导语:互联网上几乎所有的网站,都在使用密码作为用户身份认证的方式,这一手段稳定,可靠,经久不衰。但是现在技术日新月异,各种各样的破解、漏洞、信息泄露,使得密码变得不那么安全。

网络犯罪分子正在学习如何使用新的身份验证方法来利用安全漏洞。像以前一样,这场猫捉老鼠的游戏必然会引发严重的后果。

传统身份认证方式

互联网上几乎所有的网站,都在使用密码作为用户身份认证的方式,这一手段稳定,可靠,经久不衰。但是现在技术日新月异,各种各样的破解、漏洞、信息泄露,使得密码变得不那么安全。

近几年频发的拖库、撞库事件,让互联网公司及广大网民头痛不已。网站一般会采取以下措施:

提醒用户不要使用与其他网站一样的密码
强制用户增加密码的复杂程度
要求绑定手机、邮箱作为辅助认证手段
使用动态口令装置、USB证书
为了防止机器撞库、破解,在页面中加上验证码

但最终的实施成本都转嫁到了用户头上——我们需要记住每一个复杂密码(以及与网站的对应关系)、输入难以看清的验证码、查看手机短信、甚至需要随身携带一堆利用率极低的密保装置。

生物学认证方式

随着传统身份验证技术已经难以招架黑客攻击,一种新型的认证方式应用而生——生物学认证方式。

这种类型大家也不会陌生,一部分先进的科技已经应用到了我们的日常生活中,包括:

指纹识别
虹膜识别
脸部识别
声纹识别
静脉识别 
眼部追踪

就说现在广泛应用于手机上的面部识别软件,只有通过摄像头认证用户的脸才能有权访问这台手机。听起来挺安全的,但是就在今年的USENIX安全大会上,一组研究人员就利用在社交媒体上收集的照片,重新组合成一个人的立体虚拟头像,成功地骗过了脸部识别软件。

利用薄弱环节

能够与这些先进的技术混合是传统攻击手段的最爱,如简单的社会工程手段。例如,在一场被称为“Dyre Wolf”的攻击中,攻击者通过一封看似财务信息的钓鱼邮件成功诱骗银行职员下载并执行木马Dyre入侵用户系统,随后诱骗受害者拨打钓鱼网站上提供的电话号码,并通过社会工程学的手段获得用户信任成功骗取他们的密码。

认证可以说是安全程序中最薄弱的环节,通过提升加密手段和密钥长度并不能解决这个问题。为身份验证过程添加多个因素也起不了多大作用,因为安全与否最终还是取决于用户的个人习惯。

面临如此严峻的网络安全形势,今年夏天,国家标准与技术研究所(NIST)发布了如何以及何时应用多因素身份验证的建议方案。IT经理们必须认真对待这些先进的身份验证方法,了解到底什么还是一个额外的因素以及什么东西很容被破解、复制或被盗。

下一个身份验证方法的浪潮

基于生物学的身份认证方法是目前最有前景的解决方案,但即便是这些先进的方式也能够被攻破。例如,一个上文提到的一个指纹传感器成功地被一个先进的虚拟复制品攻破;虹膜扫描仪同样可以被高分辨率的照片欺骗。

身份验证领域还需要更多创新、复杂的技术。例如,语音识别与按键节奏和鼠标移动的统计抽样的结合,也许能够起到欺骗攻击者辨别真正用户身份验证请求的目的。此外,还有很多其他的趋势值得研究,例如更好地运用智能手机上的指纹识别技术,更复杂的硬件设备,更好的基于风险的认证方式以及集成身份验证方法的单点登录等。

安全研究人员正在与犯罪分子争分夺秒,力求赶在网络犯罪分子之前开发这些技术。他们也在寻找方法将含有加密密钥或加密引擎的智能硬件设备嵌入其应用程序中,加剧恶意攻击者的破解难度。而在这些工具发布之前,用户们只能通过养成良好的习惯来保护自身数据安全了。

源链接

Hacking more

...