双重身份验证可以非常好地保护您的在线帐户,但它肯定是一种痛苦。有些人为了避免智能手机,文本和通行密码的耗时交互,而甘愿冒他们的帐户被黑客攻击的危险。这种现象显然已是一个众所周知的事实。
现在有一个正在研发中的应用程序可以帮上忙,它的名字叫Sound-Proof,旨在通过环境声音验证登录。现在正在进行Sound-Proof的位于苏黎世的瑞士联邦技术研究所,宣布如下:
在Sound-Proof中,第二个验证因素是将用户的电话接近被用来登录的设备。通过比较麦克风记录的环境噪声将核实这两种设备的接近。音频记录和比对的过程对用户来说如同不存在。 因此用户体验类似于一个密码的唯一认证。
该研究小组说,Sound-Proof很容易使用,并且它无需添加插件,便能在通用手机和主要浏览器上使用——虽然它需要一个手机应用程序(IOS和Android prototypes正在研发这种手机应用程序)和进行数据连接。
目前为止这听起来很不错。然而,仍然有潜在的问题。考虑某些人和你在同一个房间的场景,他试图通过已知的密码侵入你的账户比如在同一个咖啡店或者图书馆,或者学校休息室。研究人员承认这可能会发生,但即使在那个事件中,使用这个应用程序对大多数人来讲可能会比没有任何措施要好。
双重身份验证的信息类别
身份验证至少需要用户提供三个典型信息类别中的一个:你所知道的(信息),你所拥有的(物品),或者属于你本人的(属性)。经典的身份验证信息是密码或者PIN码,这是你所知道的信息。而你所拥有的身份验证信息可能是一个安全磁卡或者手机。而各种生物信息,比如指 纹,就是属于第三类验证信息了。
传统的身份验证系统只需要一种验证信息,比如密码。
而双重验证需要用户提供两类可以证明身份的信息。由于用户同时丢失两类身份证明信息的可能性远远低于丢失一类身份证明信息,因此这种双重验证身份的方式可以大大降低系统所面临的安全风险。不幸的是,每一类身份验证方法都存在自身固有的不足,对于一个坚定的入侵者来说,每种身份验证方式是否能够真正阻止未经验证的用户进入系统还是个未知数。
密码
密码,PIN码或者其他输入码都是属于第一类身份验证信息类别,即你所知道的信息。这类信息还可以是母亲大人的姓名(可以用来通过电话核实用户身份),网络银行密码或ATM/信用 卡的PIN码。使用这种类别的验证信息所存在的一个最大的问题是,用户很可能将信息记录在纸上甚至直接告诉别人。很多人都记不住复杂的密码,但是简单的密码又很容易被破解。只要在网络上搜索一下或者进行一些社会学方面的工作,身份窃贼就可以轻松地获取受害人的各方面信息,比如父母的姓名,第一个宠物的名字,学校的名字等等。双重身份验证模式一般是采用密码或PIN码,外加另一种身份信息类型。一个最典型的双重验证的例子就是ATM机,需要用户输入密码(用户所知道的信息)的同时还必须拥有银行卡(用户所拥有的身份证明)
在高风险环境中,单独使用密码进行防护是非常不可靠的。
智能卡和USB令牌
智能卡和USB令牌属于第二类身份验证信息,即你所拥有的物品。这类物品基本上都是通过内部的存储空间保存用户的身份信息。另一些智能卡还包括电子标签,这些产品主要被用作建筑物的门禁系统,每张卡上包含一个唯一的ID号码,系统通过读卡设备批准或拒绝该智能卡。由于涉及到硬件设备,因此选择这种身份验证方式需要考虑到购买,部署,更新和管理的费用问题。由于智能卡本身体积小巧,很容易丢失,因此还需要有注销以及重新发放的过程。在一张门卡被挂失前,可能已经被不法人员利用了。这种硬件令牌形式的身份验证模式可以与生物信息或者密码方式结合使用。比如我最近看到有的机构使用USB令牌加个人指 纹的方式进行身份验证。也许很快就会出现三重验证方式了。
一次性密码
一次性密码(OTP)狗与RSA的SecurID 类似,可能是双重身份验证模式中最好的一个组成部分了。每个OTP狗都会每六十秒(或者每次按下按钮)显示一个伪随机密码。这个随机码与PIN码结合就可以进行身份验证。和硬件令牌形式一样,这种一次性密码狗也是属于用户所拥有的物品,同样面临安装和维护方面的成本问题。
生物特征
生物学验证方式是采用个人的生物学特征进行验证的方式,属于第三类身份验证类别,即属于你本人的属性。常见的物理形式的生物学特征验证是视网膜扫描和指 纹扫描验证。如果生物学验证方式是在一个受控的环境下进行的,比如有保安人员监视验证过程,那么这种验证方式是相当安全的,但是仍然不是无懈可击。
在一个“正常”的身份验证环境下,一个设备精良的入侵者可以很轻松的复制各种生物学信息,比如指 纹、视网膜,甚至面部特征。在使用生物身份验证系统的机构中,员工的人身安全成了重要问题。一些欠缺技巧的入侵者甚至采用暴力手段获取他人的生物识别信息。比如在马来西亚就发生过匪徒切下司机的食指以便能启动带有指 纹识别系统的奔驰车的案件。虽然读取生物特征的设备价格昂贵,但是部署生物识别系统的潜在成本要低于OTP或者基于令牌的解决方案(目前很多笔记本都带有指 纹读取设备)。对于生物识别系统来说,生物特征数据的存储以及相关的数据安全性成为了重要问题。
手机
很多公司现在都正在考虑采用手机作为身份验证途径,这其实也是属于第二类身份验证类别,即你所拥有的物品。现在基本上所有人都随身携带手机,因此如果将手机作为个人身份识别的令牌,就可以让用户不必携带专门的身份卡,企业也可以降低部署身份识别系统的成本。很多远东地区的银行都通过客户的手机短信方式提高了防御在线欺诈的安全能力。
用户首先使用自己的银行卡和PIN码(已经是双重验证模式了)在ATM机上注册自己的手机号。之后用户的银行卡在进行在线交易时,会给手机发送一个验证码,用户收到这个验证码并将其输入系统才能完成整个在线交易过程。另外,这个验证码具有一定的时效性,这就避免了用户在短期内进行多次在线交易时重复验证的麻烦。但是和其他ID卡之类的验证方式一样,手机也存在着被盗或丢失的情况。而且由于手机网络运营商并没有对SMS短信进行加密,因此通过手机短信传递验证码还存在着一定的安全风险。
进
店
进
店
进
店
