强身份认证产品与解决方案
Two factor authentication products and solutions鉴于简单的用户名/密码 的认证方式的已经变得非常不安全了(非常容易被非法截获),所以,美国联邦金融机构检查委员会 (FFIEC) 要求美国金融业必须在 2006 年底之前为网上银行提供双因素强身份认证,这实际上是给各行各业的网上应用指明了一个如何确保用户在线信息安全的技术方向。
目前,各种强身份认证技术纷纷登场,因为使用双因素或多因素强身份认证技术是解决目前网上身份盗窃和在线欺诈的唯一有效手段。综合考虑产品易用性、安全级别、产品费用和技术支持成本等因素后, WoSign 重点向用户推荐两种解决方案:(1) 基于 PKI 技术的强身份认证产品和解决方案;(2) 结合 PKI 技术的 OTP 动态令牌解决方案。
请参考这两种解决方案的演示系统:https://www.wosign.com/LoginDemo/
推荐解决方案之一: 基于 PKI 技术的强身份认证产品和解决方案,产品涉及到用于服务器端的 SSL 证书和用于用户端的客户端证书,以及客户端证书安全载体 —USB Key 。此方式是目前 最可靠的解决方案,所以目前大多数网银系统都是使用此方式。但是,其缺点是产品成本较高和面向最终用户的技术支持成本也较高。
此解决方案涉及到的产品有: 服务器SSL证书、客户端证书、 USB Key 和 超管CA-企业版。
推荐参考文章:
强身份认证方式开始在企业普及应用
可选的解决方案之二:结合 PKI 技术的 OTP 动态令牌解决方案,产品涉及到用于服务器端的 SSL 证书和用于用户端的 OTP 动态令牌 ( 与服务器时间同步的一次性动态密码 ) 。此方式最大的优势是面向最终用户的技术支持成本较低,并且使用简单,容易被大众接受。请注意:我们推荐的可选解决方案是: 结合PKI技术的OTP动态令牌解决方案,也就是说,服务器端一定要部署 SSL 证书,这样才能确保用户输入的一次性动态密码不会被截获。也就是说:仅仅采用 OTP 动态令牌还是不安全的,其动态密码还是有可能被非法截获的,如果服务器端不部署 SSL 证书来加密动态密码的话。
此解决方案涉及到的产品有: 服务器SSL证书、 OTP动态令牌 和 OTP服务器端认证系统。
推荐参考文章:
现有的在线身份认证技术依赖许多因素,但主要可以归纳为三大因素:
(1) 根据你所知道的信息来证明你的身份(what you know,你知道什么),假设某些信息只有你本人知道,如暗号、密码等,通过询问这个信息就可以确认你的身份;
(2) 根据你所拥有的东西来证明你的身份(what you have,你有什么),假设某一个东西只有你本人拥有,如IC卡、 USB Key 、数字证书等,通过出示这个东西也可以确认你的身份;
(3) 直接根据你独一无二的身体特征来证明你的身份(who you are,你是谁),比如指纹、面貌等。
所谓强身份认证就是要求提供以上三大因素的两个或两个以上的因素来证明你的身份,所以又称双因素认证、双因子认证。而目前普遍使用用户名/密码方式属于单因素认证方式,只是简单地依赖一个因素:你知道什么。而当你到 ATM 柜员机上取钱时就是使用双因素认证,即:你知道什么(密码) 和你有什么(银行卡) 。其他双因素认证则注重于你是谁,如生物特征解决方案:指纹扫描识别和声音识别等。然而,实施生物特征解决方案费用高,也不容易管理和大范围的使用,而且还较高的错误识别率。
由于“你有什么”和“你是谁”不适宜在网上实施,所以一些网上应用服务提供商试图让用户知道许多个什么,如多重密码、循环密码等,这些也比单一密码要安全些,但其实并没有增加多少安全。而且,密码越多,用户越记不住,网上应用服务提供商就要花费更多投入来为用户重设密码,也给用户带来了使用上的不便。
实际上,“你有什么”并不意味着一定要物理上“你有什么”,你可以拥有虚拟物品,那就是存储在你的电脑、智能 IC 卡和 USB Key 中的客户端数字证书。客户端数字证书是基于 PKI 公钥基础设施的加密技术的最理想的双因素认证方式,它可以以电子方式发送给用户来提供强身份认证,能保护用户数据的完整性和提供对用户透明登录方式而不会对用户造成任何不便。它可以直接存储在用户电脑上,或为了方便携带,可以存放在智能 IC 卡或 USB Key 上。 USB Key 加客户端证书是目前最可靠、使用最广泛的强身份认证方式。