科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道风险与合规静态密码已经“OUT” 探索身份验证新方式

静态密码已经“OUT” 探索身份验证新方式

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。

作者:kaduo 来源:CNW 2012年1月19日

关键字: 身份验证 数据保护 双因素身份认证

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网?近日,IT168安全频道就此话题专门采访了飞天诚信OTP产品总监陈达先生。

  1、传统“账号+密码”身份验证方式的优缺点

  传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面:

  (1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护;

  (2)、静态密码安全性低,容易遭受各种形式的安全攻击;

  (3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密;

  (4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。

  因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。

  2、企业/个人到底需要什么样的身份验证方式?

  无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种:

  (1)、动态令牌

  动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。

  动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大幅的提高,但仍比证书认证稍弱一些。它有多种形态,如硬件令牌、软件令牌、手机令牌、短信令牌等,且应用范围十分广泛,它可以广泛应用于银行、证券、网游、电子商务、电子政务、网络教育、企业信息化等领域,可以保护多种类型的应用系统,如主机、各种网络设备以及各种使用计算机、手机、电话、数字电视等作为操作终端的应用系统。

  (2)、智能卡(IC卡)

  智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。

  智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。

  另外,智能卡需要配合读卡器使用,因此无论在易用性,还是在成本方面,都比动态令牌稍逊一筹。

  (3)、USB KEY

  USB KEY是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB KEY内置的密码算法实现对用户身份的认证。基于USB KEY身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式,目前运用在电子政务、网上银行。由于USB KEY采用软硬件相结合、一次一密的强双因子认证模式,所以它的安全级别较动态令牌高。

  但是,USB KEY在使用时需要在客户端安装软件,且需要插入到客户端才能使用,对客户端的接口有限制,所以应用范围也受到了限制。因此USB KEY在易用性和应用范围方面比动态令牌稍弱一些。

  (4)、生物识别技术

  生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、 DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。

  采用生物识别技术进行身份认证时,必须在客户端安装采集生理特征或行为方式的输入设备,它可能会存在误认和误拒的现象,可能会导致正确的用户被拒绝访问,而非法用户被允许访问等情况的发生。同时,它的应用范围也有所限制,例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。

  陈达强调,个人或企业可以根据其对应用安全等级的实际需求选择相应的身份认证技术,例如,针对安全性要求很高的应用(如较大金额的网上交易等)中,可以选用USB KEY来进行身份认证;如果对于安全性要求一般,同时要求易用性的场合下,比如小额支付或移动互联网身份认证,都可以选用动态令牌来进行身份认证。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章