口令已“死”的困境

2015-08-31 11:34:20 大云网  点击量: 评论 (0)
当今已经是万物互联的社会,身份认证无处不在。无论网站、手机应用、笔记本电脑、汽车、酒店门锁、零售亭、自助取款机,或者游戏主机,安全对所有联网系统来说都是最基本的。一个最典型的例子就是个人身份证,它
 
比如,结构性。共享密钥体系结构涉及发送令牌或一次性密码(OTP)给用户的设备,然后与受保护的应用所产生的令牌进行比对。这一过程倚赖的“对称密钥加密体制”是低级的。因为不管是用户的设备或是应用本身被攻破,共享密钥都能被攻击者获取,也就能产生他自己的正确令牌了。而且,由于用户令牌必须转置或交付回应用进行比对,也就引入了令牌被黑客、恶意软件或中间人攻击拦截到的风险。
 
再比如,用户体验。更换很快就会过期的令牌是很烦人的用户体验,很多用户都会选择用更顺畅的身份验证来代替它。而且,依赖短信的OTP也是不可靠的。终端用户更偏爱方便性而非安全性,这意味着像OTP这种传统双因子身份验证实现手段有可能根本不被使用。对公司和应用而言,传统双因子身份验证等于是将普通用户推出品牌体验之外。
 
另外,传统双因子身份验证方式牵涉到将用户推向第三方应用。通常,这会是一家公司或是在线服务,将用户以无关品牌和用户体验的方式推送至移动应用或硬件。
 
还有应用场景限制。相对登录表单,身份验证的应用更广。无论用户是想授权实时付款、签收包裹、核实身份,或是进入公司管制区域,身份验证都扮演着极为关键的角色。在很多此类场景中,没有表单供你提交类似密码和OTP之类的凭证,因此,也就将此类场景摒除在了传统双因子身份验证的应用范畴之外。
 
最后是成本。很多双因子身份验证解决方案表现出的是有形的花费和维护负担,令只能满足有限应用场景的双因子身份验证解决方案变得不现实。
 
生物识别的致命弱点
 
基于生物特征的生物身份识别技术,虽然有着使用方便,认证唯一可靠等优点,但其致命问题在于一旦被盗用将无法注销。而且,尽管人的生物特征不能改变,但泄露生物特征的途径却很多,一旦被伪造将无法吊销。想象一下,如果一个用户已经在几十甚至是上百个系统用他的指纹或声纹登录,一旦被盗用,该面临何种灾难?这也是生物识别无法大规模普及的重要原因之一。
 
大云网官方微信售电那点事儿

责任编辑:大云网

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞