预防黑客攻击 电子商务抛弃静态密码走向双重认证
发布时间: 2009-09-23 丨 阅读次数: 9491
随着越来越多的站点需要密码登陆,黑客用来盗窃密码的方法也变得越来越灵活了。因此,我们便需要诸如此类的“密码插件”(password-plus)系统。
抛弃静态密码 电子商务走向“双重认证”
为了访问她的在线银行账户,Marie Jubran打开了网页浏览器,输入了她的瑞典国家身份证号码和一个由4位数字组成的密码。
为了增强安全性,她又拿出一张刮擦后带有50个编码卡片。每次登陆或者处理一些交易的时候,Jubran都需要一位一位地输入这些编码。当她离开的时候,她的银行,Nordea PLC,会自动地发给她一张新的卡片。
电子商务正在抛弃静态密码,转而采用所谓的双重认证(two-factor authentication)。北欧地区的国家在这一领域处于领导地位。
“传统的密码已经过时了。”位于美国明尼苏达州的Identix Inc.公司的首席执行官,指纹鉴定系统的设计者Joseph Atick说。“人们的大脑不是用来处理如此众多的密码和层出不穷的个人认证码(PIN)的。”
专家关于静态密码的建议
当不得不使用静态密码的时候,安全专家建议用户使用由数字和字母合并而成的密码,而避免使用诸如“1234”或者个人昵称等容易被猜到的密码。
Stevan Hoffacker遵从了这些规则,不过他犯了另一个严重的错误:他在所有场合都用同一个密码,包括登陆他的几个信箱,Amazon.com网站,New York Times的Web站点,和E-ZPass电子征税声明。
在这种情况下,如果黑客或者不良企图者得到了一个密码,那么他们就获得了一个人的整个网络生活。
“许多事情如果你停下来仔细想想,你会发现有问题。不幸的是关于密码的事就属于此类。不过,我尽量不停下来仔细想这种事。”纽约信息技术管理人员Hoffacker这样说。
如此众多的网站需要密码,但记住成打的好密码又如此困难。所以我们只好将它们写到贴在显示器的便条上,或者放到电子表格中。事实是,安全专家认为这样也不安全。
一些软件,诸如赛门铁克公司(Symantec Corp.)的Norton Password Manager或者苹果公司的Keychain可以帮助用户以安全,加密的形式存储密码。但如果万一黑客们获得了你的管理密码,你就大祸临头了,你的所有密码都将遗失或者被盗。
同时,如果你忘记了一些站点的登陆密码,它们会用一种没有加密的不安全的形式邮寄给你。一个名为BugMeNot.com的站点甚至鼓励它的用户对于一些诸如新闻报纸等非限定站点使用同一个密码。
获得密码的工具有很多:
在因特网终端上秘密安装的击键记录器可以捕获密码,也可以伪造电子邮件欺骗用户将一些敏感的数据传输到一些貌似安全的站点上。有一些病毒也是用来获得密码的。还有一些密码破解软件用字典法强行破解密码。
尽管分析家们对于密码盗窃者没有达成一致的见解,但他们一致谴责在未授权的金融传输中使用不安全密码,或者攻击公司或者社团的网络等行为。
如果采用双重认证,那么只有一个密码是无效的。
“在这里,我们不必再担心什么了。事实是,利用我们的产品,欺骗和伪装将不再成为问题。”Vasco Data Security International公司的Jochem Binst说。
比利时的公司推出了一种大小和便携式计算器相当的一种设备。你输入你的常规密码到设备里,它会根据时间和单位的特性产生第二个密码。那就是你将要输入到站点的密码。
偷了你的设备的人将不会拥有你的密码。同样,盗取了你的密码的人也不会得到你的设备。
MasterCard International Inc.公司正在英国,德国和巴西测试一种类似的系统。将带有一枚微型芯片的信用卡插到一种读卡机中,输入你的个人认证码,你就会获得一个在Office Max, British Airways和其他几个销售商处使用的一次性密码。
在新加坡,希望进行资金传输业务的银行用户也必须同样的通过电话,e-mail或者手机短信获得第二个密码。
生物鉴定系统是类似的,只不过是用指纹或者视网膜扫描代替了其中一个或者两个密码。
在美国,双重鉴定的应用仍然有限。RSA安全公司拥有包括RSA SecurID在内的几个安全产品。但是使用这些产品的主要是远端网络雇员或者高端操作员。
“在保证安全性和产品的易用性之间存在着微妙的平衡。”美国银行家协会的高级政策顾问Doug Johnson说。
Gartner的分析家Avivah Litan认为“所有的银行都不敢迈出第一步,它们不想用户们因为感到使用困难而转向其他银行。”
美国现在的银行和电子商务公司现在正在竭力使他们的密码更加健壮。例如,EBay公司现在拒绝接受创建诸如“ebay”或者“password”等这样的简单的密码。
在双重认证普及之前,带有生物认证功能的膝上电脑必须标准化,或者制造商将密码生成设备的价格降低到用户可以接受的程度。
为一百万用户配备这样的设备需要花费两千万,但是遭受网络欺诈的用户的总数至多也不过几万,新加坡金融管理当局的技术风险管理总监Tony Chew说。因此。新加坡的银行限制动态密码在资金交易中的应用。
公司同样需要设立行业规范。
虽然Jubran对于银行为她提供的刮擦式密码感到满意,但她不会希望世界上所有商业网站都提供同样的这种东西。
“拥有数十张这样的刮擦式卡片太复杂了,太恐怖了 。”这位24岁的医科生这样说道。
RSA Security的产品经营副总裁Jason Lewis认为,公司们应该发展出这种服务,即:一个设备可以应在好几个站点上。
北欧的一些银行已经和政府的一些代办处和职能单位结成了合作伙伴关系。并且一项旨在统一身份管理的名为Liberty Alliance Project的工程正在成为标准。
eBay公司规则,信任和安全副总裁Robert Chesnut认为,随着人们把越来越多的时间投入到网络生活中,安全问题将会日益得到关注。他推论到:你的房间里有越多的值钱的东西,你的锁就会更好。
抛弃静态密码 电子商务走向“双重认证”
为了访问她的在线银行账户,Marie Jubran打开了网页浏览器,输入了她的瑞典国家身份证号码和一个由4位数字组成的密码。
为了增强安全性,她又拿出一张刮擦后带有50个编码卡片。每次登陆或者处理一些交易的时候,Jubran都需要一位一位地输入这些编码。当她离开的时候,她的银行,Nordea PLC,会自动地发给她一张新的卡片。
电子商务正在抛弃静态密码,转而采用所谓的双重认证(two-factor authentication)。北欧地区的国家在这一领域处于领导地位。
“传统的密码已经过时了。”位于美国明尼苏达州的Identix Inc.公司的首席执行官,指纹鉴定系统的设计者Joseph Atick说。“人们的大脑不是用来处理如此众多的密码和层出不穷的个人认证码(PIN)的。”
专家关于静态密码的建议
当不得不使用静态密码的时候,安全专家建议用户使用由数字和字母合并而成的密码,而避免使用诸如“1234”或者个人昵称等容易被猜到的密码。
Stevan Hoffacker遵从了这些规则,不过他犯了另一个严重的错误:他在所有场合都用同一个密码,包括登陆他的几个信箱,Amazon.com网站,New York Times的Web站点,和E-ZPass电子征税声明。
在这种情况下,如果黑客或者不良企图者得到了一个密码,那么他们就获得了一个人的整个网络生活。
“许多事情如果你停下来仔细想想,你会发现有问题。不幸的是关于密码的事就属于此类。不过,我尽量不停下来仔细想这种事。”纽约信息技术管理人员Hoffacker这样说。
如此众多的网站需要密码,但记住成打的好密码又如此困难。所以我们只好将它们写到贴在显示器的便条上,或者放到电子表格中。事实是,安全专家认为这样也不安全。
一些软件,诸如赛门铁克公司(Symantec Corp.)的Norton Password Manager或者苹果公司的Keychain可以帮助用户以安全,加密的形式存储密码。但如果万一黑客们获得了你的管理密码,你就大祸临头了,你的所有密码都将遗失或者被盗。
同时,如果你忘记了一些站点的登陆密码,它们会用一种没有加密的不安全的形式邮寄给你。一个名为BugMeNot.com的站点甚至鼓励它的用户对于一些诸如新闻报纸等非限定站点使用同一个密码。
获得密码的工具有很多:
在因特网终端上秘密安装的击键记录器可以捕获密码,也可以伪造电子邮件欺骗用户将一些敏感的数据传输到一些貌似安全的站点上。有一些病毒也是用来获得密码的。还有一些密码破解软件用字典法强行破解密码。
尽管分析家们对于密码盗窃者没有达成一致的见解,但他们一致谴责在未授权的金融传输中使用不安全密码,或者攻击公司或者社团的网络等行为。
如果采用双重认证,那么只有一个密码是无效的。
“在这里,我们不必再担心什么了。事实是,利用我们的产品,欺骗和伪装将不再成为问题。”Vasco Data Security International公司的Jochem Binst说。
比利时的公司推出了一种大小和便携式计算器相当的一种设备。你输入你的常规密码到设备里,它会根据时间和单位的特性产生第二个密码。那就是你将要输入到站点的密码。
偷了你的设备的人将不会拥有你的密码。同样,盗取了你的密码的人也不会得到你的设备。
MasterCard International Inc.公司正在英国,德国和巴西测试一种类似的系统。将带有一枚微型芯片的信用卡插到一种读卡机中,输入你的个人认证码,你就会获得一个在Office Max, British Airways和其他几个销售商处使用的一次性密码。
在新加坡,希望进行资金传输业务的银行用户也必须同样的通过电话,e-mail或者手机短信获得第二个密码。
生物鉴定系统是类似的,只不过是用指纹或者视网膜扫描代替了其中一个或者两个密码。
在美国,双重鉴定的应用仍然有限。RSA安全公司拥有包括RSA SecurID在内的几个安全产品。但是使用这些产品的主要是远端网络雇员或者高端操作员。
“在保证安全性和产品的易用性之间存在着微妙的平衡。”美国银行家协会的高级政策顾问Doug Johnson说。
Gartner的分析家Avivah Litan认为“所有的银行都不敢迈出第一步,它们不想用户们因为感到使用困难而转向其他银行。”
美国现在的银行和电子商务公司现在正在竭力使他们的密码更加健壮。例如,EBay公司现在拒绝接受创建诸如“ebay”或者“password”等这样的简单的密码。
在双重认证普及之前,带有生物认证功能的膝上电脑必须标准化,或者制造商将密码生成设备的价格降低到用户可以接受的程度。
为一百万用户配备这样的设备需要花费两千万,但是遭受网络欺诈的用户的总数至多也不过几万,新加坡金融管理当局的技术风险管理总监Tony Chew说。因此。新加坡的银行限制动态密码在资金交易中的应用。
公司同样需要设立行业规范。
虽然Jubran对于银行为她提供的刮擦式密码感到满意,但她不会希望世界上所有商业网站都提供同样的这种东西。
“拥有数十张这样的刮擦式卡片太复杂了,太恐怖了 。”这位24岁的医科生这样说道。
RSA Security的产品经营副总裁Jason Lewis认为,公司们应该发展出这种服务,即:一个设备可以应在好几个站点上。
北欧的一些银行已经和政府的一些代办处和职能单位结成了合作伙伴关系。并且一项旨在统一身份管理的名为Liberty Alliance Project的工程正在成为标准。
eBay公司规则,信任和安全副总裁Robert Chesnut认为,随着人们把越来越多的时间投入到网络生活中,安全问题将会日益得到关注。他推论到:你的房间里有越多的值钱的东西,你的锁就会更好。
