。为了防止其它人对密码生成方式进行预测，系统会对随机选择的起始点进行加密，这种措施被密码学家称之为“盐效应”，可以用来对密码的输出过程进行一些秘密调整。这样的话，可预见系统就能单向确认，无法逆转，从而实现给定的一次性密码只能单次使用，重复使用将被系统拒绝的效果。

取决于对认证因素分离的定义有多严格，以及对应一次性密码系统的具体工作原理，将一次性密码引入认证体系中确实可以实现多因素身份验证模式提供的安全性。一种涉及到USB设备或智能手机之类单独硬件令牌使用的实现模式，可以在需要的时间生成下一个密码，应该属于“使用者拥有属性”类别。实际上，相对而言，采用从输入框的模式更传统一些，利用可重复使用的密码输入模式作为第二种认证因素也存在不足，有些类型的攻击可以同时破坏可重复使用的密码和一次性密码，但对于身份验证模式来说，两种密码认证模式还是至少有可能实现安全性的一定提高。

不管一次性密码系统是否符合多因素身份验证模式的严格定义，但它确实可以提高一定的安全性，并让未经授权的部分获得认证的难度上升。Debian GNU/ Linux和FreeBSD之类操作系统都提供了易于安装和配置的一次性密码系统，安致市场中也提供了类似的一次性密码应用，可以将智能手机转换为独立的硬件令牌，以支持一次性密码系统。

对于用户来说，一次性密码系统带来的最大好处，就是可以避免网络流量被键盘记录器之类可以记录所有信息的工具所截获带来的某些风险。当然，如果系统中确实存在键盘记录器的话，应该做的事情不止这一点;只是，在确实存在的键盘记录器没有被发现之前，一次性密码可以让恶意安全黑客无法获得登录系统的密码。

未经允许不得转载：DOIT » 如何让一次性密码适应多因素认证模式