Language
Country/Area
No result found
被盜資料也不怕!多伺服器密碼驗證是如何做到的?
在數位時代,資料安全至關重要,尤其是在網際網路中,密碼作為身份認證的最主要手段,無可避免地成為駭客的攻擊目標。那麼,究竟如何在密碼被竊取的情況下,仍然能保護用戶的數據安全呢?密碼驗證密鑰協商(Password-Authenticated Key Agreement,PAK)提供了一種解決方案,透過多伺服器模式,可以顯著提升安全性。
密碼驗證密鑰協商方法允許多個參與方運用共享密碼來建立加密密鑰,從而達到保護的目的。
密碼驗證密鑰協商的核心在於,畢竟它強調的是安全性,即便是面對弱密碼,也能防止駭客透過暴力破解攻擊。這該如何做到呢?PAK方法的第一原則是即使在密碼遭竊的情況下,也要讓駭客難以進行猜測。每當駭客嘗試進行猜測時,都需要與伺服器進行交互,而這使得他們只能在每次交互中進行少量的猜測,從而大大減低成功的機率。
密碼驗證密鑰協商方法主要可以分為幾類,其中最為人知的有平衡密碼驗證密鑰交換(Balanced PAKE)和增強密碼驗證密鑰交換(Augmented PAKE)。這兩者在其運作方式上有所不同,卻同樣致力於增強資料安全性。
平衡PAKE假設兩方(不論是客戶端或伺服器)使用相同的密碼來協商並驗證共享的密鑰。
平衡PAKE的運行機制使得用戶能夠直接使用共享密碼來進行密鑰的協商,這種方法在需要雙方參與的場合中表現尤為出色。例如,簡單密碼指數交換(SPEKE)和J-PAKE等便是其應用範疇。然而,若伺服器本身並不儲存任何密碼相等資料,則可選擇增強PAKE。這樣即使伺服器遭到駭客入侵,攻擊者也無法冒充用戶,除非他們能先猜中密碼。
增強PAKE允許在不儲存密碼相等資料的情況下進行客戶端和伺服器之間的協商。
無論是平衡還是增強PAKE,這些方法對密碼的安全性進行了進一步強化,進而減少了許多可能的威脅。除此之外,密碼驗證密鑰檢索(Password-authenticated key retrieval)方法還允許客戶端從伺服器中獲取靜態密鑰,這一過程中也遵循著保護密碼的原則。
順著密碼驗證密鑰協商的發展歷史,1992年,史蒂文·貝洛文與邁克亞·梅里特首次提出加密密鑰交換(Encrypted Key Exchange)方法。雖然早期許多方法存在缺陷,但隨著時間的推移,這些方法得到強化與改進,形成了一系列穩定且可靠的協議。特別是在2000年,M. Bellare、D. Pointcheval 和 P. Rogaway 提出的幾個密碼驗證密鑰交換協議,已被證明具有安全性。
近年來,隨著網際網路工程任務組(IETF)對密碼驗證密鑰選擇流程的推行,越來越多的安全技術得以被廣泛應用。而在這過程中,最終推薦的協議乃是CPace與OPAQUE,受到業界的廣泛關注。
通過多伺服器的密碼驗證,不僅增強了安全性,還使得用戶在密碼被竊取的情況下依然能保持資料的安全性。
進入數位時代的我們,隨之而來的安全威脅是否讓我們不再能放心使用網絡服務?我們又該如何選擇更安全的認證方式,避免成為駭客的下一個目標呢?
