身份认证和登录是两个不同的概念,登录指从识别用户身份,到允许用户访问其权限相应的资源的过程。在登录的过程中,“鉴权”与“授权”是两个最关键的过程。而身份认证只是其中的一个环节,即“鉴权”。
身份认证的形式丰富多彩,传统的方式是用户名和密码验证。随着等保2.0普及,越来越多的应用需要采用双因素认证或多因素认证,即多种认证方式组合使用来保证用户登录的安全性。目前常见的WEB应用登录身份认证登录方式包括USBkey ID绑定登录,OTP动态口令,CA数字证书,FIDO快速身份认证等。各种登录方式的对比如下:
USB Key ID:服务器端绑定用户名和KeyID,这样客户端登录时,进行验证;优点是集成方便,但安全性是最低的,同时需要客户端安装插件读取KeyID。
OTP:一次动态口令验证,是指计算器系统或其他数字设备上只能使用一次的密码,有效期为只有一次登录会话或交易。相对于静态密码,OTP 最重要的优点是它们不容易受到重放攻击。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它,因为它将不再有效。第二个主要优点是,使用多个系统相同(或类似)密码的用户,如果其中一个密码被攻击者获得,不是对所有的系统都容易变得脆弱。
CA数字证书:由于基于非对称密钥,安全性相对最高,可以采用双向认证方式支持。服务器证书可由第三方可信机构签发,标识,便于用户识别和通讯加密。防范网站假冒钓鱼以及数据安全。客户端证书由客户自己签发(微软CA、openssl等)。相比于其它认证方式,对服务器资源消耗更多,成本也高一些。
FIDO快速身份认证:和CA数字证书认证一样,基于非对称密钥,服务器端只保存客户公钥,私钥只留存在客户端,安全性高。同时一个USBkey中可以注册多个密钥对,同时实现多个应用系统的支持。而且FIDO在多个操作系统上的安全和易于访问,支持Windows10/11、macOS、Linux、Android平台,以及 Google Chrome、MozillaFirefox、MicrosoftEdge、360和 AppleSafari等多数网络浏览器;客户端无需安装任何插件。
安当身份认证平台ASP,目前已集成了OTP和FIDO两种认证方式,实现一个统一后台集中管理,重点开发了服务器端管理功能,便于快速部署和用户管理,客户只需要简单的调用即可快速享受到OTP或者FIDO身份认证服务,同时系统支持私有化部署和云端直接调用服务。
……