雙因素認證比密碼高一籌

1、■責(zé)任編輯／龐有為pyw@ccu.com.cn美術(shù)編輯／陳靜47安全Security采購與實施第11期2005.3.28雙因素認證：比密碼高一籌日前，第十四屆RSA信息安全大會在美國舉行。據(jù)統(tǒng)計，大約有13000名安全領(lǐng)域的專家參加了這一盛會，比2004年增長了30％。思科系統(tǒng)公司CEO約翰.錢伯斯和微軟創(chuàng)始人比爾.蓋茨對信息安全未來的發(fā)展趨勢做了主題演講。在本次大會上，身份認證的安全性成為一個熱點話題。密碼是脆弱的微軟創(chuàng)始人比爾.蓋茨

2、在RSA大會上說：“安全是微軟的首要任務(wù)之一，并且它將是被保留的一個，因為安全是一件讓我們覺得必須要做對的事情，這樣我們才可以推出其它更加強大的產(chǎn)品。”比爾.蓋茨認為，授權(quán)和訪問控制的安全性現(xiàn)在越來越受到重視。組織在不斷加強系統(tǒng)安全性的同時，密碼卻成了薄弱環(huán)節(jié)，這是因為人們在許多地方都使用相同的密碼。所以，必須要加強身份認證的管理，確保系統(tǒng)所有的資源都實施了適當(dāng)?shù)脑L問控制機制。蓋茨說：“間諜軟件和惡意軟件的危害在去年不斷上升，目前有88

3、%的病毒事件是由于電子郵件導(dǎo)致的。身份認證的管理越來越復(fù)雜，保證密碼的安全變得越來越困難，因此，需要有一個單獨的引擎來管理身份認證?！盧SA信息安全公司的CEOArt認為，安全行業(yè)正在突飛猛進地發(fā)展，以至于不能有片刻的松懈。他說：“間諜軟件和更加高級的惡意軟件，已經(jīng)使許多用戶的密碼變得非常脆弱。結(jié)果就是在有些地方，用戶使用互聯(lián)網(wǎng)的信心不足?！彼f：“身份認證是任何交易中可信的基礎(chǔ)，現(xiàn)在我們正處在一個十字鏈接由于需要用戶身份的雙重認證，雙

4、因素認證技術(shù)可抵御非法訪問者，提高認證的可靠性。簡而言之，該技術(shù)降低了電子商務(wù)的兩大風(fēng)險：來自外部非法訪問者的身份欺詐和來自內(nèi)部的更隱蔽的網(wǎng)絡(luò)侵犯。下面以雙因素動態(tài)身份認證為例，介紹雙因素認證的解決方案。一個雙因素動態(tài)身份認證的解決方案由三個主要部件組成：一個簡單易用的令牌，一個功能強大的管理服務(wù)器以及一個代理軟件。1、令牌令牌可以使用戶證明自己的身份后獲得受保護資源的訪問權(quán)。令牌會產(chǎn)生一個隨機但專用于某個用戶的“種子值”，一般每60秒

5、該“種子值”就會自動更新一次，其數(shù)字只有對指定用戶在特定的時刻有效。用戶的密碼＋令牌的隨機“種子值”，使得用戶的電子身份很難被模仿、盜用或破壞。2、代理軟件代理軟件在終端用戶和需要受到保護的網(wǎng)絡(luò)資源中間發(fā)揮作用。當(dāng)一個用戶想要訪問某個資源時，代理軟件會將請求發(fā)送到管理服務(wù)器用戶認證引擎，認證通過后放行。3、管理服務(wù)器管理服務(wù)器將一個性能卓越的認證引擎和集中式管理能力結(jié)合在一起。當(dāng)管理服務(wù)器收到一個請求時，它使用與用戶令牌一樣的算法和種子

6、值來驗證正確的令牌碼。如果用戶輸入正確，用戶即可訪問，否則將提醒用戶再次輸入。如果三次輸入均告錯誤，則該用戶被吊銷使用權(quán)，直到管理服務(wù)器的管理員恢復(fù)其權(quán)限。雙因素認證的解決方案文本刊記者龐有為路口，我們必須從單一的產(chǎn)品部署，轉(zhuǎn)向全面的互聯(lián)網(wǎng)部署。”雙因素認證是安全的現(xiàn)在，雙因素認證的安全性正被越來越多的用戶認識到，這些認證設(shè)備包括令牌、生物特征、智能卡或其它設(shè)備。有關(guān)專家認為，利用雙因素認證設(shè)備，可有效地降低網(wǎng)絡(luò)釣魚事件的發(fā)生，從而可以

7、避免用戶“自愿”向一個偽造的網(wǎng)站提供自己的用戶名和訪問密碼。許多專家認為，由于在互聯(lián)網(wǎng)上缺乏信任，才導(dǎo)致電子政務(wù)和電子商務(wù)的發(fā)展緩慢。但是，現(xiàn)在這個問題可以通過電子身份認證來解決。RSA信息安全公司CEO說：“在公眾機構(gòu)和公司計劃通過他們的網(wǎng)絡(luò)進行電子商務(wù)交易之前，電子身份認證是一個必須的且非常重要的環(huán)節(jié)。”隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，個人的身份識別問題日益受到重視。這不僅僅是由于網(wǎng)絡(luò)安全問題的日益嚴重，更是因為這是決定網(wǎng)上交易能否達成的關(guān)鍵

8、。如何識別某人的真實身份，進而賦予其相應(yīng)的權(quán)限，從而允許其完成一定的操作，已經(jīng)成為目前安全領(lǐng)域中迫切需要解決的問題。雙因素身份認證技術(shù)應(yīng)運而生，通過雙因素身份認證技術(shù)，可以識別人的真正身份，從而保護客戶以及員工的重要電子信息的安全。RSA信息安全公司北亞區(qū)董事總經(jīng)理馮滿亮認為，雙因素身份認證技術(shù)并沒有改變用戶使用密碼的習(xí)慣，用戶通過輸入密碼和令牌驗證碼可以保證身份的安全，而且會感到使用很方便，這也是雙因素身份認證很人性化的地方。那么，企

9、業(yè)會不會放棄密碼呢？馮滿亮認為，“密碼永遠不會消失”。在RSA大會上很多專家也同意這種看法，對一些低安全風(fēng)險且具有密碼保護功能的應(yīng)用來說，密碼不會消失。有人認為，在這種情況下，沒有必要使用更好的東西來替換密碼。什么是雙因素認證一般的狀況下，用戶通常使用的網(wǎng)絡(luò)登錄辦法為：用戶名稱＋密碼。在密碼為靜態(tài)的狀況下，將會產(chǎn)生某些問題，比如為了維護密碼安全性，必須嚴格規(guī)定密碼的長度、復(fù)雜性（例如：中英文數(shù)字夾雜，大小寫間隔，長度須超過8個字符以上）

10、及定期更換的頻率。用戶為了方便記憶，常常習(xí)慣使用特殊的數(shù)字，例如家人的生日、自己的生日、身高體重、電話或門牌號碼等，此種方法極不安全。只要利用黑客工具，如字典攻擊法等便能在短時間內(nèi)將密碼破解，甚至只要有人在身后窺視便可探知正在鍵入的密碼，所以靜態(tài)密碼有很大的安全隱患。目前絕大多數(shù)的網(wǎng)絡(luò)服務(wù)，例如電子信箱、網(wǎng)上銀行等，大都通過靜態(tài)密碼來進行身份認證。大多數(shù)人都不懂得如何妥善管理自己的密碼，進而遭到數(shù)據(jù)甚至財物上的損失。因此，我們需要采用一

11、套更安全的身份認證方式，這就是目前被認為最安全的雙因素認證機制。雙因素是密碼學(xué)的一個概念，從理論上來說，身份認證有三個要素：第一個要素（所知道的內(nèi)容）：需要使用者記憶的身份認證內(nèi)容，例如密碼和身份證號碼等。第二個要素（所擁有的物品）：使用者擁有的特殊認證加強機制，例如動態(tài)密碼卡，IC卡，磁卡等。第三個要素（所具備的特征）：使用者本身擁有的惟一特征，例如指紋、瞳孔、聲音等。單獨來看，這三個要素中的任何一個都有問題?！八鶕碛械奈锲贰笨梢员槐I

12、走；“所知道的內(nèi)容”可以被猜出、被分享，復(fù)雜的內(nèi)容可能會忘記；“所具備的特征”最為強大，但是代價昂貴且擁有者本身易受攻擊，一般用在頂級安全需求中。把前兩種要素結(jié)合起來的身份認證的方法就是“雙因素認證”。雙因素認證和利用自動柜員機提款相似：使用者必須利用提款卡(認證設(shè)備)，再輸入個人識別號碼(已知信息)，才能提取其賬戶的款項。名詞解釋48■責(zé)任編輯／龐有為pyw@ccu.com.cn美術(shù)編輯／陳靜安全Security采購與實施第11期20

13、05.3.28記者：身份認證的重要性已經(jīng)被越來越多的用戶認識到，這個領(lǐng)域的市場增長率有多高？身份認證會有哪些新的應(yīng)用？馮滿亮：根據(jù)IDC的報告，亞太區(qū)(不包括日本)電子身份認證安全的支出預(yù)計在2003年至2008年期間，每年會以21%的增長率上升。根據(jù)IDC的市場報告，到2008年在電子身份認證方面的支出將達到40多億美元。去年，RSA信息安全公司北亞區(qū)的增長率超過了50％，而中國地區(qū)的增長率超過了100％，今年預(yù)計增長率還會超過100

14、％。在應(yīng)用方面，韓國電信公司和我們合作，在韓國推出了第一個雙身份認證B2C的市場業(yè)務(wù)。韓國的B2C用戶已經(jīng)可以在手機上安全地進行股票買賣和玩網(wǎng)絡(luò)游戲了。今年，在中國也會有類似的B2C身份認證業(yè)務(wù)推出。RSA信息安全公司北亞區(qū)董事總經(jīng)理馮滿亮現(xiàn)場訪談3月21日，SafeNet公司在北京公布了第二次年度全球密碼調(diào)查的結(jié)果。此次調(diào)查共收到全球有效調(diào)查問卷近3000份，調(diào)查結(jié)果表明，僅依賴于密碼無法提供足夠的安全。無論員工是把密碼記錄下來，還是

15、因為常常忘記密碼而求助于公司內(nèi)部的服務(wù)中心，公司都可能降低工作效率。調(diào)查結(jié)果顯示：◆50%的員工仍將他們的密碼記錄下來；◆超過13的被調(diào)查者與別人共享密碼；◆超過80%的員工有3個或更多密碼；◆被調(diào)查者使用密碼訪問越來越多的應(yīng)用程序：67%訪問5個或5個以上，另有31%訪問9個或更多；◆47%的被調(diào)查者每年至少必須重設(shè)一次密碼。組織的安全政策在所有被調(diào)查的組織中，68%的組織已經(jīng)在一年前，通過要求更長或更復(fù)雜的密碼來增強了其安全政策。（

16、見圖表一）調(diào)查還顯示，人們越來越趨向于密碼無法提供足夠的安全使用更加復(fù)雜的密碼。這可以通過兩種方式來衡量——要么是采用更多字符的密碼，要么是使用包括字母數(shù)字組合的密碼。（見圖表二）員工的密碼行為考慮到全部被調(diào)查者中有47%使用5～10個密碼訪問業(yè)務(wù)應(yīng)用程序，隨著密碼頻繁更換，員工將密碼記錄下來或者由于密碼太復(fù)雜而忘記密碼的可能性急劇上升。在德國，使用9個密碼或更多字符密碼的員工數(shù)量增加了5個百分點，達到了18%。利用上述結(jié)果得出的最糟糕

17、的情況是，一個員工可能使用10個密碼，每個密碼含有8個或更多字符，每年至少改變7次。當(dāng)被直接問到他們是否曾經(jīng)與別人共享密碼時，從未與別人共享過密碼員工的數(shù)量增加了6個百分點，達到了65%；曾經(jīng)與別人共享過密碼的員工下降了6個百分點，降到了35%。聲稱鏈接使用密碼的一般策略密碼是一種用戶身份驗證方法，并因此確定對信息處理設(shè)施或服務(wù)的訪問權(quán)限。建議所有用戶：◆保證密碼安全?！羧绻荒馨踩４?，應(yīng)避免在紙上記錄密碼?！糁灰雄E象表明系統(tǒng)或密碼

18、可能遭到破壞時，應(yīng)立即更改密碼?！暨x用高質(zhì)量的密碼，最少要有6個字符：1)密碼必須便于記憶。2)不應(yīng)使用別人通過個人相關(guān)信息（如姓名、電話號碼、生日等）容易猜出或破解的密碼信息。3)不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母?！舳ㄆ诟拿艽a，或根據(jù)訪問次數(shù)更改密碼，避免再次使用舊密碼或循環(huán)使用舊密碼?！羰状蔚卿洉r應(yīng)更改臨時密碼。◆不要在任何自動登錄程序中使用密碼?！舨灰蚕韨€人用戶密碼?！粲脩粜枰L問多項服務(wù)或平臺時，要

19、采用多個密碼。由于密碼過于復(fù)雜而無法記憶，總是將密碼記錄下來的人員數(shù)量上升了2個百分點，從8%上升到了10%。（見圖表三）當(dāng)被問到是否由于忘記或錯誤而重新設(shè)置密碼時，9%的員工表示他們曾重設(shè)過密碼3～4次，另有3%表示重設(shè)過密碼5～6次。在2003年，56%的被調(diào)查者從未重新設(shè)置過密碼，而在2004年，這一比例為53%。對組織信息安全產(chǎn)生的結(jié)果此項調(diào)查說明各個組織仍然面臨著嚴峻的安全問題。根據(jù)統(tǒng)計，在擁有1000名人員的組織，其中有50

20、0人會將密碼記錄下來，其中會有350人與他人共享密碼，47%也就是470名員工每年至少重新設(shè)置一次密碼。每次重新設(shè)置密碼的估計成本按照30～50美元計算，公司最少得支出15000美元。改變密碼次數(shù)2004年（％）2003年（％）增長率（％）3～423%22%1%5～615%14%1%=730%27%3%結(jié)論：說明大部分組織對于與密碼相關(guān)的安全問題更加敏感。圖表一密碼字符數(shù)及組合形式2004年（％）2003年（％）增長率（％）=6個字符—