城堡网 >> 安全频道 >> 应用安全 

身份认证领域迫切需要技术创新

       短信验证码,用于识别用户身份,验证交易信息,已经成为一种使用最为广泛和有效的身份认证技术和手段。由于手机和用户身份之间有密切的匹配关系,手机具有随身携带等特点,短信验证具有不依赖额外硬件设备,对使用环境要求低,适用性强,应用场景广泛等等优势,在网银登陆和交易通知、在互联网业务的用户注册、在电子商务的身份认证和交易确认中发挥着巨大的作用。

    然而,移动互联网时代短信验证码面临一系列新的挑战:
    当短信验证码遇到移动互联网
    短信验证码安全性……
    短信验证,在技术上属于带外身份认证,即使用互联网业务通道之外的通道对互联网通道业务的用户身份和交易进行认证和确认。带外认证最为典型的应用场景是使用手机来确认在PC或者PAD上进行的互联网业务。然而当短信验证码遇到移动互联网,安全性就需要重新审视。
    移动互联网大潮来临,将改变所有的商业规则,所有的业务需要支持移动互联网应用已经成为共识,移动优先是许多应用的战略选择。同时,移动互联网的安全问题正在成为日益严峻的问题阻碍着移动互联网业务的发展。
    移动互联网应用环境……
    移动应用环境更复杂。首先是移动应用的生产环境更开放,分发渠道更多样化等原因,带来移动应用更容易被植入木马,更容易被二次打包,山寨银行等各种山寨应用让用户的财产安全荡然无存,被植入木马的应用让用户的私密不在。其次,移动应用的运行环境复杂,数据是否加码存放,秘钥是否可以被窃取或者篡改,都存在极大的风险。再次就是数据的传输更容易遭受各种中间人攻击,交易数据更容易获取和篡改等。还有,就像今年315曝光的那样,用户购买智能手机时大量来路不明的预装软件也是对移动金融的严重威胁。另外,移动应用开发者水平参差不齐,安全知识和安全能力缺乏标准,缺乏应有的检测手段,都往往让移动应用本身的安全性存疑。
    当短信验证码遭遇黑色产业链
    截获短信验证码……
    在某威客网站,寻求截获短信码的外包需求可以堂而皇之进行公布;在搜索引擎上,会发现大量的截获短信码的热切寻找者;可以自动接收短信验证码进行垃圾注册的服务提供者也比比皆是。
    由此可见,在手机上植入恶意程序,盗窃用户密码,截获短信验证码已经成为一项没有门槛的技术。代码提供者可以通过售卖技术渔利,使用者可以通过盗取用户身份来窃取用户账户资金,围绕短信验证码的截获正在形成一个黑色的产业链。
    移动互联网身份认证潜在问题……
    身份安全和安全的交易验证是互联网业务开展的前提和核心,而移动互联网应用的身份验证技术大多从PC时代移植到移动互联网,各种应用的身份认证和交易验证的技术手段落后,已经难以确保移动金融的安全。比如,短信验证技术是一种带外双通道认证技术,在PC时代,短信验证码技术可以安全地进行身份认证和交易认证。移动互联时代,情况大有不同:由于木马可以轻易地读取短信内容,水平高的黑客甚至可以攻击运营商的无线塔台,所以此时在移动端仍采用短信验证技术,身份认证的安全性将大打折扣。
    当短信验证码遇到技术创新
    短信验证码的替代技术……
    在PC互联网时代适应的技术无法完全适用于移动互联网时代,短信验证码技术来到移动互联网时代,其安全性需要重新审视。思考寻找替代技术,进行身份认证领域的创新成为迫切的工作。
    生物识别技术是可选的重要方向之一。苹果的iPhone 5S将指纹识别技术进行融合创新,集成到Home键就是一个开创性的工作。然而,不管是脸像识别、指纹识别和声纹识别技术,由于这个生物特征是用户身份最为密切的个人信息,是身份安全的最后屏障,如果无法确保这些特征的采集、存放、传输和使用的安全性,所带来的安全性隐患反而是灾难性的。比如,苹果的iPhone 5S发布不久就有德国的黑客表示可以破解。所以生物识别技术在移动互联网的应用需要更加慎重。
    移动互联时代安全的新需求
    确保用户身份安全是移动互联网业务开展的安全入口,身份认证技术手段居于核心的位置。由于移动设备使用环境复杂,需要从应用环境、身份安全、传输安全、后端能力、应用管理几个方向进行整合治理,才可能有效改善移动互联网的安全问题。移动互联时代身份认证亟需安全保证。
    解惑短信验证码
    大数据时代悄然而至,在文中的问题没有改善之前,作为管理者和服务提供商,首先需要认识到现有技术的缺陷,尤其是需要重新审视和评估短信验证码的应用重点也在于此;其次,在现有技术中寻找适当的替代和组合方案,比如语音验证技术,采用更丰富的身份验证技术和手段,比如安全推送、交互验证等,对业务流程进行适当的安全优化,都是可以选择的策略。


分享到:
责任编辑:LY
我有话说 已有 0 条评论
最新评论 刷新
暂无评论