監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

讓身份驗證更智能

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

如果你還僅僅是使用簡單的密碼來保護網(wǎng)絡,那么你的網(wǎng)絡很可能會門戶大開。而傳統(tǒng)的強驗證產(chǎn)品其購買及部署費用仍然很高昂,于是許多企業(yè)開始尋找新的方法,讓驗證更智能、更普遍、更易于使用。 

今年三四月份,一小批電子郵件進入了歐美國家的國防部門及承包商的辦公室。這些郵件在收件人看來似乎是可以信任的: 每封郵件都是發(fā)到某個員工的郵箱地址,還有合法的回信地址,種種現(xiàn)象表明這似乎是內(nèi)部郵件。這些郵件數(shù)量極少、也極為狡猾,騙過了反垃圾郵件過濾器。后經(jīng)過檢查才知道是利用了微軟Word當中以前未察覺的漏洞,從而得以從反病毒過濾器旁邊溜過。那些不走運的收件人要是打開了電子郵件的附件,就會不知不覺安裝了特洛伊木馬。

諸如此類的網(wǎng)絡釣魚攻擊毫無新意。多年來,把網(wǎng)上銀行和電子商務客戶引誘到假冒網(wǎng)站、然后誘騙他們透露敏感的賬戶信息,這種網(wǎng)上騙局已經(jīng)成為網(wǎng)上犯罪分子的主要手段。不過,所謂的魚叉式網(wǎng)絡釣魚(spear-phishing)攻擊卻是一種新的伎倆,攻擊者用來侵入企業(yè)網(wǎng)絡的軟件也越來越先進。

在過去一年,針對公司的目標攻擊數(shù)量從每周一兩起增加到了每天一兩起。MessageLabs的高級分析師Paul Wood說,雖然這個數(shù)字與郵件數(shù)量以百萬計的電子郵件病毒和垃圾郵件活動相比可能不值得一提,但魚叉式網(wǎng)絡釣魚攻擊卻更危險。

Wood說: “這種攻擊不是針對從網(wǎng)上搜集而來的那些地址。這些人掌握了所要攻擊組織的大量信息……這些郵件的目的性很強?!?

它們攻擊的對象通常是: 軟件源代碼、設計文檔或者設計圖表。不過以國防承包商為例,因情報丟失可能造成的破壞遠超過通常的經(jīng)濟損失。對此,企業(yè)該怎么辦呢?

單純使用單因素的用戶名和密碼很快成為IT人士的笑柄,而傳統(tǒng)的強驗證(strong authentication)產(chǎn)品其購買及部署費用仍很高昂,于是如今許多企業(yè)尋找新的方法,讓驗證更智能、更普遍、更易于使用。

據(jù)專家們稱,各個地方的IT部門很快就會需要部署類似金融公司如今使用的那些保護機制了。幾百年來,金融公司一直在與各種欺詐作斗爭。相應之下,一度波瀾不驚的驗證市場正在迅速轉(zhuǎn)型。新的初創(chuàng)公司、新的設備以及風險資本的大量涌入,意味著很快就能派上用場。企業(yè)IT部門面臨的挑戰(zhàn)就是,搶在騙子們找到入口之前,讓一切保護機制發(fā)揮作用。

密碼失效嗎?

正如Bob Blakley看到的那樣,不是說密碼已經(jīng)沒有用了,而是因為一開始密碼就根本不是非常有效。

“根本的問題在于,原本就需要在人的認知能力和密碼強度之間進行取舍,”Blakley說,他是IBM公司負責安全和隱私的首席科學家。如果標準的強密碼協(xié)議所用的值使用8個或更多字符、混合字母值和數(shù)值,那么用戶就會處于不安全的密碼,或者選擇很難記住的安全密碼。

斯坦福聯(lián)邦信用合作社(Stanford Federal Credit Union)CTO Sam Tuohey通過實際調(diào)查的方式得出了同樣的結(jié)論——檢查了4.5萬名客戶的密碼強度。Tuohey領(lǐng)導的小組使用標準的密碼破譯工具對一系列加密密碼進行了破譯,結(jié)果發(fā)現(xiàn),近80%的值在“不到一秒內(nèi)”就被破譯,Tuohey說。

多年來,簡單密碼足以阻止技術(shù)含量低的黑客行為和網(wǎng)上犯罪,如今不再是這樣。松懈的用戶訪問機制一度可以接受,但如今就顯得像是在吸引經(jīng)驗老到的網(wǎng)上犯罪分子: 他們很快發(fā)現(xiàn)了如何利用網(wǎng)絡釣魚攻擊,迅速弄到密碼,另外使用惡意代碼搜集其他的敏感數(shù)據(jù)。

RSA安全公司高級副總裁兼消費者解決方案總經(jīng)理Chris Young說,威脅環(huán)境的變化正在促使驗證行業(yè)迅速發(fā)生變化。

Young說: “我們已經(jīng)看到了這股動向,即由原來的中學生編寫病毒改為如今有組織的犯罪團伙從事網(wǎng)絡釣魚、域欺詐及傳播特洛伊木馬,他們竊取信息純粹是為了圖謀錢財?!?

斯坦福聯(lián)邦信用合作社對此深有體會。Tuohey說,這家信用合作社不像美國銀行或者富國銀行這些目標,但網(wǎng)絡釣魚者還是在去年年底發(fā)現(xiàn)了它,于是設下了高明、有針對性的騙局,企圖竊取客戶的賬戶信息。

網(wǎng)絡釣魚者利用了這家信用合作社連接至斯坦福大學的網(wǎng)絡,搜集到了成千上萬個公開的stanford.edu地址,然后向他們逐一發(fā)送網(wǎng)絡釣魚的地址郵件,假冒郵件來自這家信用合作社。Tuhoey只聽說有四個客戶回復了電子郵件,他自認為這起騙局沒有導致任何賬戶實際出現(xiàn)泄密。不過這起事件還是敲響了警鐘。

多管齊下反對欺詐

強驗證指利用額外因素(如智能卡、一次性密碼生成器和USB令牌),它是擔心欺詐的組織首選的傳統(tǒng)武器,如今仍是許多組織的流行選擇。RSA聲稱,全球共有兩萬個客戶在使用其SecurID令牌。但強驗證的部署及維護成本一直很高,另外許多用戶也覺得使用不便。

斯坦福聯(lián)邦信用合作社同樣得出了這個結(jié)論。Tuohey說: “分發(fā)45000個令牌, 一旦有人損壞或者丟失,還要提供支持,這些工作會讓人望而生畏?!?

Tuohey說,斯坦福聯(lián)邦信用合作社確實讓經(jīng)常出差及在家辦公的員工使用智能卡,但傳統(tǒng)的智能卡對沒有閱讀裝置插入智能卡的客戶來說并不實用。信用合作社的解決辦法就是使用一種比較方便的雙因素驗證,其中包括PassMark Security公司(現(xiàn)隸屬于RSA)的反欺詐和網(wǎng)站驗證技術(shù)。

PassMark的技術(shù)采用了由用戶選擇的水印,以辨別合法網(wǎng)頁和網(wǎng)絡釣魚騙局,另外使用了后端反欺詐分析功能,可以發(fā)現(xiàn)企圖登錄的可疑行為。RSA把這種多管齊下的方案稱為“自適應驗證”,但更通俗的說法是“基于風險的驗證”。

RSA的Young說: “這種概念就是根據(jù)上下文,使用不同類型的驗證方法?!闶钦l?’‘你在話路中的哪個地方?’‘你使用賬戶時的行為通常有哪些?’”

反欺詐廠商考慮使用的因素包括: 當前日期時間、IP地址、所用的計算機及地理位置。專家們說,雖然這些因素并非萬無一失,但在確認大多數(shù)用戶的身份時還是非常準確。

VeriSign今年2月收購了欺詐檢測公司Snapcentric,其負責驗證服務部門副總裁Nico Popp說: “我妻子總是在家上網(wǎng)上銀行。她會有一系列非常穩(wěn)定的行為: 使用同一種瀏覽器、使用同一家ISP,她還總是在周六上午上網(wǎng)上銀行。這是非常清楚的模式?!?

如果Popp妻子試著從韓國通過使用非英語設置的不同機器登錄,就應當警惕了。另一方面,Popp本人經(jīng)常全世界跑,所以他的地理位置信息不太穩(wěn)定。不過他總是從同一臺筆記本電腦來連接,所以設備設置及話路信息同樣有效。

加強可靠性

Popp說,欺詐檢測結(jié)合基于風險的驗證具有強大功效,因為在正常情況下,用戶看不到這對組合; 但一旦與用戶行為有關(guān)的風險增加,比如轉(zhuǎn)賬或者賬戶突然更改,這對組合又會發(fā)揮功效。

Diversinet是一家提供基于令牌的強驗證解決方案的廠商,其首席安全官Stu Vaeth強調(diào),基于風險的驗證并不是公司企業(yè)的萬靈藥。他說,反欺詐和基于風險的驗證擅于消除網(wǎng)絡釣魚和中間人攻擊,但安全性卻不如傳統(tǒng)的雙因素驗證。

RSA的工作人員Young贊同這番觀點。他說: “這好比是說警報系統(tǒng)會讓門鎖銷聲匿跡。欺詐檢測和基于風險的驗證這對組合讓沒在使用證書如SecurID的數(shù)百萬消費者或者企業(yè)用戶可以使用諸多保護方案?!?

這種想法代表著驗證市場出現(xiàn)的重大轉(zhuǎn)變。人們曾經(jīng)認為僅僅授予許可權(quán)就是驗證的實質(zhì),如今的解決方案卻是旨在加強“可靠性”,IBM的Blakley如是說。

Blakley說: “人們以為,驗證只要在開頭做好工作就行了,以后再也不用管了; 但驗證實際上是加強可靠性的過程——你必須自始至終確保交易合作伙伴的身份是可靠的; 而越到后頭,這種可靠性可能越小?!北热缯f,訪客通過了國家安全局在馬里蘭州米德堡的總部正門的身份檢查,未必能進入大樓內(nèi)的每個房間。

據(jù)安全廠商Cydelity的CEO Bob Ciccone聲稱,他們的做法就是監(jiān)控用戶在登錄之后的行為,并標出哪些行為有風險。他說: “許多企業(yè)通常部署了分層防御機制,卻沒有部署監(jiān)控用戶進入系統(tǒng)后行為的這一層機制?!?

與反欺詐領(lǐng)域的其他公司一樣,Cydelity也關(guān)注地理位置和異常行為,比如更改或者禁用電子郵件通知,另外還請求轉(zhuǎn)賬、企圖從可疑位置進行訪問。

客戶日益把這種基于分析的風險檢測與令牌和智能卡之外的軟件雙因素驗證結(jié)合起來,這種驗證方法部署及支持起來比較容易。比如說,Diversinet的軟件令牌提供的強驗證效果類似傳統(tǒng)令牌,但可以通過無線網(wǎng)絡提供,保存在PDA或者移動電話上。與此同時,Bharosa為多種格式參數(shù)的設備提供了其Authenticator軟件雙因素驗證應用軟件; 而后端上的Tracker應用軟件負責監(jiān)控登錄來源,以避免遭到欺詐。Bharosa的CEO Jon Fisher說,所用的分析指標包括用來登錄的計算機或者移動設備、地理位置和行為特征。

未來在于開放

按照聯(lián)邦金融機構(gòu)檢查委員會(FFIEC)在2005年的指令,“高風險的交易使用單因素驗證作為惟一的控制機制是不夠的”,比如轉(zhuǎn)賬。

今年6月,白宮管理和預算辦公室贊同這一指令,要求聯(lián)邦部門遵守國家技術(shù)標準研究所(NIST)的安全標準,包括對移動設備上的數(shù)據(jù)進行加密,遠程訪問數(shù)據(jù)使用雙因素驗證。

這些公告已經(jīng)促使金融機構(gòu)和政府部門競相使用額外因素支持用戶驗證,但這對企業(yè)而言未必是件好事。因為廠商們致力于為政府和金融等垂直行業(yè)提供消費者欺騙防護技術(shù),面向企業(yè)的產(chǎn)品就被暫時擱在一邊。

VeriSign公司的Popp說: “市場機會基本上集中在FFIEC方面,眼下我們把99%的精力放在了這一塊。廠商們完全把精力放到了欺詐、身份竊取和法規(guī)上?!彼f,但一旦用于遵從FFIEC的資金日趨減少,廠商就會開始期望開拓更龐大的企業(yè)驗證市場。

與Popp一樣,IBM的Blakley也認為基于風險的分析是各種組織采用的普通驗證過程的一部分。他說: “眼下,人們基本上都是事先進行風險分析。在將來,你會對風險因素進行更加動態(tài)的分析,所以如果系統(tǒng)認識到出現(xiàn)了異常情況,就會要求你通過另外的驗證測試,確保驗證強度得到提升?!?

客戶已經(jīng)可以結(jié)合身份分析和業(yè)務規(guī)則檢查來發(fā)現(xiàn)企業(yè)用戶群體內(nèi)部的關(guān)系。Blakley說,往其中添加更多的驗證數(shù)據(jù)會導致市面上出現(xiàn)更專業(yè)的產(chǎn)品。 

生物識別技術(shù)助一臂之力

多因素驗證在公共部門和私營部門都日漸受到歡迎,其中包括下一代生物識別技術(shù),譬如富士通公司出品的這款PalmSecure靜脈紋路掃描器。

但強驗證的未來也許不在任何一家廠商的手里。開放驗證組織(OATH)的開放源代碼計劃聲稱如今他們擁有的成員已超過了66個,其中包括智能卡廠商Axalto、BMC、IBM、USB令牌生產(chǎn)商SanDisk、VeriSign及其他廠商。OATH旨在建立由驗證軟硬件組成的生態(tài)系統(tǒng),基于開放源代碼組件,以鼓勵歷來由一小批大公司壟斷的市場出現(xiàn)創(chuàng)新。

Popp說: “我們與OATH共同在推動開放的欺詐檢測方案。專有網(wǎng)絡從來不會成功,要是每家廠商都說,“這是我的欺詐數(shù)據(jù),我不會與別人共享”。這只會幫助不法分子。

鏈接一:用“擊鍵模式”確認身份

關(guān)注智能反欺詐解決方案的基本上是銀行、金融服務和電子商務等公司,原因很明顯: 這些公司常常是欺詐活動下手的對象。但電子商務和銀行等垂直行業(yè)以外的領(lǐng)域也能夠享受新型驗證方法帶來的優(yōu)點。

對從事電臺廣告的網(wǎng)上分銷商Musicrypt而言,新出現(xiàn)的行為生物識別驗證技術(shù)是這家公司得以迅速發(fā)展的關(guān)鍵。Musicrypt基于Web的技術(shù)向加拿大和美國的無線電臺推銷新的音樂單曲及其他廣告,利用數(shù)字下載方法取代速度較慢、成本較高又不太可靠的實體推銷方法。通過網(wǎng)絡進行推銷還為唱片公司提供了哪些電臺對其音樂感興趣的寶貴信息。

不過,因為這些唱片公司同樣關(guān)注網(wǎng)絡隱私,所以安全對Musicrypt的客戶來說是頭等大事。無線電臺經(jīng)常在新唱片正式發(fā)布之前就能夠欣賞到,所以Musicrypt需要一種方法向版權(quán)所有者確保: 只有授權(quán)人員才能接觸唱片。為此,他們選擇了BioPassword,這項基于軟件的生物識別技術(shù)能夠通過計算機用戶的擊鍵模式來確認其身份。

與其他形式的生物特征識別裝置如拇指紋掃描器相反,BioPassword的擊鍵分析器不需要使用任何特殊硬件。用戶只要多次輸入用戶ID和密碼——這樣公司的軟件就可以研究擊鍵的時間和模式,即可登錄。然后,客戶可以調(diào)整檢測的敏感性,從而消除誤報; 或者放寬要求,允許若干人可以使用同一登錄信息,BioPasswordCTO Greg Wood這樣說。

指紋、面部和虹膜掃描器等比較傳統(tǒng)的生物識別技術(shù)其成本、限制條件及不穩(wěn)定的性能常常讓許多企業(yè)猶豫不決。正因為如此,所謂的行為生物識別技術(shù)——包括擊鍵、鼠標模式和語音分析以及密碼發(fā)問、應答等軟件驗證方法才得以流行起來。

對Musicrypt而言,要是把強驗證令牌分發(fā)給無線電臺的數(shù)千名員工,那么支持起來既不實際,又需要高昂成本。擊鍵特征識別技術(shù)以一種對用戶來說透明的方式,為傳統(tǒng)的用戶名和密碼組合添加了安全性,從而讓這家公司獲得了比提供類似的網(wǎng)上推銷方法但仍依靠單因素驗證來確保安全的公司更明顯的優(yōu)勢,Montgomery說。

生物識別技術(shù)還提供了另一個優(yōu)點,這可能會對唱片行業(yè)及這家企業(yè)帶來更大的影響。

Montgomery說: “唱片公司的主管們想知道誰在無線電臺打開了音樂文件。他們是以流媒體方式收聽音樂,還是下載音樂?如果是下載了音樂,他們下載了多少次?”據(jù)Montgomery介紹,諸如BioPassword采用的生物識別技術(shù)可以確?!懊總€人的行動都有跡可循”。

鏈接二:多種多樣的驗證方法

一系列新技術(shù)為企業(yè)提供了用戶名和密碼之外的諸多驗證方法。

不久前,強驗證產(chǎn)品市場選擇還是少得可憐,相當于“要可口可樂還是要百事可樂?”許多公司只有幾個選擇,包括安全令牌如RSA的備受歡迎的SecurID,以及Axalto和Gemplus等公司內(nèi)置了芯片的智能卡。

對許多公司來說,智能卡和令牌仍是最要緊的東西; 智能卡行業(yè)預計,2007年會成為形勢最好的年份之一。但如今,一度波瀾不驚的用戶驗證技術(shù)市場卻是暗流涌動。

原因何在?因為網(wǎng)絡釣魚攻擊和針對性的“魚叉式網(wǎng)絡釣魚”使得騙子們很容易獲得侵入網(wǎng)上銀行和電子商務網(wǎng)站等敏感系統(tǒng)所需的證書,侵入企業(yè)應用系統(tǒng)就更不用說了。Wi-Fi讓人得以有可能進入防火墻后面的企業(yè)網(wǎng)絡; 而不斷花樣百出的Rootkit手法使得檢測惡意代碼極為困難,以至幾乎不值一提。但不得不提的是: 公鑰基礎(chǔ)設施(PKI)解決方案成本高昂!無論如何,企業(yè)網(wǎng)絡和企業(yè)數(shù)據(jù)方面的混戰(zhàn)已促使行業(yè)迅速發(fā)展,同時促使一批新興公司采用新的方法來解決舊的驗證問題。其中值得關(guān)注的潮流包括:

生物識別技術(shù)。十多年來,生物識別技術(shù)一直被譽為是“下一大熱門技術(shù)”,但最近諸多因素促使企業(yè)紛紛采用這項技術(shù)。聯(lián)想等各大PC生產(chǎn)商已經(jīng)把生物特征掃描器集成到設備當中,而具有USB功能的掃描器成本也更為合理。新一代的行為生物識別技術(shù)也日漸受到歡迎。金融風險管理廠商Fair Isaac最近推出了名為Falcon One for Online Access的一款新產(chǎn)品,它能夠監(jiān)控客戶行為,比如擊鍵和鼠標操作模式。即將成為存儲巨擘EMC旗下一員的RSA在今年4月收購了語音識別技術(shù)廠商: PassMark Security; 另一家行為生物識別技術(shù)廠商: BioPassword聲稱,即使騙子們竊取了你的用戶名和密碼,它的擊鍵分析技術(shù)照樣讓他們無法陰謀得逞。

雙因素驗證。強驗證解決方案面臨的最大難題之一就是,采購及部署額外因素需要不小成本。密鑰卡(key fob)和智能卡容易丟失或者受損,廠商根本沒有什么好的辦法來解決這個問題: 如何管理不同公司的一批令牌。近年來,Diversinet、RSA、Saflink和VeriSign都開發(fā)了能夠以無線方式把令牌發(fā)送到移動電話或者PDA的技術(shù)。

基于風險的驗證。大家都希望加強訪問控制,但不是每個客戶或者每筆交易都有必要使用雙因素強驗證。結(jié)果就是,企業(yè)正在采取存在細微差別的驗證方案: 對高風險、高價值的交易采用強有力的安全; 而對低風險行為采取比較弱的安全。除了RSA和VeriSign外,Entrust和TriCipher等小公司提供的解決方案也結(jié)合了支持雙因素強驗證的功能和軟件驗證方法如密碼發(fā)問/應答,還采用了分析欺詐風險數(shù)據(jù)的軟硬件。

信譽等級服務。由于Rootkit程序、隨看隨下軟件(drive-by download)及其他隱形技術(shù)急劇增多,擁有正確的登錄證書根本不再像以前那樣可以一勞永逸。許多公司還希望監(jiān)控網(wǎng)上行為,以便詳細了解用戶身份、他們的行為,從而防止重大的安全漏洞,哪怕是在用戶已經(jīng)通過了驗證之后。Cydelity、Cyveillance、IdenTrust、RSA和VeriSign等公司正在集成反欺詐、反網(wǎng)絡釣魚數(shù)據(jù)和行為分析結(jié)果,以便發(fā)現(xiàn)受到危急的機器和惡意破壞的員工。(ccw)

發(fā)布:2007-04-22 09:59    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普南昌OA信息化其他應用

南昌OA軟件 南昌OA新聞動態(tài) 南昌OA信息化 南昌OA快博 南昌OA行業(yè)資訊 南昌軟件開發(fā)公司 南昌門禁系統(tǒng) 南昌物業(yè)管理軟件 南昌倉庫管理軟件 南昌餐飲管理軟件 南昌網(wǎng)站建設公司