現由于用戶名 / 密碼方式的單因素身份認證方式無法應對日益猖獗的在線欺詐犯罪行為,各種強身份認證技術紛紛登場,因為使用雙因素或多因素身份認證技術是解決目前網上身份盜竊和在線欺詐的唯一有效手段。美國 聯邦金融機構檢查委員會 (FFIEC) 就 要求美國金融業必須在 2006 年底之前為網上銀行提供雙因素用戶身份認證,這實際上是給各行各業的網上應用指明了一個如何確保用戶在線信息安全努力方向。
本文就對現有的各種成熟的身份認證技術做一個簡單的介紹,讓廣大網上應用提供商能夠明智地根據自己的業務需要和風險評估來合理選擇強身份認證技術,而不是一味地聽取某些強勢廠商的一面之詞而貿然確定,從而讓廣大網上用戶承受技術選型失誤帶來的痛苦。
一、強身份認證技術的選擇原則
在選擇強身份認證解決方案時,最重要的是要評估各種解決方案的優缺點,主要包括:是否容易實施和安全,而最終用戶是否使用方便和低成本應該是第一考慮因素。
任何信息安全技術主要包含三個概念:機密性、完整性和實用性,如果一種安全解決方案僅僅能保證數據不會被非法訪問 ( 機密性 ) 和保證確實是合法用戶在訪問 ( 完整性 ) ,但如果失去了實用性,也是不合適的方案。實用性就是要求此解決方案是可管理的、低成本的,而且不會給用戶帶來太多的痛苦的 ( 用戶實用方便 ) 。
在選擇強身份認證解決方案時還有一個問題不得不重視,那就是成本。網上應用服務提供商必須考慮采用此方案與其他方案的成本比較 ( 包括服務提供商的投資成本和最終用戶成本 ) ,同時還要考慮與用戶、合作伙伴、雇員通信不會僅僅是 Web 方式,還應考慮此解決方案是否還可以為其他網上通信提供安全保障,如電子郵件通信。
二、現有的身份認證技術
現有的在線身份認證技術依賴許多因素,但主要可以歸納為三大類:
(1) 根據你所知道的信息來證明你的身份 (what you know ,你知道什么 ) ,假設某些信息只有你本人知道,如暗號、密碼等,通過詢問這個信息就可以確認你的身份;
(2) 根據你所擁有的東西來證明你的身份 (what you have ,你有什么 ) ,假設某一個東西只有你本人擁有,如 IC 卡、 USB Key 、個人數字證書等,通過出示這個東西也可以確認你的身份;
(3)直接根據你獨一無二的身體特征來證明你的身份 (who you are ,你是誰 ) ,比如指紋、面貌等。
單因素認證方式 ( 如密碼 ) 只是簡單地依賴一個因素:你知道什么。而當你到 ATM 柜員機上取錢時就是使用雙因素認證,即:你知道什么 ( 密碼 ) 和你有什么 ( 銀行卡 ) 。其他雙因素認證則注重于你是誰,如生物特征解決方案:指紋掃描識別和聲音識別等。然而,實施生物特征解決方案費用高,也不容易管理和大范圍的使用,而且還較高的錯誤識別率。
由于“你有什么”和“你是誰”不適宜在網上實施,所以一些網上應用服務提供商試圖讓用戶知道許多個什么,如多重密碼、循環密碼等,這些也許比單一密碼要安全些,但其實并沒有增加多少安全。而且,密碼越多,用戶越記不住,網上應用服務提供商就要花費更多投入來為用戶重設密碼,也給用戶帶來了使用上的不便。
有些網上應用服務提供商已經使用了動態時間令牌,可以動態產生一組數字作為登錄密碼,但費用太貴,實施成本實在太高,而且容易丟失、轉借、硬件顯示不清、時間不能同步和電池沒電等問題,更重要的是,動態密碼登錄后如果服務器不部署 SSL 證書,則用戶登錄后查詢的機密信息仍然非常容易被非法竊聽。多重密碼方式相對來講費用最低,但并不比單一密碼安全許多,而詢問用戶這些問題只適合于填寫開戶申請表格,而不是用于身份認證,因為這些常用的問題并不僅僅用戶一個人知道。
實際上,“你有什么”并不意味著一定要物理上“你有什么”,你可以擁有虛擬物品,那就是存儲在你的電腦、智能 IC 卡和 USB Key 中的客戶端個人數字證書。客戶端數字證書是基于 PKI 公鑰基礎設施的加密技術的最理想的雙因素認證方式,它可以以電子方式發送給用戶來提供強身份認證,能保護用戶數據的完整性和提供對用戶透明登錄方式而不會對用戶造成任何不便。它可以直接存儲在用戶電腦上,或為了方便攜帶,可以存放在智能 IC 卡或 USB Key 上。
三、正確選擇用戶強身份認證技術
既然簡單的用戶名 / 密碼方式不安全,那為何大家又都普遍使用此方式呢?答案很簡單:對用戶和網上應用服務提供商來講都非常方便。用戶名 / 密碼容易記住,非常容易和快速登錄帳戶,而且對網上應用服務提供商來講還是成本最低的解決方案。用戶當然希望有一種非常方便的方式來訪問自己的帳戶,而網上應用服務提供商當然是希望此方式的操作成本最低。
正是由于用戶名 / 密碼方式使用非常方便而受到用戶的青睞,但也同時吸引了犯罪分子。密碼方式安全性最低,因為用戶往往會把密碼記在本子上,而且是多個網站使用同一個密碼。用戶在輸入密碼時非常有可能被旁人觀察到,也非常容易被猜到,也極有可能被間諜軟件竊獲。網上各種應用使用簡單的用戶名 / 密碼方式是方便了用戶但犧牲了安全,這就需要網上應用服務提供商和用戶在方便和安全兩個方面做出一個平衡的選擇。
那么,哪種身份認證方式是最容易實施的和最可靠的呢?可以看出,有許多技術可以提供比用戶名 / 密碼方式更強的用戶認證,如:多重口令、秘密問題回答、動態時間令牌、一次性口令、生物特征和客戶端數字證書 ( 可以直接安裝到用戶電腦中或智能 IC 卡、 USB Key 中 ) 。而根據選擇原則,本文認為: 目前唯一的容易部署、低成本、安全的、方便的強身份認證方式只有客戶端數字證書,不僅可以提供 Web 方式應用的強身份認證,還能提供非 Web 方式應用的強身份認證和電子郵件通信的機密信息加密和數字簽名。
四、使用客戶端數字證書實現安全的在線應用
單向認證的 SSL 證書已經在服務器上廣泛使用,當安全鎖顯示在瀏覽器的下方時,它表明了有一個服務器 SSL 證書正在為用戶電腦與服務器之間的通信提供一個加密通道來保護數據傳輸安全。然而,這忽略了一個最重要的事情:用戶端的身份認證 -- 是誰正在使用此安全通道。解決這個問題的最好解決方案是也要求用戶端使用數字證書來證明其身份,從而實現服務器端和客戶端的雙向身份認證。
當用戶從 CA( 如 GeoTrust) 獲得客戶端數字證書后,用戶就擁有了電子化的身份證明用于向服務器證明其真實身份。數字證書在原基于用戶名 / 密碼認證方式基礎上提供了更加安全的強身份認證機制,是最安全的多層身份認證解決方案。為了便于攜帶,客戶端數字證書可以安裝到智能 IC 卡或 USB Key 中。
那么,什么是網上應用服務提供商頒發客戶端數字證書最經濟的解決方案呢?一個集中管理的外包式 PKI 證書管理服務 ( 如: GeoTrust 超管 RA) 是網上應用服務提供商頒發客戶端數字證書最經濟的解決方案,可以大大降低昂貴的內部 PKI 基礎設施的投資,減輕網上應用服務提供商的投資負擔和管理負擔,充分利用現有 CA 完善的 PKI 基礎設施來輕松頒發客戶端數字證書。更重要的是:由于瀏覽器和電子郵件客戶端軟件已經預置了這些可信任的證書頒發機構 ( 如 GeoTrust) 的根證書,所以當給用戶頒發這些 CA 簽名的客戶端數字證書時,瀏覽器就不會出現不友好的安全警告,用戶也無需另外安裝根證書,將大大方便了用戶的使用。
把頒發客戶端數字證書和 PKI 管理外包給可信任的證書頒發機構 (GeoTrust) 后,網上應用服務提供商仍然可以完全控制整個證書的生命周期,包括:在線申請、續期和廢止。同時,可控制的集中管理的密鑰產生、私鑰備份和恢復等將提供最大限度地安全和私鑰保護。總之,使用客戶端數字證書來實現身份雙因素身份認證是 目前唯一容易部署的、低成本的、安全的、方便的強身份認證方式,而外包 PKI 證書管理服務 ( 如: GeoTrust 超管 RA) 又是網上應用服務提供商頒發客戶端數字證書最經濟的最快捷的解決方案。(責任編輯:zhaohb)
