安全认证,电话成首选
2013-11-18
减少IT安全威胁和强化管控的要求推动了多因子认证应用的发展。新的和升级版本的多因子认证产品也越来越多地使用基于电话的认证来代替原先主导市场的安全令牌认证。根据信息安全和分析公司Goode Intelligence的分析,到2014年,基于电话的认证将占据多因子认证市场61%的份额。
一、什么是基于电话的多因子认证
认证是计算机系统主动识别用户的过程,是今天计算机安全最薄弱的环节之一。由于脆弱的信任机制。伪造信任引起的计算机攻击和网络欺诈行为每天都在发生。随着企业间的远程访问、云计算、电了商务和网上银行应用的不断增加,这些故事还将继续发生。仅仅依靠用户名和密码的认证系统存在一系列的不足,众所周知的如弱密码、利用键盘记录软件盗取密码、网络仿冒和中间人攻击等等。
多因子认证为用户登陆和交易增加了关键的第二个安全层.它的使用要求满足以下两个或两个以上条件:
1.你知道的事情(密码是典型代表)
2.你有的物品(不易复制的可信硬件)
3.你自己的特征(生理特征)
多因子认证的安全性在于其分层的访问。多个认证因子的综合运用使得攻击者而临重大的挑战。因为即便攻击者设法获取用户的密码.没有可信设备同样毫无用处。)反之.如果用户不小心丢失了设备,除非知道用户密码,否则检到的人也无法使用。
目前,安全令牌还是多因子认证系统的主导.比如 RSA的SecurlD。安全令牌利用硬件的令牌生成一个一次性的密码.用户在登陆界面中输人这个一次性的密码,从而证明自己是这个可信设备的所有者。尽管安全令牌比单因子认证多了一个安全层.但增加了IT部门和终端用户的携带负担,此外,更复杂的、能够攻破安全令牌的威胁也已经出现了。
基于电话的认证系统以用户的电话作为可信设备,充当第二个认证因子。因为电话非常难以复制,而且电话号码也极其难以拦截,所以用户名密码再加上电话就能构建牢固的多因子认证系统,而且对用户的影响也最小。
二、基于电话的多因子认证的认证方式
基于电话的多因子认证运用多种带外方法(电话、短信和推送)和OATH密码.对用户进行认证,具有平台统一和高度灵活的特征。对于特定的用户和风险级别.还可以选用额外的安全措施.如PIN模式、声波纹和交易确认等。
电话:自动拔打用户电话,确认设备掌握在合法用户的手中,用户接听电话后按下特定的按键.如“#”键进行认证。
短信:向用户手机发送一条包含一次性密码的短信,用户用该密码回复短信进行认证。
推送:向用户智能手机或平板中安装的APP推送通知消息.用户点击APP中的“认证’按钮进行认证。
OATH密码:用户在登陆界面中输入移动应用或第三方OATH令牌提供的密码进行认证。
PIN模式和声波纹:要求用户对一个私有PIN进行验证以确保用户是手机的合法所有者。对于三因于认证.要求用户在电话中回答出私有口令以对其声波纹迸行验证。先进的声音生物技术可以对声波纹进行精确、可靠的认证。
欺诈警告:如果用户收到的登陆或交易确认请求认证不是由自己发起的.只要在电话或短信中简单地输入特定内容,如“110#”或在手机应用中点击,“拒绝并举报”按钮.就能锁定账户并向公司防欺诈部门发出警告。
基于电话的多因了认证不仅能克服传统的基于安全令牌的认证系统的固有缺陷,而且还有多因子认证的高安全性和独一无二的易用性.能以较低的投人达到减少数据安全风险的目的.在技术上处于领先地位.成为越来越多企业应对安全威协和不断增加的用户的首选.并且这种市场的转变还在加速进行。
本文原创地址:http://nicaikj.com/article-649.html