论文准备好进行更安全的身份验证了吗?请尝试这些替代方案和增强功能,本文是关于方案论文范例与身份验证和*替代方案和尝试方面论文如何怎么撰写.
作者 Michael Nadeau 编译 杨勇
关于使用进行身份验证, 最好的说法不过是——有 总 比 没 有 好. 然 而, 像Equifax 这样引起普遍关注的泄露事件已经暴露了数以百万计的和用户 ID,人们普遍质疑这种稍有些赞美的说法.如果用户认识不到他们有些已经被泄露了,他们还会沉浸在虚假的安全感中,而这是非常危险的.
仍然依赖身份验证方式来访问重要客户和企业数据的公司同样如此.只采用的保护方式永远失效了,任何依赖这种方式的企业都将其业务和声誉置于危险之中.即使避免了泄露事件,但由于 Equifax 事件,人们也越来越认识到保护有很多不足.如果这是您保护客户数据所采用的方式,那么,客户会再三考虑能不能信任您.
双重身份验证(2FA)、多重身份验证(MFA)、行为分析和生物特征识别等替代方案已经出现一段时间了,但采用率却很低.日益恶化的威胁情形,以及越来越强的用户意识减少了实施这些替代方案的障碍——障碍主要来自用户抵制、复杂性和投资回报等因素.
所有这些替代方案都有可能被攻破,有的要比其他方 式 更 容 易 攻 破.IBM 的X-Force 红色安全测试部高级管理顾问 Dustin Heywood指出: “所有身份验证方式,无论是指纹、 人脸、 虹膜扫描,所有这些都被分解成比特和字节,它们实际上是共享的秘密信息.”既然这些共享的秘密信息像一样以数字方式存储,那么从理论上讲完全可以窃取它们.不同之处在于,这做起来要难一些.
其目的是使犯罪分子很难获取这些信息,以至于大多数网络罪犯分子不得不去寻找其他更容易的攻击方式.很多企业根据风险、用户考虑和被保护的数据的价值,组合使用了多种身份验证方法, 以达到合理的安全期望.
用户认识到了强身份验证方式的价值
如果用户抵制或者无动于衷,那么企业和面向用户的网站采用的最好身份验证计划就可能会失败.最近引人注目的泄露事件毕竟还是有一些积极的结果——用户开始认识到强身份验证的价值,似乎更愿意接受一些由此带来的不便.
独立安全研究员 JessyIrwin 认为这种趋势开始于2015 年初的 Anthem 泄露事件.“用户担心医疗信息被泄 露.” 而 对 于 Equifax,这类担心还包括财务账目.
虽然用户更愿意接受更复杂的身份验证方式来保护医疗和财务数据,但并不是所有的服务提供商都提供这类选择.Irwin 表示:“很多银行,因为以前做过类似的工作,认为与账户关联的安全问题是第二个验证要素,但事实并非如此.人们需要额外一层的保护,但却不知道应该打开什么.他们必须求助于客户服务或者客户代表,甚至是供应链,来要求这些功能.”
缺乏要求增加安全层的机制,导致一些企业认为没有客户对此有需求.Irwin 表示:“有很多工作要做.人们知道自己有需求,但不知道到底需要什么.当他们知道自己需要什么时,有时候却没有打开某些功能的选择.这真是一场艰苦的战斗.”
对 竞 争 的 担 忧 阻 碍 了一些企业实施不同的身份验证过程,因为这些过程可能会导致难以使用他们的服务.智能身份验证提供商SecureAuth 身份策略高级副总裁Robert Block表示: “当涉及到用户时,他们非常害怕会影响到用户体验.很大一部分原因是缺乏了解,实际上只要满足合适的环境变量, 总是有影响不大的方法. ”
Block 说:“用户变得越来越聪明了. 他们会问, ‘如果我和你做生意,你能保护我 的 凭 证 吗? 你 提 供 2FA吗?如果是的话,我对这些方法有多少控制权?’由于泄露事件的影响,如果还认为用户是懒惰的,不希望自己的用户体验被打断,那么这种想法是错误的.”
实现更强身份验证的难点不在于技术. Block说: “这涉及到人、过程和文化等因素.您能在周围找到合适的人来决定哪些风险是可以接受的吗?我们要支持多少要素,怎样把这些要素呈现给最终用户?”
为 能 够 让 用 户 接 受,Block 强调了灵活性.“无论您能承受什么样的风险,都应该尽可能的灵活, 这样,最终用户会觉得一切都在他们的掌控之中.”
只使用身份验证方式的危险之处
如果只使用,那么对于来说,或者和用户 ID 易如反掌.即使您听从建议,保护好这些——也会如此.Irwin说:“有很多安全需求使得变得更脆弱,而不是更强.很多人认为,如果他们经常性地更改,那这就是良好的安全行为.其实不是.很多生成强的规则反而不如以前了.这让人更容易.”
Irwin 所指的规则已经被广泛使用了,它是基于国家标准与技术研究所(NIST)等标准组织早期的一些建议.NIST 最近修订了这些规则,以便更好地符合当今威胁格局的现实,但大多数企业尚未采用这些规则.
Heywood 说:“的问题不在于本身.它在某些方面实际很难处理.问题的关键在于是一种共享的秘密信息.人们在网站之间重复使用,所以您不仅依赖于您正在使用的网站的安全性,而且还依赖于您曾经使用过的每一个网站的安全性.秘密信息总是要被转换的.”
是使用很难进行逆运算的哈希算法进行转换的.Heywood 说,太多的网站使用的哈希算法已经有几十年的历史了,而且曾被攻破过.使用目前的高速计算机,比较容易对的进行哈希逆运算.“现在有工作框架,可以利用这些框架,快速验证这些凭证能否用于其他被攻破的网站,甚至实时验证能否用于一些其他网站.”
为最大限度地降低被攻破的风险,越来越多的人使用保管库,借助于伪随机发生器,使用很长的字符串对进行加密和随机化处理. Heywood说: “一些伪随机发生器由于实施不当而被攻破了,但总比没有好.”
双重身份验证:向前迈出的一小步
要 求 用 户 除 了 密 码 之外还要提供其他一些识别信息——这已成为安全验证的最低标准.这些信息通常只有用户自己知道,用于必须回答的安全问题,例如,“您的第一只狗叫什么名字”.也可以是通过短信发送到手机或者令牌设备(或者用户拥有的设备)上的验证码.
这里的“安全”是一个相对的概念.在 Equifax 泄露事件中,一些用户的安全问题的答案也被攻破了.稍加思索,就很容易发现一些,比如母亲婚前的名字或者某人出生的城市等.
通过短信发送验证码也好不到哪里.事实上,新的NIST 指南警告说,能够拦截这些验证码.这在一定程度上是由于 SS7(7 号信令系统)固有的漏洞造成的,这是于 1975 年开发的一个协议,是电话网交换信息的基础.利用这一漏洞的可以访问所有网络流量.
Irwin 说,SIM 卡 劫 持事件也越来越多了. 她说 : “一名社交工程师会给 AT&T 或者 Verizon 客户服务打电话,假装成要安装新电话或者要对帐户进行更改的另一个人.他们现在可以控制设备的身份验证,也能拦截短信.”Irwin 指出,这种攻击的目标是知道的有价值的用户,比如比特币帐户,或者对重要数据有高级访问权限的用户.
使用令牌设备或者显示验证码的令牌智能手机应用程序会更安全一些. Irwin说:“您不必再依赖另一种机制来获得验证码.必须获得您所拥有的特定的令牌,才能去攻击第二个验证因素.这工作量太大了.令牌是传递 2FA 验证码最强、最好的方法.”
对于用户应用程序来说,令牌的问题在于人们拒绝使用它们,因为这需要一台单独的设备和它们自己的应用程序.Irwin 说:“令牌可能还需要一些额外的工作.”她认为,如果用户能更好地理解有什么好处,令牌应用程序供应商使其用起来更方便,那么它们将被更广泛地采用.目前,传递验证码的令牌主要用在企业环境中.
无 论 是 令 牌 还 是 智 能手机,都要求拥有一种设备才能进行访问,这就避免了网络犯罪带来的损害.Edgewise 网络公司联合创始 人 兼 首 席 技 术 官 HarrySverdlove 说:“当知道的唯一方式是拿着一台设备时,这就很难,甚至不可能发起大规模的攻击.”
多重身份验证:如果实施得好,会更强
MFA 背后的想法是让更加难以访问别人的账户.MFA 通常需要一个用户 ID 和,一些您知道的东西,以及您拥有的东西.Heywood 说:“如果已经应用了多重身份验证,而我有你的,那我就会去别的地方——在这些地方,管理员很懒,没有使用多重身份验证机制.MFA 不是什么高招,但是除了专门的攻击者之外,它对于阻止大部分攻击还是非常有效的.”
MFA 通常是一种分阶段的过程,当出现了警报时,会要求用户提供额外的识别要素.它通常与基于风险的身份验证相结合使用. 例如,用户试图从一台新设备登录,或者想访问保护等级更高的区域的情况.Heywood 说:“如果我经常登录看看我的收支情况,我的银行一般不会要求提供第二个验证要素.但如果我想把一千万美元汇到英国,那他们会问我第一个孩子是谁,血型是什么,等等很多问题.”
Block 说, 从 今 年1 月 1 日 到 10 月 5 日,SecureAuth 涉及到的验证尝试中的 88% 都是经由第一个验证要素处理的.他说:“为什么每次都要用第二个验证要素给用户增加负担呢?”
Sverdlove 说:“ 我 们应普及 MFA 的应用.”他认为,最可靠的方案应包括用户知道的东西(、安全问题的答案)、您拥有的东西 (智能手机、 令牌设备) 、您的位置,以及您自己的特征 (生物识别、 行为分析) 等.
社交*登录:可行但有风险
相 对 于 其 他 服 务 网站, 谷 歌、 脸 书、 推 特 和Instagram 这些大型社交媒体网站通常能更好地保护用户 ID 和数据.他们还提供 2FA——至少作为一种选择,并使用分析技术发现可能的非法登录尝试,一旦发现,就会要求提供更多的身份验证信息.
有 了 社 交 账 号 后, 网站和移动应用软件允许人们使用他们的社交媒体帐户进行登录,这通常作为标准验证的选项.用户认为这更多的是为了方便而不是为了提高安全性,但是网站和网络服务提供商获得了某种程度的安全验证手段,否则他们可能没有资源来实现自己 的 目 标.Jim Kaskade 是JanRain 的首席执行官,其客户身份和访问管理系列解决方案包括了社交*登录功能,他说,社交媒体网站和社交*身份服务提供商提供人员和技术来开发强大的身份验证功能,为用户身份提供现代化的保护.他说:“我们站在对安全作出了巨额投资的巨人的肩膀上.
社交*登录的最大风险是,用户访问过的所有网站,比如说谷歌,如果谷歌*被攻破,那么谷歌网站也将被攻破.攻击者可以通过多种方式控制社交*:社交工程、创建虚假的个人资料,或者在暗网上购买用户 ID 和.用户如果打开2FA 等可选验证功能,就能够降低这方面的风险,但很多用户都没有这样做.
Irwin 说:“社交*登录很有趣,因为我们为其打造了很强的 OAuth.他们做两件事:他们将您的社交媒体账户和服务联系起来,而您不希望自己的社交媒体提供商参与其中,特别不希望他们有办法有针对性的投放广告.”她补充说,社交媒体公司已经拥有了太多的个人数据,甚至能够以意想不到的方式使用这些数据.通过社交*登录,这些公司就会有更多的信息,知道您在网上的所有人际关系.她说:“这不太好.有点令人不安.”
Irwin 认为社交*登录在某些情况下也是有价值的. 她 说:“ 对 于 购 物 网站,或者用户没有设置好用户名和的网站,社交*登录替用户完成了他们应做的很多工作.这不错,但是也使社交媒体网站的和用户名变得非常、非常脆弱.”Irwin 说,那些对用户有意见的家庭成员、家庭伴侣或者朋友有时会利用这个用户的社交媒体*登录来制造麻烦.“这可能是灾难性的.”
Kaskade 认为,巧妙实施社交*登录验证的公司能够减轻这种方式带来的相关风险.例如,一家企业可以把社交*登录作为“轻型” 身份验证方案的一部分,例如,使用脸书完成下载受控内容等简单服务,然后要求更高级别的安全登录方式(例如,MFA)才能获取更多的敏感信息,例如,访问您的支票帐户.
他 指 出, 即 使 银 行 和医疗服务提供商也开始在可行的地方使用社交*登录——这些机构在保护个人数据方面受到了严格的监管.他们这样做会让用户感到很方便,减少了所谓的注册和登录疲劳,但他们显然采用了其他身份验证方式来增强社交*登录方式.Janrain的社交*登录产品支持通过设置用户行为规则来增强安全性.Kaskade 说:“如果有人从美国登录,几分钟后又从中东登录了,那就知道要通过简单的规则集来增强 MFA.”
生物特征识别:不像您想象的那么万无一失
术 语“ 生 物 特 征 识别”包括一系列身份验证方法——扫描人的某些物理属性,包括面部、眼睛的虹膜、心跳、静脉图案或者指纹等,以证明身份.这些属性对个人来说是独一无二的,但对于身份验证目的,有利也有弊.
生物特征识别的一个优点是它便于用户使用.通过按压拇指或者扫描面部,用户不用记住或者安全问题的答案,就能使用他们的设备或者服务.生物特征识别的缺点是绝非万无一失.苹果最新的面部识别技术被一张 3D 打印的脸了.不太先进的人脸识别技术被验证过的人的照片愚弄了.
一个人的生物特征数据是以数字档案的方式存储起来的,而这会被窃取.一旦出现这种情况,验证就没有用了.Sverdlove 说:“我不是一个迷,但您可以改变.当指纹被盗,面部信息被盗,DNA 被盗时会发生什么?这些都是一成不变的,也是不可能改变的.”
窃取生物特征识别数据被认为比窃取或者更困难,盗贼要个人生物特征识别数据的风险也很低.如果盗贼以多个个人资料为目标,那么风险就会显著增加.Sverdlove 说:“存储在交易所的数以百万计的指纹将成为攻击目标.一旦被攻破了,就没有任何挽回的余地了.”
Sverdlove 建 议, 企 业不要为生物特征识别数据只建立一个存储库.他说:“从过去的经验中吸取教训:不要把所有的东西都存储在一个数据库中.它会被偷的.”
基于风险的身份验证:不要
、MFA、社交*登录和生物特征识别都把证明身份的责任落在了用户身上.基于风险的身份验证功能支持企业负起身份保证的责任.这不是一个新概念.例如,信用卡发卡机构一直在使用基于风险的分析方法,通过查找异常的交易模式来检测欺诈行为.
设备度量,即行为生物特征识别,是基于风险的一种身份验证方式,旨在消除.软件分析打字模式、与屏幕的交互、设备 IP 地址或者地理位置,把这些数据和行为与特定用户关联起来.这种使用习惯的基本指标信息是通过机器学习随着时间推移而逐步建立起来的——尽管 IP 地址和位置等数据是直接从网络中获取的.
Block 说:“您作为企业可以定义哪些地理位置是可接受的,哪些是不可接受的.我们开始记录您作为一个个体是从哪里来的.我们绘制出您来自哪里,您的设备的浏览器类型,您可能使用的电话号码,等等.”这样,软件能够确定呼叫是否来自某一地区已知的运营商.个人的设备使用习惯、基于风险的身份验证系统相结合,可以做出一个相当准确的决定:是否允许访问而不需要.
Irwin 说:“您的最终用户想,‘我不必再使用了’.这太好了,但是他们放弃了自己的超级私人信息,他们还不知道这些信息非常宝贵.您愿意应用程序提供商知道您是怎样使用手机的,您怎样触摸手机,您什么时候触摸手机,您什么时候点击“是”或者“否”吗?我不希望打着我的名义来采集这些信息.有时这种情况会出现在应用软件里,主要是用于广告目的.”
基 于 风 险 的 身 份 验 证并非万无一失.人们的行为往往是可以预测的,但环境可能会导致变化,从而给欺诈提供了可以利用的伪造的 结 果.Sverdlove 问 道:“如果患了腕管综合症怎么办?行为生物特征识别代表了将要应用的另一种标准.它使用起来不应该是排他的.”Sverdlove 指出,一个人的数字行为指标也可以被下定决心的罪犯分子欺骗或者改变,尽管不太容易.
打 字 或 者 屏 幕 滑 动 模式等指标取决于用户对设备的操作习惯.Block 说:“键盘和屏幕指标存在一些固有的问题,其中一些与应用软件密切相关.”这使得很难理解和解释击键行为.SecureAuth 使用行为指标,但也依赖基于硬件的指标,例如,手机和设备类型.
找到最佳身份验证策略
还没有一种方法可以取代或者加强全系统的身份验证功能.企业应采取基于风险的方法,评估被保护数据的价值、被滥用的可能性, 以及身份被窃取的后果.在大多数情况下,这意味着将身份验证与应用程序或者环境进行匹配,并使用某种类型的 MFA 进行备份.
例如,银行可能要求客户在登录时只提供.这样,客户可以看到他们账户的基本信息.如果客户想要进行交易,银行则会要求更多的身份识别信息,例如验证码.同时,银行使用行为分析软件查看会话过程中的使用模式和设备指标是否与该客户相关信息相匹配.如果某些参数与预定参数不符,会要求进一步的身份验证,或者拒绝和限制访问.
Block 说:“我们认为,在每一个身份验证点,都应该预先进行一些风险分析检查,帮助您确定这个有效的用户身份是否足够可信,可以允许或者拒绝其访问,或者使用另一个验证要素对其进一步进行验证. ” 他补充说,SecureAuth 的一些以消费者为中心的客户正朝着这个方向发展,但整个行业还没有这样做.
大多数专家都认为不会很快消失,但确实有机会能够减少人们需要管理的数量,企业系统尤其如此.Block 说:“ 我 们 已 经看到,企业要实行他们所谓的无,而我要说是减少对的依赖.如果他们的员工现在要管理 20 个不同的,也许今后他们管理 5个就可以了,其余的都是通过一些其他的基本身份验证措施来进行管理的.”
Michael Nadeau 是 CSO在线的高级编辑.他是杂志、书籍和知识库出版商和编辑,帮助企业充分发挥其ERP 系统的优势.
原文*:
http://www.csoonline.com/article/3237827/p a s s w o r d - s e c u r i t y /ready-for-more-secure-authentication-try-these-password-alternatives-and-enhancements.html
汇总:本文是适合不知如何写身份验证和*替代方案和尝试方面的方案专业大学硕士和本科毕业论文以及关于方案论文开题报告范文和相关职称论文写作参考文献资料.
参考文献:
1、 美光推出安全NOR闪存解决方案以加速和验证边缘智能 本报讯 11月14日,美光科技股份有限公司推出其新型MT25Q NOR闪存,该闪存基于Authenta技术,提供对内容和命令的验证,以实现芯片级的设备保护功能 额外的防御措施将增强物联网设备的可信度,.
2、 身份识别联合双向核对在儿科住院患儿安全管理中的应用 【摘 要】目的观察身份识别联合“双相核对”在儿科住院患儿安全管理中的应用效果 方法对某三甲医院儿科住院患儿实施身份识别联合“双向核对”前后护理安全管理质.
3、 青莲云技术为本,共建IOT生态安全 伴随万物互联的发展、智能设备的增多,物联网安全成为诸多家电企业关注的重点,尤其是用户隐私和数据泄露的隐患已经成为不容忽视的问题 2018 年8月16 日,针对物联网安全的痛点,青莲云在深圳发布了&ld.
4、 全产业链携手全方位保障用户饮水安全 家庭用水质净化市场发展迅猛,2017年,中国净水产业又走过精彩的一年 这一年,营销、渠道、模式以及服务都有了新的变化,这种变化较之过去更为复杂,同时,也意味着净水产业不断升级,但也出现了一些有待解决的.
5、 信息安全管理回顾和述评 谢宗晓,王兴起摘 要 信息安全管理是图书馆开展各类服务活动的保障和基础,极为重要 文章依据价值空间理论对现有的信息安全管理文献进行回顾与述评,结果发现(1)概念化研究文章较少,以对成熟的概念框架整合和.
6、 云计算环境下数字图书馆虚拟化安全问题和 摘要分析云计算环境下数字图书馆的特点,归纳了云计算环境下数字图书馆虚拟化安全问题,阐述了云计算环境下数字图书馆虚拟化安全问题的解决对策 关键词云计算数字图书馆虚拟化安全数据管理分类号G250 761 .