用户身份验证：超越密码

　　ZDNET至顶网安全频道 4月10日 编译：对于广大普通用户来说，在访问需要对身份进行确认的指定系统时，密码就属于最经常见到的工具之一。不过，由于密码已经被公认属于效力比较弱的身份验证模式;所以，我们现在就需要利用到替代或者补充措施来对用户实际身份进行更准确的确认。本文将对目前最经常使用的多因素身份验证技术进行全面介绍，并对相关的优缺点进行详细说明，为接下来的深入讨论打好理论基础。

　　身份验证意味着什么?

　　所谓身份验证，指的就是对一名普通人(或者一位用户)所声称的情况是否符合实际进行确认的基本过程。在对用户身份标识进行确认的时间，我们通常需要用到下面列出的三项基本“因素”：

　　· 使用只有用户才能知道的隐私信息

　　· 使用只有用户才能拥有的专门物品

　　· 使用只有用户才能代表的独特事物

　　当然，某些情况下，我们也可以在验证过程中使用到包含时间与位置信息在内的其它类型因素。举例来说，我们可以选择利用某位特定用户工作日程中的相关设定来对登录时间的有效范围进行相应的限制，还能够利用地理位置信息来对用户登录网络的具体位置进行控制。不过，由于这些因素往往只适用于非常特殊的情况下，所以它们在绝大多数时间里都只能作为基本身份验证因素的补充措施使用。接下来，我们就一起来深入了解一下基础认证因素的具体内容。

　　只有用户才能知道的隐私信息

　　在所有基本因素的应用中，使用范围最广阔的一种情况就是依靠只有用户才能知道的隐私信息(最常见的形式就是密码)来对实际身份进行验证。造成这种情况的原因就是，作为一种身份验证方式，密码不仅使用起来非常方便，而且在绝大多数情况下都可以达到成本低廉的效果。至于密码的具体内容，则可以从最简单的4位个人身份号码到由字母数字组成非常复杂的口令这一宽广领域中随意选择。

　　由于密码已经变得非常流行，所以我们在选择使用的时间就需要进行极其严格的专门审核。并且，在绝大多数情况下，它应该被认为属于效力薄弱的验证模式。单就密码本身而言，最大的薄弱环节是用户在使用时经常会表现出来的各种不良习惯。在确认密码的时间，用户往往会选择利用可以被轻易猜到的简单信息作为基础，还有可能无法做到内容足够复杂，而这就会导致系统被暴力破解攻击轻松搞定的情况出现。当然，在某些情况下，错误的密码策略也需要对所出现的问题承担部分责任。不过，上面提到的部分问题可以通过对(包括最终用户和技术人员在内的所有人员)使用者进行培训和教育的方式来进行清除处理。

　　只有用户才能拥有的专门物品

　　它作为另一项已经获得了广泛使用的因素，目前最常见的表现形式就是银行卡。在这种情况下，系统所采用的基本原则就是：由于“用户所拥有的专门物品”属于特定人员所拥有的唯一项目，所以系统可以接受它作为用户获得授权的证明文件。

　　以计算机系统为例，里面就涉及到很多种采用该因素的验证模式。它的使用范围也非常广泛，从智能卡，到USB令牌，无线令牌/卡以及最近出现利用手机作为令牌的项目(通过短信或下载的应用程序)不一而足。如果需要对这种类型的解决方案进行评估的话，我们就应该考虑到包括部署成本、硬件和软件方面的需求、易用性、用户验收情况、项目耐久性等部分在内的的问题。

　　如果攻击者试图对这种类型的系统进行破坏，最直接的选择就是窃取相关设备。这样的话，攻击者就可以利用拥有者报告遗失系统将被盗设备标记为无效之前的空窗期作为进行入侵的有效时间。此外，如果对设备进行复制处理的话，就可以在攻击时带来更好的效果。当然，不少系统中也可能会设置有复制保护机制，从而实现有效阻止这种类型攻击的目标。在某些情况下，攻击者也会选择利用中间人模式来进行系统入侵。尽管这么做会让实际操作变得更加复杂，但却可以保证攻击的隐蔽性和有效性获得极大提高。举例来说，最近针对RSA令牌所发起的成功攻击就属于极佳的例证。而移动类恶意软件的蔓延则属于另外一个典型的例子，攻击者通过对手机造成威胁的方式变相实现了降低该认证因素实际效力的目标。

　　只有用户才能代表的独特事物

　　对于利用只有用户才能代表的事物作为身份验证模式的解决方案来说，通常选择的是使用者生物体征方面的基本信息。而这往往就会涉及到指纹、声纹或者虹膜类扫描技术，以及利用原始记录中存档进行比较的工作。

　　通常情况下，系统会将利用计量生物学技术获得的具体读数用某种数学算法处理成为一个哈希值并保存起来。在对用户进行认证的时间，系统就会对两个哈希值进行比较;如果它们之间的相似度达到了设定要求的话，用户就会被认为确实属于本人从而获得系统访问权限。对于生物识别设备来说，可能出现的错误有将虚假读数当作正确的(假阳性)或者正确读数被拒绝(假阴性)两种。而对于制造商来说，用来计量这些错误等级的具体参数就是假阳性导致的错误接受率(FAR)以及假阴性导致的错误拒绝率(FRR)。为了对两项读数之间的准确性进行更好的比较，我们在这里还需要使用到相等错误率(EER，两种错误相等时间的比率)。通常情况下，设备的EER越低，就意味着实际准确度越高。具体到实际部署的过程，这些类型的身份验证措施也往往会面临来自其它方面的挑战。这其中就包括了相对较高的成本、用户的抵制以及硬件方面的特殊需求。此外，我们必须考虑到的问题还包括了采集用户原始读数(“注册”)并输入到生物识别系统中这一启动过程中会出现的问题。

　　对于生物识别器来说，工作时遭遇到有针对性的中间人攻击并不属于非常罕见的情况。而造成这种情况的原因就在于攻击者能够捕获并记录下原始读数，随意进行发送或者重播。此外，生物识别读数的固有缺点就是可以被轻松复制或伪造(举例来说，我们只要利用明胶就可以复制出一枚假指纹来，而依靠录音技术就可以获得识别语音)，并且非常难于进行调整。毕竟，对于用户来说，更换泄露的密码或者领取新的智能卡都属于非常简单的工作，但如果想改变自己固有声纹的话，基本上就属于不可能完成的任务了。

　　对于生物类别的身份验证技术来说，有时间还会涉及到“使用者行为表现”领域的相关工作。这种情况下，该技术通常不会被用来进行初始验证，而是将侧重于对既定身份进行确认。最典型的例子就是，当信用卡交易中出现反常使用情况时，用户身份的真实有效性就会受到怀疑。目前，美国国防部高级研究计划局正在寻找行为模式应用的新方法，以达到在无需打断用户正常活动的情况下对身份有效性进行验证的目标。