手机凭证的使用正在增加,但它们能得到保护吗?

考虑到目前移动设备,尤其是智能手机的普及,它们越来越与我们日常生活的方方面面纠缠在一起也就不足为奇了。我们不再仅仅用它们打电话、发短信或浏览互联网。我们可以使用它们来做任何事情,这包括使用它们来提供我们的凭证。

[15款针对Android和iOS的热门安全和隐私应用程序]

由于人们几乎总是随身携带手机,所以在某种程度上,使用手机作为存储和验证个人凭证的手段是有意义的。银行信息、票务目的、访问控制——现在都可以通过智能手机处理。但这当然回避了一个问题,即这种做法到底有多安全。

Gartner分析师Dionisio Zumerle谈到在企业中使用智能手机进行访问控制的做法时说:“这在NFC中是可能的,他们正在使用这一点。”但是你也要考虑到他们使用的很多方法只适用于某些设备上的某些硬件。这是我们看到的新兴事物,但它还没有进入主流世界。”

对于那些确实使用移动设备存储凭据以实现访问控制等目的的企业,可以实现一些方法来锁定它们。不过,这些方法并不总是特别复杂;McAfee的研究员Irfan Asrar说,这些凭证通常是用本机安全性来保护的。

“他们可能有一些额外的BYOD政策对他们强制执行,”阿斯拉说但我们所看到的大部分都是在操作系统中使用基本身份验证。”

祖默尔说,还有一些稍微更先进的方法来保护凭证。

“NFC有一个安全的元素,可以用来保护证书,”他说通常它包含一个单独的组件,如智能卡或SD卡。”

使用安全元件,应用程序代码和数据在外部芯片上安全地存储和执行。根据智能卡联盟的说法,安全元素“为应用程序和其他可以加密、解密和签署数据包的功能提供分隔内存。”

Zumerle说,对于那些正在寻找使用移动设备进行基于NFC的交易的稍微方便一点的人来说,Android 4.4(KitKat)引入了一种新方法,称为基于主机的卡模拟(host-based card emulation,简称HCE)。使用HCE,用户不再需要安全元素(外部卡)通过NFC进行交易。虽然这种做法让用户和应用程序提供商都更加方便,但显然是以牺牲安全性为代价的。

[您的移动设备安全面临的五个新威胁]

“是的,HCE使它不那么安全,”祖默尔说当您从图片中删除基于硬件的安全性时,攻击者总是可以通过更多的方式找到您。”

他解释说,分段设备是更好的解决方案。例如,三星Knox安全套件中的TIMA将安全配置卷存储在设备芯片的安全部分。

他说:“在运行时,它会将安全部分的值与设备的当前值进行比较,因此如果有什么变化,您可以立即杀死设备的安全部分。”这与您可以对某些访问控制或支付应用程序执行的操作是一样的;如果它们被篡改,您可以嵌入这些控件并尝试终止应用程序。”

然而,一些固有的风险仍然存在。毕竟,在一个类似访问控制的场景中,没有什么能阻止攻击者拿起员工的手机——万一手机丢失或被盗——然后用它刷卡。

“不,没有什么能阻止人们这么做,”祖默尔说设备可以自动与读卡器配对。您必须进行某种组合设置;例如,如果设备被锁定,则没有NFC。有些供应商这样做,但这是以牺牲便利为代价的。这完全取决于企业愿意承担多大风险。”

Asrar补充说,尽管故障保护通常归结为平台的本机安全特性(如设备锁定),但它们通常没有实现,因此,企业需要推出额外的安全措施。

“很多人甚至没有密码,”阿斯拉说但是还有一些附加的软件,比如单点登录(用于双因素身份验证),可以绑定到企业的部署中。”

归根结底,尽管Zumerle和Asrar都认为存在固有的风险,但使用移动设备进行访问控制是否安全还取决于上下文。正如祖默尔指出的,这种做法迫使人们依赖硬件。但当他们这样做,并想占整个频谱的移动设备,这变得更加困难,因为他们不是所有的相同。

“从技术上讲,如果你有一个解决方案,是建立了一些安全防范措施,有,今天,技术工具,使它成为企业可以使用的东西,”祖默尔说是的,但这取决于精确解。做得好可以奏效,但你需要有正确的措施到位。如果你实现了一些只适用于特定设备或场景的东西——比如对特定项目有好处的东西——然后你想做一些类似BYOD的事情,那么事情就开始变得复杂了。”

[小型企业可能从无线行业的“扼杀开关”计划中受益]

另一方面,威胁形势在不断变化;只有好人能够跟上,使用移动凭据的做法才是安全的。

“确实存在重大漏洞,但我们每天都在跟踪它们,”阿斯拉说问题是这就像冷战时期的情况。坏人在不断发展,安全公司也在不断发展,我们努力保持领先。这是一个不断发展的领域,所以很难说…我们关注的是通过哪些漏洞。这要看情况了。”

另一个复杂的问题是,移动凭据的使用方式多种多样。在移动设备上存储凭证的另一个流行用途是银行和金融交易,因此,访问控制凭证并不是唯一有风险的东西。

在某种程度上,移动钱包内置了一些故障保险箱来保护凭证。有些应用程序将凭据存储在设备本身上,但它是加密的。然而,其他人实际上并不在设备上本地存储用户的银行信息。

Asrar说:“有些应用程序可能有能力获取信息并将其存储在数据包服务器上,以防你担心设备丢失或被盗。”。

类似地,银行凭证可以存储在云中,也可以存储在安全的元素上,就像访问凭证一样。然而,即使是这种方法也不是万无一失的。

阿斯拉说:“(在云端存储信息)确实在某种程度上确保了一些安全性。”但它也可能被滥用,归根结底是交易公司计划保护用户的内容。”

他补充说,虽然安全公司一直在努力确定这些系统中哪些漏洞是专门针对的,并随后修补这些漏洞,但消费者也应该采取基本措施保护自己。安装杀毒软件、立即下载更新、不试图绕过公司的安全策略等安全措施都是不需要考虑的。

Zumerle说,虽然用户输入的银行数据可以通过多种方式得到保护,但实际应用程序也可以得到保护。这样,攻击者就不能利用它在事务期间获取或记录重要数据。