个人用户信息安全解决方案
个人信息安全的唯一可靠的解决方案是使用单位数字证书来登录需要用户名/密码验证的所有网上应用。特别强烈推荐使用硬件USB Key 来作为单位数字证书载体,真正可以做到万无一失!
相信您一定知道这句话:“ 在互联网上,没有人知道你是一只狗!” "On the Internet, Nobody Knows You're a Dog.",这句话源自1993年《纽约客》杂志《New Yorker》刊登的一副漫画,如下图示:
这是迄今为止对互联网最精辟的概括和最流行的一句话,从另一个侧面来理解说明了 在互联网上很难识别真实身份,这就给犯罪分子提供了可乘之机,使得现在的互联网是越来越不安全,但是人们又越来越离不开互联网了,怎么办?如何解决用户的个人信息安全问题?
在现实世界里,每个人都有一个独一无二的物理身份,通过人工查验身份证和护照等证件和核对照片就可以核实真实身份,但有数字网络世界中,如何保证以数字身份进行操作的操作者就是这个数字身份的合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个非常重要的问题。
如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份 (what you know) ,假设某个信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份 (what you have) ,假设某一个东西只有某个人有,比如身份证、护照、印章等,通过出示这个东西也可以确认真实个人的身份;三是直接根据你独一无二的身体特征来证明你的身份 (who you are) ,比如指纹、面貌等。
相应地,数字网络世界也基本上是采取与现实世界相同的三种方式,而用户名 / 密码是最简单也是最常用的身份认证方法,它是基于“ what you know ”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获,这两种手段可以截获目前所有基于用户名 / 密码方式的身份认证 ( 如果服务器不部署 SSL数字证书(SSL证书)的话 ) 。
现在,各种网上应用都需要用户名和密码,有些重要应用如网上银行、网上证券、网上购物以及网络游戏的帐号密码更为重要,一旦泄密,则会有金钱的损失,这些应用都需要身份认证,而 现在几乎所有网上应用都依赖于 简单的 密码 认证 ,这使得破解密码的收获和诱惑力也越来越大。现在,已经非常容易地在互联网上找到和下载一个密码破解软件,使得 6 位数的密码只需 30 分钟就可以破解,而 8 位数的密码也只需要 6 个小时。 因此用户名 / 密码方式一种是极不安全的身份认证方式,可以说基本上没有任何安全性可言,所以说:重要的应用绝对不能是否简单的用户名 / 密码认证机制,哪怕是采取使用什么软键盘或安装安全控件方式,都是不可靠的,建议用户不要使用此类重要网上服务 ( 如果不是使用数字证书的话 ) 。
电子邮件人们的日常通信中越来越重要,不管是个人通信还是企业通信,使得电子邮件的保密管理也越来越重要,因为电子邮件从用户的电脑发出到接收者的电子邮件服务器是经过公网以明文文本方式传输的,凡是在邮件传输过程中经过的任何环节 ( 服务器、路由器及其他网络设备 ) 都有可能、也都可以得到您的邮件明文信息,而且几乎所有邮件系统都允许接收者把收到的电子邮件转发给任何第三方而没有任何审计。 现在的黑客和不道德的相关服务提供商就是通过这些手段来获得您的个人机密信息 ( 如手机号码、家庭住址、住宅电话、银行卡信息、各种密码等等 ) ,如果您没有单位数字证书, 千万千万不要 通过电子邮件发送任何您认为是机密的信息,当然也不能通过短信发送,只能是电话语音告之!!!现在,已经有不少利用电子邮件诈骗的犯罪案例发生,因为现在个人电子邮件帐号一般都是公开的,犯罪分子非常容易得到,也非常容易伪装成“李鬼”来骗人钱财。
三、唯一的万无一失的解决方案是使用全球通用的单位数字证书根据以上分析,个人信息安全面临的问题主要有两个:一个是登录各种网上应用的真实身份认证问题 ( 绝对不能使用简单的用户名和密码机制 ) ,另一个是电子邮件保密问题和电子邮件发送者的真实身份问题。解决以上两个重大信息安全问题的唯一可靠的解决方案是被多年来的实践证明是有效的基于 PKI( 公钥基础设施 ) 的数字证书解决方案。
(一) 使用单位数字证书作为个人在数字网络世界的唯一身份认证证明来登录各种网上应用和安全访问其他网络资源。
我们的解决方案是为个人颁发全球通用的数字证书用于数字网络世界的个人通行证,数字证书采用 1024 位的 RSA 加密算法和 3DES/RC2 算法以及 MD5/SHA1 签名算法来实现数据加密和数字签名,是目前市场上久经考验的最安全的解决方案。单位数字证书申请过程极为简单,用户可以自己的选择各种不同的身份验证手段,可以是简单的电子邮件确认,也可以是电子邮件和电话或短信双重确认,也可以是电子邮件和电话或短信和身份证扫描件三重确认,通过不同的验证手段会明确地写在数字证书信息中。
而数字证书的生成过程操作也非常简单,用户只有在WoSign客户端数字证书在线申请页面上填写姓名和email等信息后提交即可,用户可以选择是在用户电脑上还是在 USB Key 硬件上生成数字证书密钥对 ( 公钥和私钥 ) ,一旦密钥生成后,系统会自动在电脑上或 USB Key 上保存好私钥,而 WoTrust 会在公钥上数字签名,为用户的数字证书提供公证服务证实其真实身份, WoSign 签名后会自动把用户的数字证书正确地安装在用户的操作系统、浏览器和电子邮件软件 Outlook 中,用户就可以使用了,而整个过程在 1-3 分钟中内完成。
从数字证书的生成过程可以看出:
CA(WoTrust) 所起的作用就是以权威的第三方为用户的数字证书公钥数字签名,证明数字证书拥有者的合法身份,就象现实世界的身份证明公证和签字公证一样, CA 就等同于公证处,而 CA 在数字证书上的签名就等同于公证处出具的带有需要证明身份的原件和签名原件的公证书。
WoTrust 颁发的全球通用的单位数字证书由于其根证书已经预埋在操作系统和其他通用软件中,所以,用户使用起来非常方案,而且用户在使用时不会提示什么“该证书为您不信任的机构颁发”之类安全提示框。更重要的是:当使用WoTrust的单位数字证书向世界各地的朋友发送加密电子邮件和数字签名时对方的系统都自动支持。
有两个地方可以保存单位数字证书 ( 公钥和私钥 ) ,一个是个人电脑,一个是 USB 型硬件数字证书设备,我们推荐使用 USB Key 硬件数字证书,因为其密钥对生成、存储和加密运算都在外接的硬件内完成,不会把在用户电脑上留下任何可能被窃获的可能,同时访问 USB Key 型硬件数字证书时还需要输入 PIN 码 ( 可设置允许几次输入错误,如最多 3 次, 3 次不对就锁死 ) ,需要使用时插入 USB 口,不使用拔下随身携带,就象现实世界的保险柜一样,从而真正做到了万无一失。而保存在个人电脑上,即使有 PIN 码保护,但还是有被非法窃取的可能,尽管可能性不大。使用电脑保存数字证书方式时,操作系统允许第一次使用时备份整个数字证书 ( 公钥和私钥 ) 文件,请一定要备份到软盘或光盘上,并放在一个物理上安全的位置,而不要把备份文件放在电脑中。
现在,您拥有了单位数字证书,这样,您就可以用它来作为登录和注册各个网上服务的身份验证证明了,您只需把 USB 型硬件数字证书设备USB Key插入电脑中,点击登录按钮就实现了安全快速登录,再也无需记住许许多多的用户名和密码了,就象现实世界的回到家,拿出钥匙开门一样安全方便。现在,已经有许多网站都支持 USB key 的快速安全登录和快速安全注册(只需点击注册按钮即可),为了让您有一个感性认识,您可以使用您已经购买的 U-Cert 数字证书,或 下载 和安装一个仅供公共测试登录认证用的数字证书来快速登录以下测试网站: https://www.wosign.com/LoginDemo/,左边为不需要输入密码的数字证书登录方式,中间为需要输入密码的数字证书登录方式,而右边为传统的基于用户名/密码的登录方式样板(不能使用),在您没有安装数字证书之前,您是无法登录左边和中间的要求数字证书认证的登录方式的。一旦有了客户端数字证书,则可以实现一键式安全登录了,您会发现您的密码烦恼真的一去不复返了,您真的可以轻松地放心地安全地享受网上生活了!
(二) 使用单位数字证书来加密个人电子邮件通信和电子邮件的数字签名来确保是真实的您在与对方实现安全保密通信。
一旦成功申请单位数字证书,您就可以使用 Outlook 来进行加密个人电子邮件通信和电子邮件的数字签名,系统已经自动在 Outlook 中正确设置,发送电子邮件时只要接收方也拥有全球通用的个人数字证书,双方已经交换了对方的公钥,双方就可以安全地放心地发送加密电子邮件了,而不用担心没有加密的电子邮件的明文传输的泄密可能。而不管电子邮件的接收方是否有全球通用的个人数字证书,也不管他 / 她是全球哪个地方的人,他 / 她都可以看到您发电子邮件的数字签名,让对方放心地确认此封电子邮件确实是您发出的。
拥有单位数字证书,就能让接收方确认此电子邮件真正是您“李逵”本人发送的,而不是声称的“您”“李鬼”发送的。拥有“超快单位数字证书”,您就可以加密您的任何个人通信,包括电子邮件、个人信息、法律文件、金融记录、公司机密信息等,确保一切机密信息是先加密后再在互联网上传输的,也可以使用数字证书安全登录各种网上应用,确保确实是您在使用您的在线应用。
相信您对单位数字证书用户有了一个大概的认识,请选购 WoSign个人证书和单位证书。
请注意: WoSign已于2007年3月20日推出了完全免费的全球通用的个人证书, 欢迎申请 。