当WiKID初创时,我们深知必须达到或超越当时主流安全方案(如RSA和Vasco)的防护等级。我们认定在用户设备端生成非对称密钥是消除软件令牌质疑的最佳方案——毕竟RSA三人组发明公钥加密正是为了克服共享密钥的固有缺陷。
然而时至今日,主流消费者双因素认证仍采用基于共享密钥的"两步验证"(即便发生过重大供应商密钥泄露事件),甚至更脆弱的短信验证。这似乎印证了"营销胜过技术"的定律,市场对非对称加密的增强安全性始终兴趣寥寥。
但安全领域存在特殊规律:
- 攻击手段持续进化
- 合规要求可能强制市场变革
PCI-DSS委员会最新指南正推动这种变革,明确指出多步验证会导致账户信息泄露,应予以弃用。NIST也已将短信验证列为过时机制。
这对系统管理员反而是种简化。多数VPN和远程访问服务默认通过RADIUS支持基于OTP的双因素认证(同时支持AD/LDAP授权),且根本不兼容多步验证流程。例如在Cisco ASA设备上就无法配置两步验证。但双因素认证却能轻松集成到ASA管理员账户——这不仅是绝佳实践,也即将成为PCI非控制台管理访问的强制要求。