在线支付、网络游戏、电子商务、云计算 等等, 互联网各种应用服务已经十分丰富,每个网站都在试图聚拢自己的用户群,于是就有了不计其数的"账号"和"密码"。
各种应用对于安全性的要求各有不同。各种服务由于重要性不同,自然对于安全性的要求就不同。如果我的一个经常浏览的论坛账号丢失了,最多 我会郁闷几天,再注册一个就好了,但是如果我的一个网络游戏的账号丢失了,则有可能会损失真金白银。
开放的互联网带来很多好处,同样带来的问题是互联网上的威胁是无处不在的,各种病毒在互联网上到处传播,特别是木马病毒具有很高的隐蔽性,很难防范。用户 经常是访问了一个网站之后就莫名其妙地丢失了很多账号,其实通常都是由于木马的原因。防不胜防。
目前常见的身份认证安全技术有
1、 PKI技术
PKI技术经过很多年的沉淀,已经十分成熟,目前在网上银行领域应用很广泛。举个简单的例子,现在所有网上银行的网站都是HTTPS协议 的,而不是普通的HTTP协议。后面的这个S代表安全,实际上就是采用PKI技术作为支撑的,作为典型应用包括CA证书、USB KEY。
2、动态口令技术
在传统的静态口令技术上进行调整,把用户记忆的口令变成用户持有的设备生成的口令,并且不断变化。这样可以有效避免由于木马病毒等恶意程 序引发的密码丢失问题,因为口令是一次性的,用过之后即使被窃取也没有用了,具体有以下几种:
2.1 矩阵卡技术
这种技术可以说是动态口令技术的一种简化,其基本原理是在一张卡片上预先印刷好一些随机的数字,用户在每次登录时,系统会随机要求用户输 入卡片上的部分数字,而不是全部。这样,就达到了用户这次和下次登录输入的密码内容不一样的效果。
2.2 短信密码技术
用户在登录网站或者交易时候,首先获取一条包含6/8位随机数字的短信,在登录或者交易密码框中输入短信上的随机数字,提交后台进行认 证,这种方式由于其无需携带任何额外的工具被广泛采用。
2.3 动态令牌
硬件形式的,目前最主流的认证方式,基于时间同步,一分钟一个密码,近些年被广泛应用在网上银行,据报道世界500强企业中85%以上采 用此种方式保护其各种应用登录安全。
3.未来发展方向
比较目前各种流行的身份认证技术,都各有优点和缺点:PKI技术成熟,但受到成本和易用性的制约,很难成为大众化的方案;矩阵卡技术只是 一种简化的过渡性产品,基本不予考虑;一次性密码卡技术虽然十分完美,但是几乎一两个月就更换一张卡,比较麻烦。
手机动态口令是一种安装在手机上客户端软件,随着移动互联网的发展以及智能手机的日益普及,能够安装软件的手机越来越多,同时用户也培养了很好使用手机端软件的习惯,同时手机动态口令是一种高安全、低成本、易获取的方案,不难看出,手机动态口令技术是一个未来发展的方向,虽不能说是最完美的解决方案,但手机软件动态口令是最有可能大规模普及的下一代互联网身份认证技术之一。
