你用的“動態(tài)密碼”合規(guī)了嗎動態(tài)口令是什么

撰稿 | 藍(lán)河編輯 | 圖圖
10月26日下午，十三屆全國人大常委會第十四次會議，表決通過了《密碼法》，將自2020年1月1日起施行。旨在規(guī)范密碼應(yīng)用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，提升密碼管理科學(xué)化、規(guī)范化、法治化水平，是我國密碼領(lǐng)域的綜合性、基礎(chǔ)性法律。

文章插圖
在筆者看來，《密碼法》的頒布絕不僅僅只意味著我國“首部”密碼法律的出現(xiàn) ，更對定義密碼、規(guī)范密碼、管理密碼起到了強有力的法律依據(jù)和保障。
要知道， “密碼”作為保障網(wǎng)絡(luò)信息安全的核心要素，一直以來都是解決安全問題最直觀、最有效的手段， “密碼的安全性”甚至直接決定了網(wǎng)絡(luò)信息的安全與否。尤其是廣泛應(yīng)用于各個行業(yè)和領(lǐng)域的“商用密碼” ，它們的“安全性”與“合法性”更是《密碼法》當(dāng)中最值得關(guān)注的一點。
根據(jù)《密碼法》的要求，商用密碼產(chǎn)品及服務(wù)使用方應(yīng)按照國家密碼管理局有關(guān)規(guī)定，對商用密碼產(chǎn)品、密碼服務(wù)、密碼技術(shù)進行安全性以及合規(guī)性認(rèn)證，同時與其他法規(guī)的密碼相關(guān)要求相銜接。
通過銜接，我們可以看到， “等保2.0”當(dāng)中規(guī)定，涉及網(wǎng)絡(luò)及傳輸?shù)膰颐孛苄畔?nbsp;，應(yīng)依法采用密碼保護；第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù) 。
而國家密碼管理局于2018年2月8日發(fā)布《信息系統(tǒng)密碼應(yīng)用基本要求》中則明確提出，等保二級及以上信息系統(tǒng)應(yīng)采用符合《GM/T0028-2014密碼模塊安全要求》中相應(yīng)等級密碼模塊或通過國家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實現(xiàn)密碼運算和密鑰管理等。
這也就意味著，企業(yè)必須要使用國家密碼管理部門認(rèn)可“資質(zhì)”的“商用密碼” ，才能夠符合《密碼法》的規(guī)定。

文章插圖
因此我們不得不感嘆，《密碼法》的頒布不僅僅是密碼應(yīng)用和管理的一次規(guī)范，更是對行業(yè)內(nèi)“商用密碼”提供方和適用方的一次雙重檢驗——“商用密碼”從此需要“持證上崗”了。
從動態(tài)密碼身份認(rèn)證說起
“動態(tài)密碼”是十分常見的一種“商用密碼” ，也稱之為一次性密碼（OTP）。每隔30/60秒變化一個6/8位密碼且一次使用有效，業(yè)務(wù)系統(tǒng)在現(xiàn)有賬號密碼認(rèn)證基礎(chǔ)之上再增加一層動態(tài)密碼認(rèn)證，可以有效保護賬號安全，形成“雙因子認(rèn)證” 。這是一種簡單易用的口令保護技術(shù) ，生成動態(tài)密碼的工具稱之為“動態(tài)令牌” ，常見有硬件令牌、手機令牌、H5輕應(yīng)用、短信等形式。

文章插圖
動態(tài)令牌端的密碼生成基于HASH算法，通過算法計算一個隨機數(shù)字，并與服務(wù)端相同算法下計算出來的隨機數(shù)字做比對，如果數(shù)字相同則認(rèn)證通過。
而在這個過程中，隨機密碼的計算是通過本地進行的，不需要聯(lián)網(wǎng) ，由此便規(guī)避了因為聯(lián)網(wǎng)而可能帶來的竊取和篡改，從而使“安全性”和“便捷性”更高。
企業(yè)為什么越來越需要“動態(tài)密碼”？
這個問題其實需要從“企業(yè)辦公場景”的演進開始說起。
遠(yuǎn)的咱不提，就說10年前，那時候企業(yè)辦公最常見的也是大多數(shù)的方式是什么——在固定的辦公場所里，使用企業(yè)自己配置的臺式電腦，連接辦公場所里的有線網(wǎng)絡(luò)進行辦公。
當(dāng)然，也有一部分企業(yè)或個人已經(jīng)開始使用可移動的筆記本電腦連接無線網(wǎng)絡(luò)進行辦公，但總的來說， 10年前的“企業(yè)辦公場景”還是相對來說比較“固定化”的。
因此在這樣一個時代背景下，插在電腦USB接口上的“證書”就十分符合企業(yè)對于“雙因子認(rèn)證”的需求。畢竟那么大一臺電腦放在那，搬也搬不走， “證書”插上去就可以一用一整天，對于這樣的辦公環(huán)境來說，既方便又安全。
【你用的“動態(tài)密碼”合規(guī)了嗎動態(tài)口令是什么】但今天人們用來辦公的設(shè)備是什么？是手機、是平板電腦，所有可能接入網(wǎng)絡(luò)的終端也早已從原來的Windows PC變成了Win、macOS、iOS、Android甚至是IoT等。人們不需要在拘泥在固定的辦公場所里，隨時隨地都可以使用移動設(shè)備對企業(yè)的系統(tǒng)進行登錄。
這就是企業(yè)辦公場景的“移動化” 。
同時，由于PKI/證書只支持IE ，而后續(xù)IE已經(jīng)不被微軟支持，并且大量的應(yīng)用也不再支持IE；另外USB KEY也容易發(fā)生損壞和丟失，針對員工人數(shù)較高的企業(yè) ，派發(fā)很麻煩，維護成本也更高。
這樣一來，應(yīng)用場景兼容性高、維護成本低的“動態(tài)密碼”就自然而然成為了企業(yè)的不錯選擇。
“動態(tài)密碼”場景越來越多，如何“減負(fù)”？
在企業(yè)級市場需求中，動態(tài)密碼應(yīng)用場景最早開始于VPN移動辦公及Web郵箱（OWA）的雙因子認(rèn)證。

文章插圖
隨著Wi-Fi技術(shù)普及，動態(tài)密碼又開始為不同場景訪客Guest Wi-Fi短信認(rèn)證。

文章插圖
到這里為止，動態(tài)密碼一直都是以“便捷性”為特點而飽受贊譽的。但是現(xiàn)在，行業(yè)里卻有很多企業(yè)和用戶，因為“動態(tài)密碼”的“繁重”而叫苦不迭。
事實上，我們顯然低估了企業(yè)發(fā)展的速度，以及伴隨著企業(yè)的發(fā)展而同時提高的對于網(wǎng)絡(luò)信息安全的訴求。
假設(shè)一家大型企業(yè)擁有數(shù)千甚至上萬名員工，每天要對每一名員工按照“零信任安全”的原則進行“動態(tài)密碼”驗證，并且每次驗證都要耗費一定的時間，那么這的確是一件極其“繁重”的事情。
同時，隨著移動辦公軟件的普及和增多，同一名員工可能會使用不止一款辦公軟件。就以企業(yè)微信、釘釘為例，每一款辦公軟件都擁有一套獨立的賬號密碼體系，每使用一款不同的辦公應(yīng)用就意味著需要再進行一次重復(fù)的“驗證” ，這又讓“動態(tài)密碼”更加“繁重”了許多。
而除了辦公軟件以外， SaaS和越來越多業(yè)務(wù)系統(tǒng)的應(yīng)用，也會使得企業(yè)面臨著同樣類似的情況。一旦每個業(yè)務(wù)都需要與“動態(tài)密碼”認(rèn)證進行接口對接，那無論是對于開發(fā)對接還是用戶使用來說，又會是一次“繁重”的困擾。
如何變重為“輕”？最直接的辦法就是“一個賬號”通行整個企業(yè) 。

文章插圖
寧盾為業(yè)務(wù)系統(tǒng)建設(shè)統(tǒng)一單點登錄門戶，并在門戶上集成動態(tài)密碼認(rèn)證，具備了“多業(yè)務(wù)的統(tǒng)一門戶、安全認(rèn)證”的能力。對于員工而言，無需重復(fù)“身份驗證” ，就可以訪問所有的資源和業(yè)務(wù)系統(tǒng)；對企業(yè)來講，更是簡化了多應(yīng)用系統(tǒng)重復(fù)登錄，提升了入口安全。
“推送認(rèn)證”、“人臉識別” ，移動化
演進中的安全認(rèn)證技術(shù)

文章插圖

文章插圖
無論是替代動態(tài)密碼的推送認(rèn)證技術(shù) ，還是通過企業(yè)微信、釘釘“掃一掃”認(rèn)證、還是面向自行開發(fā)移動門戶APP的生物識別，安全認(rèn)證將變得更加便捷及智能。
“零信任”安全，從“人”到“端”的信任擴展
“零信任安全”最早由Forrester研究機構(gòu)于2010年提出，指導(dǎo)原則是“用不信任，始終驗證” 。而“動態(tài)密碼”作為“零信任安全”中非常有效的認(rèn)證手段，但只能解決“人”的信任問題，而對于“端”的信任如何去執(zhí)行呢？
終端數(shù)量的急劇增多 ——傳統(tǒng)的“終端準(zhǔn)入”采用的是802.1x認(rèn)證方式，需要在每一臺設(shè)備上安裝客戶端，一旦當(dāng)客戶端大于一定數(shù)量時，就將會對企業(yè)的資金成本、運維成本、人力成本和時間成本，帶來極大的挑戰(zhàn) 。
甚至往往由于各種問題還會導(dǎo)致用戶無法正常上網(wǎng) ，如此一來，員工痛恨， IT背鍋。
在筆者看來，適當(dāng)?shù)馗牧冀鉀Q不了問題，必須要遵循“輕量化”的思維進行徹底的革新，才能夠滿足企業(yè)移動化辦公場景對于“便捷性”和“安全性”所提出來的要求。
在終端認(rèn)證上， “寧盾NDACE輕量級準(zhǔn)入方案”采用的是鏡像流量的旁路部署模式，通過Web Portal或者“零客戶端”的方式進行身份驗證，終端兼容性、用戶體驗都非常好，也更加便捷“輕量” 。
以Windows 加AD的電腦為例，無需安裝客戶端，即可實現(xiàn)無感知身份認(rèn)證及終端檢查。

文章插圖
寫在最后
“動態(tài)密碼”只是一個起點，從企業(yè)身份認(rèn)證現(xiàn)狀來看，碎片化、場景化特點日趨明顯。無論是針對人還是端，如何用“輕量化、產(chǎn)品化”的思路，實現(xiàn)“全場景”覆蓋能力，把企業(yè)身份認(rèn)證這件事情做好，幫助企業(yè)在移動化發(fā)展過程中搭建基于“零信任”的安全基礎(chǔ)設(shè)施，也許這正是寧盾們奮斗的目標(biāo)吧。