【】您还记得过去在用双因素身份验证之前,只使用一个用户名和密码就能被认为是安全的好时光吗?事实上,其实从来都不是那样的。在少年时的朱利安·阿桑奇(Julian Assange)闯入五角大楼之前,甚至在互联网广为传播到世界各地之前,人们就在使用暴力密码攻击去攻破了一个个系统。美剧《黑客军团》里的Mr. Robot就运用社交工程破解了其视为目标的大多数人的账户。
使用2FA(双因素身份认证)曾被视为是对此的补救方法,但其方法已被发现有着黑客可利用的漏洞,而应对此挑战的办法则比较昂贵的。幸运的是,还有一个双因素身份认证的替代方案:通用第二要素认证,或称U2F,它正是应用程序开发人员所需一个的开源方案。
双因素身份认证的问题
在转为使用双因素身份认证之前,通过检查各种单因素身份认证的基线挑战来做好准备是很重要的。根据对主要服务提供商,如Adobe、Twitter、Linkedin和雅虎的攻击上升趋势所显示,仅用密码和安全问题的方式会将用户暴露于黑客面前。
由于用户不断重复使用某个秘密这一事实,密码本身成了一个最大问题。黑客们深谙这一点,所以一旦他们破解并窃取了一个帐户的身份验证凭证,他们则会尝试着以此潜入受害者的其他服务。如果用户选择使用了弱的密码机制,则黑客完全可以使用到Kali Linux的Crunch工具或是其它现成的密码破解工具。
既然单因素身份认证是不安全的,那么2FA(双因素身份认证)一定可靠吗?实际上,2FA的实施也有其自身局限性。例如,当您的双因素身份认证依赖于通过短信方式发送的一个验证码的话,骗子则可以通过利用社会工程学骗取用户的电话以获取之。而如果通过使用智能手机来作为第二种认证因素的话,也会有其它的风险。例如我们需要保护应用程序在逻辑上远离各种恶意软件。
实施双因素身份认证的另一个挑战在于价格方面。像谷歌或Facebook这样拥有数十亿用户的公司是无法实施昂贵且复杂的解决方案的。例如为它们所服务的每个用户提供一个唯一的令牌或智能卡,这都将是一笔非常昂贵的开销。那么,如何才能有效且划算的实施2FA呢?我们可以考虑“通用第二要素认证”,或称U2F。
U2F是如何工作的
由谷歌和Yubico所共同创建的U2F(通用第二要素认证)开启了认证的新标准。它允许用户安全且即时地使用一个设备去访问多个在线服务,而不需要安装特殊的设备驱动程序或客户端软件。通过使用U2F,您可以使用一个令牌来认证许多个服务。
U2F要求用户使用一个支持U2F标准的钥匙令牌(如USB类型)设备和浏览器。而钥匙设备的功能是作为一个安全令牌,让用户登录到多个支持U2F的在线服务上,那些服务包括了定制的应用程序。目前Chrome和Firefox都已支持U2F。
U2F标准协议的初探
Yubico定义U2F为:“一个具有挑战-响应协议的扩展,它提供网络钓鱼和MitM(中间人攻击)保护,特定应用程序的密钥,设备克隆检测和设备认证功能。”该协议的控制旨在对已知的和新的攻击予以防护。它使用的是非对称加密,也称公钥加密算法,其中私钥驻留在Yubikey设备之中。客户端上的浏览器内也开启了对挑战、处理和应用程序ID之类的适当控制(如下图所示)。
如何在您的网站上实现U2F
想让您的网站访问者以U2F的方式进行双因素身份认证相对来说是比较容易的,另外Yubico也提供了开发人员指南。您有三种选择,其中最简单的路径是使用Yubico的U2F的验证 服务器 (u2fval)。它通过一个简单的基于json的REST API提供了U2F的注册和认证,所以您不需要对应用程序的代码做太多的修改。此外,它还能对例如Wordpress这样流行的内容管理系统平台,以插件的形式提供“开箱即用”式的支持。所有的代码都是开源的,并且能在Github上获取到。
如何用u2fval来进行U2F的实施
如前所述,采用带有U2F的双因素身份认证的最简单方法是使用Yubico的U2F验证服务器(u2fval)。如果您正在Linux或Mac OS系统上做开发,其安装是很容易的。您只需使用如下这个pip命令:
sudo pip installu2fval
您还可以使用其它的Python或Github安装命令。
简单的配置是需要的,但是服务器并不需要一个数据库。您还必须配置每一个客户端,以及它所进行的身份认证方式。不幸的是,这已经超出了u2fval的范畴,所以您需要独立地实现它。
U2F的潜在安全问题
既然U2F式的双因素身份认证协议依赖于浏览器上客户端级别的验证,那么潜在的攻击就可能来自驻留于浏览器本身的安全漏洞。所以U2F的安全性取决于谷歌、Mozilla等其它公司在其浏览器上应用该协议的良好程度。
此外,如果您使用的是U2F验证服务器,那么请记住,REST API的调用需要进行服务器级别的强验证控制。如果API的验证不能被安全地开发和验证,您可以会受到服务器端的攻击。同时,由于U2F依赖于一个数据库,因此所有通过路径/etc/yubico/u2fval/u2fval.conf这一配置文件的访问都应该受到限制。而且,因为在Apache服务器上部署u2val服务器时,有一个选项是使用mod_wsgi,那么在Apache中监控将来可能出现的漏洞,对于防护未来出现的攻击来说是至关重要的。
鉴于身份验证的控制完全掌握在开发人员的手中,我建议大家应该保持谨慎的态度。要知道,一个对于U2F的劣质应用实施将会导致客户端身份认证上的各种安全错误。
U2F的未来
U2F式的双因素身份认证协议是建立在强安全的理念之上的。它在通过诸如Gmail、Github和Facebook等服务传播双因素身份认证的方面有着非常有希望的未来。当然组织要想采用之,则必须首先有一个适当的安全软件开发生命周期。
它的成功实施取决于您是如何编程与集成其它所需组件的。这包括您验证客户的方式,和对数据库的访问设置。运用安全的DevOps的方法,并遵循OWASP指南可以帮助您创建出各种牢固的应用程序,并能防御未来出现的各种验证方面的攻击。
吃芝麻有什么好处?
芝麻分黑、白两种,食用以白芝麻为好,药用以黑芝麻为量。 黑芝麻对于缺铁性贫血、慢性神经炎、末梢神经炎、动脉粥样硬化等均有治疗作用。 据报道,芝麻油有促凝血作用,可用于治疗血小板减少性紫癜和出血性疾病,儿童每次服4毫升,饭前服,1日3次,15天为1疗程,有一定效果。 儿童食用芝麻有许多烹调方法。 例如,将芝麻炒熟后,用擀面杖压碎或用绞肉机绞成粉末状芝麻面,拌入糖及猪油,可做成汤圆、包子馅食用,或调入米粥、稀粥中给婴儿食用。 或者,应用市场上供应的黑芝麻糊。 芝麻油是营养调味品,有浓郁的芳香,是汤、凉拌菜、凉面、糕点、花卷的良好调料。 芝麻酱也有可口的香味,可作为早点、凉拌菜、凉面等的调味品。 常用芝麻滋补治病的食疗方剂有:(1)病后体弱、贫血。 黑芝麻洗净炒熟,加核桃仁共研末,每次2匙,每晚各服1次,服时用蜜水或白糖水送服。 (2)早生白发、脱发。 炒黑芝麻、制首乌各等份,研末,炼蜜为丸,每丸重6克,1日3此,每次1丸,连服数月。 (3)干咳。 炒黑芝麻粉100克,白糖20克,调糊食用。 (4)大便干结。 炒芝麻、炒核桃仁、炒松子仁各10克,研末,早晨空腹用蜂蜜水调成糊状送服。 (5)益气力、健肠胃、强筋骨。 黑芝麻粉、梗米适量煮粥,加糖食用。
请问安全系统工程的研究内容是什么?
安全系统工程是专门研究如何用系统工程的原理和方法确保实现系统安全功能的科学技术。 其主要技术手段有系统安全分析、系统安全评价和安全决策与事故控制。 (1)系统安全分析 要提高系统的安全性,使其不发生或少发生事故,其前提条件就是预先发现系统可能存在的危险因素,全面掌握其基本特点,明确其对系统安全性影响的程度。 只有这样,才有可能抓住系统可能存在的主要危险,采取有效安全防护措施,改善系统安全状况。 这里所强调的“预先”是指:无论系统生命过程处于哪个阶段,都要在该阶段开始之前进行系统的安全分析,发现并掌握系统的危险因素。 这就是系统安全分析要解决的问题。 系统安全分析是使用系统工程的原理和方法,辨别、分析系统存在的危险因素,并根据实际需要对其进行定性、定量描述的技术方法。 (2) 系统安全评价系统安全评价往往要以系统安全分析为基础,通过分析,了解和掌握系统存在的危险因素,但不一定要对所有危险因素采取措施。 而是通过评价掌握系统的事故风险大小,以此与预定的系统安全指标相比较,如果超出指标,则应对系统的主要危险因素采取控制措施,使其降至该标准以下。 这就是系统安全评价的任务。 (3) 安全决策与事故控制任何一项系统安全分析技术或系统安全评价技术,如果没有一种强有力的管理手段和方法,也不会发挥其应有的作用。 因此, 在出现系统安全分析和系统安全评价技术的同时,也出现了系统安全决策。 其最大的特点是从系统的完整性、相关性、有序性出发,对系统实施全面、全过程的安全管理,实现对系统的安全目标控制。 系统安全管理是应用系统安全分析和系统安全评价技术,以及安全工程技术为手段,控制系统安全性,使系统达到预定安全目标的一整套管理方法、管理手段和管理模式。
什么是专业配送中心的案例
我认为烟草行业要将全国的卷烟信息统一管理,是一项异常庞大和烦琐的工作,除了需要进行卷烟的信息跟踪,还需要在多个环节进行信息的确认;其次,传统的条码系统有明显的缺点,如易污染、折损、需要停止等待逐个扫描等,批量识读效率不高,无法满足快速准确的需求。 如何解决这些问题?实践表明,自动识别技术中的RFID技术应用可以在此发挥巨大的作用。 重庆烟草公司是该直辖市的龙头企业之一,该市拥有2,470个烟草专业合作社,目前重庆每年的烟草消费已达到400亿支(80万箱),该公司的领导层在2003年开始对其运营系统进行大刀阔斧的革新,经过3年的努力,该公司跻身全市工商企业50强的前三强,商贸企业30强的第一强中国烟草业的传统运营模式是先汇集订单、然后统一处理,这个模式的弊端包括配送货品缺乏效率、对库存管理构成压力、同时因为送货时间大幅度滞后于客户订货的时间,这将影响货品在市场上的流通,有可能出现缺货的情况。 基于这种情况,重庆烟草公司的改革构思是建立一个实时滚动式的订单处理系统,而支持这个系统的骨干是一个配备统一呼叫中心的现代化物流配送中心。 2006年重庆烟草公司与维深科技合作,采用RFID技术,应用数字化管理系统,来进行对仓库管理的总体整合,也就是烟草商业企业的数字化仓库管理系统 通过该系统,企业力图满足现代物流中配送运转模式的要求,从容应对大规模繁忙物流配送工作,确保供应链的高质量数据交流,同时通过从企业生产线就开始的追踪解决方案以及在供应链中提升其透明度,有效遏制甚至杜绝体外循环,在烟草专卖管理上发挥出巨大的作用。 应用方案 本案例中,RFID技术在重庆烟草公司数字化仓库管理工作的应用方案如图1所示。 其中关键技术包括:无线射频识别技术、托盘式数字化管理和RFID叉车应用。 无线射频识别技术(RFID)当前带给社会各行各业的应用优势是有目共睹的,它读取方便快捷、识别速度快、数据容量大、使用寿命长、应用范围广,具有更好的安全性,标签数据可动态更改,并可以实现动态实时通信当今托盘化管理已成为烟草成品物流的必然趋势。 托盘作为基本数字化管理单元,即托盘上嵌入电子标签,这样既不影响货物的外观质量,又提高货物整体数字化平均单位数量,便于实现大批量货物的精确数字化管理。 电子标签在物流配送中心的应用,是基于数字仓库管理应用软件、计算机无线网络技术、现代物流立体高架仓库思想等实现的。 托盘式数字化管理体现的优势为:作业效率高、物流过程中破损率低,适应作业过程机械化、自动化的需要。 对于烟草物流特殊的应用环境,RFID叉车是最佳选择(如图2所示)。 通过RFID叉车,收发货时天线可以更加靠近标签的位置,改善读取性能,可以对托盘进行全过程连续跟踪,而不是离散式跟踪,此外配合相应的库房管理系统,可以实现单步式的作业控制,排除人工介入,提高作业效率的同时,改进和加强管理,实时掌握详细库存及分布应用流程 系统硬件包括:RFID标签、固定式读写设备、手持式读写设备和RFID叉车。 其中,固定式读写设备应用于自动化堆垛机、输送机、提升机,RFID读写器将读取到的托盘信息传递给PLC以进行相应的处理;手持式读写设备用于人工堆垛,即首先读取托盘信息,再逐一读取其上每一烟件上的条码信息,将这些信息上传给系统,在数据库中进行关联;RFID叉车用于改垛,通过RFID读写器读取托盘信息,再使用无线扫描器逐一扫描撤下或增补烟件上的条码,将所有的数据上传系统,更新数据库,现场图如图3所示。 在软件方面,重庆烟草公司所采用的RFID数字化仓库管理系统包含了收货管理系统、仓库业务管理系统、托盘出入库管理系统、接口服务中间件等。 入库:当货物通过进货口传送带进入仓库时,每托盘货物信息通过进货口读写器写入托盘,然后通过计算机仓储管理信息系统运算出货位,并通过网络系统将存货指令发到叉车车载系统,按照要求存放到相应货位出库:叉车接到出货指令,到指定货位叉取托盘货物。 叉取前叉车读写器再次确认托盘货物准确性,然后将托盘货物送至出货口传送带,出货口传送带读写器读取托盘标签信息是否准确,校验无误出货。
发表评论