omniture

單獨(dú)認(rèn)證問題不再能夠確保用戶安全

2013-01-07 13:53

 

由于攻擊者現(xiàn)在只需要利用搜索引擎、社會(huì)化網(wǎng)站或者網(wǎng)絡(luò)釣魚攻擊就可以很容易地獲得所需要的答案,這導(dǎo)致服務(wù)提供商用來確認(rèn)用戶身份的驗(yàn)證問題再也不能單獨(dú)用于帳戶安全保障領(lǐng)域了。業(yè)內(nèi)觀察家指出,正確的方式應(yīng)當(dāng)是將驗(yàn)證問題作為多層認(rèn)證策略的組成部分繼續(xù)使用。

 

格林阿姆解決方案的首席執(zhí)行官約瑟夫·斯坦伯格指出,由于使用移動(dòng)設(shè)備上網(wǎng)現(xiàn)在已經(jīng)變得非常容易,并且越來越多的數(shù)字原生代都開始選擇在網(wǎng)上張貼自己的個(gè)人資料,這導(dǎo)致網(wǎng)絡(luò)以及網(wǎng)站僅僅使用訪問用驗(yàn)證問題已經(jīng)不再能夠達(dá)到保障安全的效果了。

 

斯坦伯格進(jìn)一步解釋說,這種情況之所以會(huì)出現(xiàn)的根本原因就是,攻擊者現(xiàn)在只要通過谷歌進(jìn)行簡(jiǎn)單搜索,就可以得到大量曾經(jīng)被認(rèn)為屬于保密信息的個(gè)人資料。這里面的信息就包括了使用者的身份證件以及社會(huì)安全號(hào)碼或者母親的娘家姓等等。

 

他進(jìn)一步指出,社會(huì)化媒體平臺(tái)也開始變成為網(wǎng)絡(luò)犯罪分子獲取用戶個(gè)人資料的沃土。舉例來說,如果需要找到某人的第一份工作、上過的大學(xué)以及所在的城市等問題答案的話,LinkedIn網(wǎng)站就會(huì)成為非常有用的資源。而另一方面,面譜與Pinterest則可以提供使用者母親的娘家姓、自幼長(zhǎng)大的具體位置以及個(gè)人獨(dú)特愛好等方面的詳細(xì)信息。

 

賽門鐵克新加坡公司系統(tǒng)工程總監(jiān)羅尼·吳進(jìn)一步補(bǔ)充說,既然網(wǎng)絡(luò)犯罪分子已經(jīng)可以通過魚叉式網(wǎng)絡(luò)釣魚攻擊獲取到用戶密碼,那利用四處分布的零散信息破解掉非常簡(jiǎn)單的驗(yàn)證問題也就不會(huì)屬于有多大難度的工作。

 

基于知識(shí)的問題模式也不能確保用戶安全

 

斯坦伯格指出,效果更好一些的驗(yàn)證問題,也就是所謂的“基于知識(shí)的問題”,確實(shí)能夠達(dá)到防止受到培訓(xùn)的訪問者在進(jìn)行網(wǎng)絡(luò)搜索之后就輕松猜出正確答案來的尷尬情況出現(xiàn)的目標(biāo)。

 

他解釋說,原因就在于這類問題使用的信息通常是來源于非公開資料。這其中就可能會(huì)涉及到使用者每月按揭還款的具體數(shù)字,以及用來支付月度日常費(fèi)用的銀行名稱,甚至在很多年之前居住過的街道。

 

不過,按照網(wǎng)威公司(NetAuthority)首席執(zhí)行官克里斯·布倫南的觀點(diǎn):基于知識(shí)的認(rèn)證模式顯得有些復(fù)雜過度,因而會(huì)在用戶體驗(yàn)以及消費(fèi)者滿意度等方面帶來負(fù)面影響。他進(jìn)一步解釋說,由于此類問題答案的具體內(nèi)容可能會(huì)相當(dāng)模糊,因此用戶往往不太容易記得住。

 

對(duì)于布倫南的觀點(diǎn),市場(chǎng)營(yíng)銷方面的高管奧利維亞·朱就表示出贊同。并且,她還以自身為例進(jìn)行了詳細(xì)說明;當(dāng)被銀行問及最近一筆業(yè)務(wù)是在什么時(shí)間進(jìn)行的時(shí),她就會(huì)發(fā)現(xiàn)自己往往不記得了。她進(jìn)一步解釋說:“盡管我也知道這與賬戶的安全狀況息息相關(guān),但依然需要絞盡腦汁去想才能記出來,所以心里就會(huì)產(chǎn)生出非常厭煩的感覺來”。

 

斯坦伯格警告說,這些基于知識(shí)的認(rèn)證問題也并不屬于完全無懈可擊絕對(duì)不能被破解的類型。他進(jìn)一步解釋說,舉例來說,抵押貸款方面的某些記錄就屬于可以公開的類型,有耐心的黑客也能夠憑借已經(jīng)獲得的部分資料猜測(cè)出正確的答案來。

 

賽門鐵克公司的吳發(fā)出呼吁,希望服務(wù)提供商選擇部署多層次認(rèn)證模式,以達(dá)到確保安全性得到增強(qiáng)的目標(biāo);只有這樣,網(wǎng)絡(luò)以及站點(diǎn)才能夠保持安全運(yùn)行,而客戶則可以獲得足夠的保障。

 

他指出,如果可以將基于設(shè)備的認(rèn)證模式與基于知識(shí)的問題驗(yàn)證模式結(jié)合起來的話,企業(yè)就能夠獲得更好的安全保障。他還補(bǔ)充說,對(duì)于身份驗(yàn)證模式來說,系列問題就應(yīng)當(dāng)屬于必備項(xiàng)目。

 

這位總監(jiān)指出,這就意味著所有策略在部署之前都需要考慮到用戶使用起來是否會(huì)感覺方便這一問題。而需要這么做的根本原因就在于人們往往不太愿意在額外安全措施以及驗(yàn)證方式上花費(fèi)太多的時(shí)間。

 

吳還指出,用戶也可以選擇使用只有自己知道答案問題的驗(yàn)證方式,但這時(shí)就需要能夠確保相關(guān)信息不會(huì)被泄露或者共享到外部平臺(tái)之上。

 

 
消息來源:ZDNet