“相互鑒別”：在線身份認(rèn)定的新發(fā)展

自由聯(lián)盟正在為在線用戶認(rèn)定研究標(biāo)準(zhǔn)，Entrust公司呼吁提高軟件性能；工業(yè)協(xié)會對其風(fēng)險輕描淡寫，認(rèn)為應(yīng)該謹(jǐn)慎為之

認(rèn)定是安全的保證

由于來自身份盜竊和資料竊取的危險與日俱增，銷售商、工業(yè)集團和政府機構(gòu)都在集中力量加強網(wǎng)絡(luò)銀行和網(wǎng)絡(luò)購買的安全性。

最新的發(fā)展?fàn)顩r，自由聯(lián)盟計劃（用戶認(rèn)證技術(shù)標(biāo)準(zhǔn)化團體）介紹了一種新的計劃，研發(fā)改進(jìn)的用戶認(rèn)證技術(shù)。同一天，Entrust介紹了一個升級版本的用戶認(rèn)證程序（IdentityGuard）。美國聯(lián)邦存款保險公司對此提出了兩方面的意見：首先，它認(rèn)為目前社會低估了對在線數(shù)據(jù)偷竊的威脅，而且主張必須對這種不安全因素予以足夠重視。同時，聯(lián)邦管理者呼吁金融機構(gòu)要安裝使用更好的用戶身份認(rèn)證程序。

自由聯(lián)盟成立了一個“強驗證專業(yè)集團”，力圖發(fā)明一個強驗證系統(tǒng)構(gòu)架?！俺瑥姟彬炞C在身份認(rèn)定中至少需要有兩個認(rèn)證程序構(gòu)成，為進(jìn)入互聯(lián)網(wǎng)絡(luò)和在線申請進(jìn)行驗證。這種系統(tǒng)構(gòu)架旨在提供開放的程序規(guī)劃，讓認(rèn)證技術(shù)——包括硬件和軟件的標(biāo)識、智能卡片和SMS為基礎(chǔ)的系統(tǒng)—— 通過不同的組織和網(wǎng)絡(luò)間廣泛地相互協(xié)同作用。

自由聯(lián)盟是全球公司、非盈利企業(yè)和政府機構(gòu)的聯(lián)合體。于2001年9月形成，希望創(chuàng)造一個“聯(lián)合的”認(rèn)證模式，通過這個模式，用戶一旦登錄開始在線交易，他將不能夠進(jìn)行另外的身份認(rèn)證進(jìn)行隨后的各種交易。

聯(lián)邦財政機構(gòu)檢測委員會（簡稱FFIEC）在10月12日新發(fā)布了一個關(guān)于在線認(rèn)定的銀行指導(dǎo)書，呼吁金融機構(gòu)使用更好的身份認(rèn)定方式為用戶使用在線產(chǎn)品和服務(wù)提供安全保證。Forrester Research的首席分析家Jonathan Penn說：“2006年底，金融機構(gòu)必須證明自己已經(jīng)使用了比用戶密碼更多的驗證程序來抵御欺詐和盜竊用戶身份的行為”。

FFIEC的工作已經(jīng)變得更加艱巨了。因為，在線的欺詐者已經(jīng)把目光直接指向銀行業(yè)務(wù)的使用客戶。他們通過嫁接郵件等手段發(fā)給用戶信息，偽造銀行網(wǎng)頁，試圖誘騙用戶泄漏個人信息。FFIEC更新了組織在2001年設(shè)立的指導(dǎo)方針，它們?yōu)榱烁帽Ｗo(hù)用戶免受在線欺詐，旨在改進(jìn)認(rèn)證技術(shù)和創(chuàng)造一個金融機構(gòu)和用戶相互認(rèn)證的安全體系。

“相互鑒別”趨勢

Entrust公司，一個數(shù)字認(rèn)證安全技術(shù)的提供商，日前介紹了升級版用戶認(rèn)證程序（IdentityGuard），其特點是具有相互認(rèn)證能力。IdentityGuard 8將在12月投入使用。 一方面，它允許銀行客戶自己創(chuàng)造特殊的登錄界面，它可以通過這個界面隨時開始銀行業(yè)務(wù)。如果用戶沒有輸入特定的信息（如最喜歡的詞語或者寵物的數(shù)碼照片）而直接登錄，用戶將被報告為進(jìn)入此頁面是非法的。另一個特征是，對于大數(shù)額、高風(fēng)險的交易設(shè)立了一個互動登錄程序步驟。一經(jīng)登錄，銀行客戶接受的來自銀行的電話和電子郵件與附加登錄密碼同時起效才能完成交易。

FSTC（美國金融服務(wù)技術(shù)協(xié)會）是金融機構(gòu)、技術(shù)提供商、研究組織和政府機構(gòu)聯(lián)合組成的協(xié)會，它成立于1993年，目的在于為金融服務(wù)業(yè)提供先進(jìn)的技術(shù)。FSTC的技術(shù)研究和項目開發(fā)部主席Jim Salters曾經(jīng)認(rèn)為，這種與銀行業(yè)相關(guān)的身份盜竊和欺詐被夸大了，主要問題在于對用戶信心的沖擊。但是，F(xiàn)STC在8月對協(xié)會成員發(fā)布的一份計劃書中，卻為進(jìn)行“相互鑒別”確定了準(zhǔn)則并提供了標(biāo)準(zhǔn)。Salters也公開承認(rèn)：“如果我們對于在線身份盜竊和欺詐行為不采取任何防御措施的話，后果將不堪設(shè)想。”

由于復(fù)雜的操作步驟和程序可能迫使用戶選擇放棄，但處于整體考慮，銀行還是被迫為他們的客戶增加了在線安全措施。Forrester's Penn認(rèn)為，人們選擇現(xiàn)在銀行是因為它提供了便利，所以，安全性的解決方案不能妨礙其便利。

可見，解決次問題的關(guān)鍵在于：要根據(jù)不同類型的在線交易所體現(xiàn)的風(fēng)險程度進(jìn)行衡量，然后設(shè)立適當(dāng)?shù)陌踩墑e予以保護(hù)。

作者：Larry Greenemeier

出處：《信息周刊》2005年11月8日

編譯：李悅