讓身份驗證更智能

申請免費試用、咨詢電話：400-8352-114

如果你還僅僅是使用簡單的密碼來保護(hù)網(wǎng)絡(luò)，那么你的網(wǎng)絡(luò)很可能會門戶大開。而傳統(tǒng)的強(qiáng)驗證產(chǎn)品其購買及部署費用仍然很高昂，于是許多企業(yè)開始尋找新的方法，讓驗證更智能、更普遍、更易于使用。 

今年三四月份，一小批電子郵件進(jìn)入了歐美國家的國防部門及承包商的辦公室。這些郵件在收件人看來似乎是可以信任的: 每封郵件都是發(fā)到某個員工的郵箱地址，還有合法的回信地址，種種現(xiàn)象表明這似乎是內(nèi)部郵件。這些郵件數(shù)量極少、也極為狡猾，騙過了反垃圾郵件過濾器。后經(jīng)過檢查才知道是利用了微軟Word當(dāng)中以前未察覺的漏洞，從而得以從反病毒過濾器旁邊溜過。那些不走運的收件人要是打開了電子郵件的附件，就會不知不覺安裝了特洛伊木馬。

諸如此類的網(wǎng)絡(luò)釣魚攻擊毫無新意。多年來，把網(wǎng)上銀行和電子商務(wù)客戶引誘到假冒網(wǎng)站、然后誘騙他們透露敏感的賬戶信息，這種網(wǎng)上騙局已經(jīng)成為網(wǎng)上犯罪分子的主要手段。不過，所謂的魚叉式網(wǎng)絡(luò)釣魚（spear-phishing）攻擊卻是一種新的伎倆，攻擊者用來侵入企業(yè)網(wǎng)絡(luò)的軟件也越來越先進(jìn)。

在過去一年，針對公司的目標(biāo)攻擊數(shù)量從每周一兩起增加到了每天一兩起。MessageLabs的高級分析師Paul Wood說，雖然這個數(shù)字與郵件數(shù)量以百萬計的電子郵件病毒和垃圾郵件活動相比可能不值得一提，但魚叉式網(wǎng)絡(luò)釣魚攻擊卻更危險。

Wood說: “這種攻擊不是針對從網(wǎng)上搜集而來的那些地址。這些人掌握了所要攻擊組織的大量信息……這些郵件的目的性很強(qiáng)?！?

它們攻擊的對象通常是: 軟件源代碼、設(shè)計文檔或者設(shè)計圖表。不過以國防承包商為例，因情報丟失可能造成的破壞遠(yuǎn)超過通常的經(jīng)濟(jì)損失。對此，企業(yè)該怎么辦呢？

單純使用單因素的用戶名和密碼很快成為IT人士的笑柄，而傳統(tǒng)的強(qiáng)驗證（strong authentication）產(chǎn)品其購買及部署費用仍很高昂，于是如今許多企業(yè)尋找新的方法，讓驗證更智能、更普遍、更易于使用。

據(jù)專家們稱，各個地方的IT部門很快就會需要部署類似金融公司如今使用的那些保護(hù)機(jī)制了。幾百年來，金融公司一直在與各種欺詐作斗爭。相應(yīng)之下，一度波瀾不驚的驗證市場正在迅速轉(zhuǎn)型。新的初創(chuàng)公司、新的設(shè)備以及風(fēng)險資本的大量涌入，意味著很快就能派上用場。企業(yè)IT部門面臨的挑戰(zhàn)就是，搶在騙子們找到入口之前，讓一切保護(hù)機(jī)制發(fā)揮作用。

密碼失效嗎？

正如Bob Blakley看到的那樣，不是說密碼已經(jīng)沒有用了，而是因為一開始密碼就根本不是非常有效。

“根本的問題在于，原本就需要在人的認(rèn)知能力和密碼強(qiáng)度之間進(jìn)行取舍，”Blakley說，他是IBM公司負(fù)責(zé)安全和隱私的首席科學(xué)家。如果標(biāo)準(zhǔn)的強(qiáng)密碼協(xié)議所用的值使用8個或更多字符、混合字母值和數(shù)值，那么用戶就會處于不安全的密碼，或者選擇很難記住的安全密碼。

斯坦福聯(lián)邦信用合作社（Stanford Federal Credit Union）CTO Sam Tuohey通過實際調(diào)查的方式得出了同樣的結(jié)論——檢查了4.5萬名客戶的密碼強(qiáng)度。Tuohey領(lǐng)導(dǎo)的小組使用標(biāo)準(zhǔn)的密碼破譯工具對一系列加密密碼進(jìn)行了破譯，結(jié)果發(fā)現(xiàn)，近80%的值在“不到一秒內(nèi)”就被破譯，Tuohey說。

多年來，簡單密碼足以阻止技術(shù)含量低的黑客行為和網(wǎng)上犯罪，如今不再是這樣。松懈的用戶訪問機(jī)制一度可以接受，但如今就顯得像是在吸引經(jīng)驗老到的網(wǎng)上犯罪分子: 他們很快發(fā)現(xiàn)了如何利用網(wǎng)絡(luò)釣魚攻擊，迅速弄到密碼，另外使用惡意代碼搜集其他的敏感數(shù)據(jù)。

RSA安全公司高級副總裁兼消費者解決方案總經(jīng)理Chris Young說，威脅環(huán)境的變化正在促使驗證行業(yè)迅速發(fā)生變化。

Young說: “我們已經(jīng)看到了這股動向，即由原來的中學(xué)生編寫病毒改為如今有組織的犯罪團(tuán)伙從事網(wǎng)絡(luò)釣魚、域欺詐及傳播特洛伊木馬，他們竊取信息純粹是為了圖謀錢財?！?

斯坦福聯(lián)邦信用合作社對此深有體會。Tuohey說，這家信用合作社不像美國銀行或者富國銀行這些目標(biāo)，但網(wǎng)絡(luò)釣魚者還是在去年年底發(fā)現(xiàn)了它，于是設(shè)下了高明、有針對性的騙局，企圖竊取客戶的賬戶信息。

網(wǎng)絡(luò)釣魚者利用了這家信用合作社連接至斯坦福大學(xué)的網(wǎng)絡(luò)，搜集到了成千上萬個公開的stanford.edu地址，然后向他們逐一發(fā)送網(wǎng)絡(luò)釣魚的地址郵件，假冒郵件來自這家信用合作社。Tuhoey只聽說有四個客戶回復(fù)了電子郵件，他自認(rèn)為這起騙局沒有導(dǎo)致任何賬戶實際出現(xiàn)泄密。不過這起事件還是敲響了警鐘。

多管齊下反對欺詐

強(qiáng)驗證指利用額外因素（如智能卡、一次性密碼生成器和USB令牌），它是擔(dān)心欺詐的組織首選的傳統(tǒng)武器，如今仍是許多組織的流行選擇。RSA聲稱，全球共有兩萬個客戶在使用其SecurID令牌。但強(qiáng)驗證的部署及維護(hù)成本一直很高，另外許多用戶也覺得使用不便。

斯坦福聯(lián)邦信用合作社同樣得出了這個結(jié)論。Tuohey說: “分發(fā)45000個令牌， 一旦有人損壞或者丟失，還要提供支持，這些工作會讓人望而生畏。”

Tuohey說，斯坦福聯(lián)邦信用合作社確實讓經(jīng)常出差及在家辦公的員工使用智能卡，但傳統(tǒng)的智能卡對沒有閱讀裝置插入智能卡的客戶來說并不實用。信用合作社的解決辦法就是使用一種比較方便的雙因素驗證，其中包括PassMark Security公司（現(xiàn)隸屬于RSA）的反欺詐和網(wǎng)站驗證技術(shù)。

PassMark的技術(shù)采用了由用戶選擇的水印，以辨別合法網(wǎng)頁和網(wǎng)絡(luò)釣魚騙局，另外使用了后端反欺詐分析功能，可以發(fā)現(xiàn)企圖登錄的可疑行為。RSA把這種多管齊下的方案稱為“自適應(yīng)驗證”，但更通俗的說法是“基于風(fēng)險的驗證”。

RSA的Young說: “這種概念就是根據(jù)上下文，使用不同類型的驗證方法。‘你是誰？’‘你在話路中的哪個地方？’‘你使用賬戶時的行為通常有哪些？’”

反欺詐廠商考慮使用的因素包括: 當(dāng)前日期時間、IP地址、所用的計算機(jī)及地理位置。專家們說，雖然這些因素并非萬無一失，但在確認(rèn)大多數(shù)用戶的身份時還是非常準(zhǔn)確。

VeriSign今年2月收購了欺詐檢測公司Snapcentric，其負(fù)責(zé)驗證服務(wù)部門副總裁Nico Popp說: “我妻子總是在家上網(wǎng)上銀行。她會有一系列非常穩(wěn)定的行為: 使用同一種瀏覽器、使用同一家ISP，她還總是在周六上午上網(wǎng)上銀行。這是非常清楚的模式。”

如果Popp妻子試著從韓國通過使用非英語設(shè)置的不同機(jī)器登錄，就應(yīng)當(dāng)警惕了。另一方面，Popp本人經(jīng)常全世界跑，所以他的地理位置信息不太穩(wěn)定。不過他總是從同一臺筆記本電腦來連接，所以設(shè)備設(shè)置及話路信息同樣有效。

加強(qiáng)可靠性

Popp說，欺詐檢測結(jié)合基于風(fēng)險的驗證具有強(qiáng)大功效，因為在正常情況下，用戶看不到這對組合; 但一旦與用戶行為有關(guān)的風(fēng)險增加，比如轉(zhuǎn)賬或者賬戶突然更改，這對組合又會發(fā)揮功效。

Diversinet是一家提供基于令牌的強(qiáng)驗證解決方案的廠商，其首席安全官Stu Vaeth強(qiáng)調(diào)，基于風(fēng)險的驗證并不是公司企業(yè)的萬靈藥。他說，反欺詐和基于風(fēng)險的驗證擅于消除網(wǎng)絡(luò)釣魚和中間人攻擊，但安全性卻不如傳統(tǒng)的雙因素驗證。

RSA的工作人員Young贊同這番觀點。他說: “這好比是說警報系統(tǒng)會讓門鎖銷聲匿跡。欺詐檢測和基于風(fēng)險的驗證這對組合讓沒在使用證書如SecurID的數(shù)百萬消費者或者企業(yè)用戶可以使用諸多保護(hù)方案?！?

這種想法代表著驗證市場出現(xiàn)的重大轉(zhuǎn)變。人們曾經(jīng)認(rèn)為僅僅授予許可權(quán)就是驗證的實質(zhì)，如今的解決方案卻是旨在加強(qiáng)“可靠性”，IBM的Blakley如是說。

Blakley說: “人們以為，驗證只要在開頭做好工作就行了，以后再也不用管了; 但驗證實際上是加強(qiáng)可靠性的過程——你必須自始至終確保交易合作伙伴的身份是可靠的; 而越到后頭，這種可靠性可能越小?！北热缯f，訪客通過了國家安全局在馬里蘭州米德堡的總部正門的身份檢查，未必能進(jìn)入大樓內(nèi)的每個房間。

據(jù)安全廠商Cydelity的CEO Bob Ciccone聲稱，他們的做法就是監(jiān)控用戶在登錄之后的行為，并標(biāo)出哪些行為有風(fēng)險。他說: “許多企業(yè)通常部署了分層防御機(jī)制，卻沒有部署監(jiān)控用戶進(jìn)入系統(tǒng)后行為的這一層機(jī)制。”

與反欺詐領(lǐng)域的其他公司一樣，Cydelity也關(guān)注地理位置和異常行為，比如更改或者禁用電子郵件通知，另外還請求轉(zhuǎn)賬、企圖從可疑位置進(jìn)行訪問。

客戶日益把這種基于分析的風(fēng)險檢測與令牌和智能卡之外的軟件雙因素驗證結(jié)合起來，這種驗證方法部署及支持起來比較容易。比如說，Diversinet的軟件令牌提供的強(qiáng)驗證效果類似傳統(tǒng)令牌，但可以通過無線網(wǎng)絡(luò)提供，保存在PDA或者移動電話上。與此同時，Bharosa為多種格式參數(shù)的設(shè)備提供了其Authenticator軟件雙因素驗證應(yīng)用軟件; 而后端上的Tracker應(yīng)用軟件負(fù)責(zé)監(jiān)控登錄來源，以避免遭到欺詐。Bharosa的CEO Jon Fisher說，所用的分析指標(biāo)包括用來登錄的計算機(jī)或者移動設(shè)備、地理位置和行為特征。

未來在于開放

按照聯(lián)邦金融機(jī)構(gòu)檢查委員會（FFIEC）在2005年的指令，“高風(fēng)險的交易使用單因素驗證作為惟一的控制機(jī)制是不夠的”，比如轉(zhuǎn)賬。

今年6月，白宮管理和預(yù)算辦公室贊同這一指令，要求聯(lián)邦部門遵守國家技術(shù)標(biāo)準(zhǔn)研究所（NIST）的安全標(biāo)準(zhǔn)，包括對移動設(shè)備上的數(shù)據(jù)進(jìn)行加密，遠(yuǎn)程訪問數(shù)據(jù)使用雙因素驗證。

這些公告已經(jīng)促使金融機(jī)構(gòu)和政府部門競相使用額外因素支持用戶驗證，但這對企業(yè)而言未必是件好事。因為廠商們致力于為政府和金融等垂直行業(yè)提供消費者欺騙防護(hù)技術(shù)，面向企業(yè)的產(chǎn)品就被暫時擱在一邊。

VeriSign公司的Popp說: “市場機(jī)會基本上集中在FFIEC方面，眼下我們把99%的精力放在了這一塊。廠商們完全把精力放到了欺詐、身份竊取和法規(guī)上?！彼f，但一旦用于遵從FFIEC的資金日趨減少，廠商就會開始期望開拓更龐大的企業(yè)驗證市場。

與Popp一樣，IBM的Blakley也認(rèn)為基于風(fēng)險的分析是各種組織采用的普通驗證過程的一部分。他說: “眼下，人們基本上都是事先進(jìn)行風(fēng)險分析。在將來，你會對風(fēng)險因素進(jìn)行更加動態(tài)的分析，所以如果系統(tǒng)認(rèn)識到出現(xiàn)了異常情況，就會要求你通過另外的驗證測試，確保驗證強(qiáng)度得到提升?！?

客戶已經(jīng)可以結(jié)合身份分析和業(yè)務(wù)規(guī)則檢查來發(fā)現(xiàn)企業(yè)用戶群體內(nèi)部的關(guān)系。Blakley說，往其中添加更多的驗證數(shù)據(jù)會導(dǎo)致市面上出現(xiàn)更專業(yè)的產(chǎn)品。 

生物識別技術(shù)助一臂之力

多因素驗證在公共部門和私營部門都日漸受到歡迎，其中包括下一代生物識別技術(shù)，譬如富士通公司出品的這款PalmSecure靜脈紋路掃描器。

但強(qiáng)驗證的未來也許不在任何一家廠商的手里。開放驗證組織（OATH）的開放源代碼計劃聲稱如今他們擁有的成員已超過了66個，其中包括智能卡廠商Axalto、BMC、IBM、USB令牌生產(chǎn)商SanDisk、VeriSign及其他廠商。OATH旨在建立由驗證軟硬件組成的生態(tài)系統(tǒng)，基于開放源代碼組件，以鼓勵歷來由一小批大公司壟斷的市場出現(xiàn)創(chuàng)新。

Popp說: “我們與OATH共同在推動開放的欺詐檢測方案。專有網(wǎng)絡(luò)從來不會成功，要是每家廠商都說，“這是我的欺詐數(shù)據(jù)，我不會與別人共享”。這只會幫助不法分子。

鏈接一:用“擊鍵模式”確認(rèn)身份

關(guān)注智能反欺詐解決方案的基本上是銀行、金融服務(wù)和電子商務(wù)等公司，原因很明顯: 這些公司常常是欺詐活動下手的對象。但電子商務(wù)和銀行等垂直行業(yè)以外的領(lǐng)域也能夠享受新型驗證方法帶來的優(yōu)點。

對從事電臺廣告的網(wǎng)上分銷商Musicrypt而言，新出現(xiàn)的行為生物識別驗證技術(shù)是這家公司得以迅速發(fā)展的關(guān)鍵。Musicrypt基于Web的技術(shù)向加拿大和美國的無線電臺推銷新的音樂單曲及其他廣告，利用數(shù)字下載方法取代速度較慢、成本較高又不太可靠的實體推銷方法。通過網(wǎng)絡(luò)進(jìn)行推銷還為唱片公司提供了哪些電臺對其音樂感興趣的寶貴信息。

不過，因為這些唱片公司同樣關(guān)注網(wǎng)絡(luò)隱私，所以安全對Musicrypt的客戶來說是頭等大事。無線電臺經(jīng)常在新唱片正式發(fā)布之前就能夠欣賞到，所以Musicrypt需要一種方法向版權(quán)所有者確保: 只有授權(quán)人員才能接觸唱片。為此，他們選擇了BioPassword，這項基于軟件的生物識別技術(shù)能夠通過計算機(jī)用戶的擊鍵模式來確認(rèn)其身份。

與其他形式的生物特征識別裝置如拇指紋掃描器相反，BioPassword的擊鍵分析器不需要使用任何特殊硬件。用戶只要多次輸入用戶ID和密碼——這樣公司的軟件就可以研究擊鍵的時間和模式，即可登錄。然后，客戶可以調(diào)整檢測的敏感性，從而消除誤報; 或者放寬要求，允許若干人可以使用同一登錄信息，BioPasswordCTO Greg Wood這樣說。

指紋、面部和虹膜掃描器等比較傳統(tǒng)的生物識別技術(shù)其成本、限制條件及不穩(wěn)定的性能常常讓許多企業(yè)猶豫不決。正因為如此，所謂的行為生物識別技術(shù)——包括擊鍵、鼠標(biāo)模式和語音分析以及密碼發(fā)問、應(yīng)答等軟件驗證方法才得以流行起來。

對Musicrypt而言，要是把強(qiáng)驗證令牌分發(fā)給無線電臺的數(shù)千名員工，那么支持起來既不實際，又需要高昂成本。擊鍵特征識別技術(shù)以一種對用戶來說透明的方式，為傳統(tǒng)的用戶名和密碼組合添加了安全性，從而讓這家公司獲得了比提供類似的網(wǎng)上推銷方法但仍依靠單因素驗證來確保安全的公司更明顯的優(yōu)勢，Montgomery說。

生物識別技術(shù)還提供了另一個優(yōu)點，這可能會對唱片行業(yè)及這家企業(yè)帶來更大的影響。

Montgomery說: “唱片公司的主管們想知道誰在無線電臺打開了音樂文件。他們是以流媒體方式收聽音樂，還是下載音樂？如果是下載了音樂，他們下載了多少次？”據(jù)Montgomery介紹，諸如BioPassword采用的生物識別技術(shù)可以確?！懊總€人的行動都有跡可循”。

鏈接二:多種多樣的驗證方法

一系列新技術(shù)為企業(yè)提供了用戶名和密碼之外的諸多驗證方法。

不久前，強(qiáng)驗證產(chǎn)品市場選擇還是少得可憐，相當(dāng)于“要可口可樂還是要百事可樂？”許多公司只有幾個選擇，包括安全令牌如RSA的備受歡迎的SecurID，以及Axalto和Gemplus等公司內(nèi)置了芯片的智能卡。

對許多公司來說，智能卡和令牌仍是最要緊的東西; 智能卡行業(yè)預(yù)計，2007年會成為形勢最好的年份之一。但如今，一度波瀾不驚的用戶驗證技術(shù)市場卻是暗流涌動。

原因何在？因為網(wǎng)絡(luò)釣魚攻擊和針對性的“魚叉式網(wǎng)絡(luò)釣魚”使得騙子們很容易獲得侵入網(wǎng)上銀行和電子商務(wù)網(wǎng)站等敏感系統(tǒng)所需的證書，侵入企業(yè)應(yīng)用系統(tǒng)就更不用說了。Wi-Fi讓人得以有可能進(jìn)入防火墻后面的企業(yè)網(wǎng)絡(luò); 而不斷花樣百出的Rootkit手法使得檢測惡意代碼極為困難，以至幾乎不值一提。但不得不提的是: 公鑰基礎(chǔ)設(shè)施（PKI）解決方案成本高昂！無論如何，企業(yè)網(wǎng)絡(luò)和企業(yè)數(shù)據(jù)方面的混戰(zhàn)已促使行業(yè)迅速發(fā)展，同時促使一批新興公司采用新的方法來解決舊的驗證問題。其中值得關(guān)注的潮流包括:

生物識別技術(shù)。十多年來，生物識別技術(shù)一直被譽為是“下一大熱門技術(shù)”，但最近諸多因素促使企業(yè)紛紛采用這項技術(shù)。聯(lián)想等各大PC生產(chǎn)商已經(jīng)把生物特征掃描器集成到設(shè)備當(dāng)中，而具有USB功能的掃描器成本也更為合理。新一代的行為生物識別技術(shù)也日漸受到歡迎。金融風(fēng)險管理廠商Fair Isaac最近推出了名為Falcon One for Online Access的一款新產(chǎn)品，它能夠監(jiān)控客戶行為，比如擊鍵和鼠標(biāo)操作模式。即將成為存儲巨擘EMC旗下一員的RSA在今年4月收購了語音識別技術(shù)廠商: PassMark Security; 另一家行為生物識別技術(shù)廠商: BioPassword聲稱，即使騙子們竊取了你的用戶名和密碼，它的擊鍵分析技術(shù)照樣讓他們無法陰謀得逞。

雙因素驗證。強(qiáng)驗證解決方案面臨的最大難題之一就是，采購及部署額外因素需要不小成本。密鑰卡（key fob）和智能卡容易丟失或者受損，廠商根本沒有什么好的辦法來解決這個問題: 如何管理不同公司的一批令牌。近年來，Diversinet、RSA、Saflink和VeriSign都開發(fā)了能夠以無線方式把令牌發(fā)送到移動電話或者PDA的技術(shù)。

基于風(fēng)險的驗證。大家都希望加強(qiáng)訪問控制，但不是每個客戶或者每筆交易都有必要使用雙因素強(qiáng)驗證。結(jié)果就是，企業(yè)正在采取存在細(xì)微差別的驗證方案: 對高風(fēng)險、高價值的交易采用強(qiáng)有力的安全; 而對低風(fēng)險行為采取比較弱的安全。除了RSA和VeriSign外，Entrust和TriCipher等小公司提供的解決方案也結(jié)合了支持雙因素強(qiáng)驗證的功能和軟件驗證方法如密碼發(fā)問/應(yīng)答，還采用了分析欺詐風(fēng)險數(shù)據(jù)的軟硬件。

信譽等級服務(wù)。由于Rootkit程序、隨看隨下軟件（drive-by download）及其他隱形技術(shù)急劇增多，擁有正確的登錄證書根本不再像以前那樣可以一勞永逸。許多公司還希望監(jiān)控網(wǎng)上行為，以便詳細(xì)了解用戶身份、他們的行為，從而防止重大的安全漏洞，哪怕是在用戶已經(jīng)通過了驗證之后。Cydelity、Cyveillance、IdenTrust、RSA和VeriSign等公司正在集成反欺詐、反網(wǎng)絡(luò)釣魚數(shù)據(jù)和行為分析結(jié)果，以便發(fā)現(xiàn)受到危急的機(jī)器和惡意破壞的員工。(ccw)