口令已“死”的困境

2015-08-31 11:34:20 大云網(wǎng)　點擊量：評論 (0)

當今已經(jīng)是萬物互聯(lián)的社會，身份認證無處不在。無論網(wǎng)站、手機應(yīng)用、筆記本電腦、汽車、酒店門鎖、零售亭、自助取款機，或者游戲主機，安全對所有聯(lián)網(wǎng)系統(tǒng)來說都是最基本的。一個最典型的例子就是個人身份證，它

比如，結(jié)構(gòu)性。共享密鑰體系結(jié)構(gòu)涉及發(fā)送令牌或一次性密碼（OTP）給用戶的設(shè)備，然后與受保護的應(yīng)用所產(chǎn)生的令牌進行比對。這一過程倚賴的“對稱密鑰加密體制”是低級的。因為不管是用戶的設(shè)備或是應(yīng)用本身被攻破，共享密鑰都能被攻擊者獲取，也就能產(chǎn)生他自己的正確令牌了。而且，由于用戶令牌必須轉(zhuǎn)置或交付回應(yīng)用進行比對，也就引入了令牌被黑客、惡意軟件或中間人攻擊攔截到的風險。

再比如，用戶體驗。更換很快就會過期的令牌是很煩人的用戶體驗，很多用戶都會選擇用更順暢的身份驗證來代替它。而且，依賴短信的OTP也是不可靠的。終端用戶更偏愛方便性而非安全性，這意味著像OTP這種傳統(tǒng)雙因子身份驗證實現(xiàn)手段有可能根本不被使用。對公司和應(yīng)用而言，傳統(tǒng)雙因子身份驗證等于是將普通用戶推出品牌體驗之外。

另外，傳統(tǒng)雙因子身份驗證方式牽涉到將用戶推向第三方應(yīng)用。通常，這會是一家公司或是在線服務(wù)，將用戶以無關(guān)品牌和用戶體驗的方式推送至移動應(yīng)用或硬件。

還有應(yīng)用場景限制。相對登錄表單，身份驗證的應(yīng)用更廣。無論用戶是想授權(quán)實時付款、簽收包裹、核實身份，或是進入公司管制區(qū)域，身份驗證都扮演著極為關(guān)鍵的角色。在很多此類場景中，沒有表單供你提交類似密碼和OTP之類的憑證，因此，也就將此類場景摒除在了傳統(tǒng)雙因子身份驗證的應(yīng)用范疇之外。

最后是成本。很多雙因子身份驗證解決方案表現(xiàn)出的是有形的花費和維護負擔，令只能滿足有限應(yīng)用場景的雙因子身份驗證解決方案變得不現(xiàn)實。

生物識別的致命弱點

基于生物特征的生物身份識別技術(shù)，雖然有著使用方便，認證唯一可靠等優(yōu)點，但其致命問題在于一旦被盜用將無法注銷。而且，盡管人的生物特征不能改變，但泄露生物特征的途徑卻很多，一旦被偽造將無法吊銷。想象一下，如果一個用戶已經(jīng)在幾十甚至是上百個系統(tǒng)用他的指紋或聲紋登錄，一旦被盜用，該面臨何種災(zāi)難？這也是生物識別無法大規(guī)模普及的重要原因之一。