English  简体中文
   

数据泄露事件愈演愈烈 双因素认证“亡羊补牢”?

2018-01-08       撰稿人:飞天诚信


2017年9月,美国三大个人信用评估机构之一的Equifax发表声明称,由于遭遇黑客攻击,约有1.43亿美国用户的个人重要信息面临泄漏。不法分子将可以利用这些获取到的重要个人信息,从事任何形式的金融欺诈行为,例如随意冒名进行银行开户、信用卡提现等,这将导致暴露在此次泄漏事件中的个人将面临巨大的潜在金融风险。Equifax股价在消息公布后的一个交易日内大幅下挫超过13%,CEO等多名高管下台。面临愈演愈烈的数据泄露事件,亟需采取有效措施进行补救,双因素鉴别不失为一种有效且易于部署的强化机制。

简单来说,双因素鉴别就是基于两个相对独立的要素进行身份鉴别/访问控制的机制。在当前面临数据泄露威胁的用户名/口令基础上增加第二身份鉴别机制,即可构成双因素鉴别。例如,动态口令就是一种典型的第二身份鉴别机制。动态口令系统包含动态令牌和动态令牌认证系统,可以为应用系统提供动态口令认证服务。动态令牌认证系统由认证系统和密钥管理系统组成。动态令牌负责生成动态口令,认证系统负责验证动态口令的正确性,密钥管理系统负责动态令牌的密钥管理,应用系统负责将动态口令按照指定的协议(报文)发送至认证系统进行认证。获得党政密码科技进步奖的密码行业标准GM/T 0021《动态口令密码应用技术规范》对动态口令系统进行了规范,规定了动态口令生成方式,动态令牌特性,认证系统,密钥管理系统等方面的内容。

除此之外,FIDO U2F也是一种日益流行的第二身份鉴别机制。它是FIDO(Fast IDentity Online,线上快速身份验证)联盟发布的用于互联网服务的身份鉴别规范。2014年12月9日,FIDO 1.0正式发布。目前FIDO规范的最新版本是1.1,可在FIDO联盟官方网站(https://fidoalliance.org)下载。FIDO规范包含两个子规范:UAF(Universal Authentication Framework,通用认证框架)和U2F(Universal Second Factor,通用第二因子)。其中,FIDO U2F基于专用设备,对现有使用“用户名/口令”体制的互联网服务提供基于数字签名的第二因子身份鉴别服务。FIDO U2F的突出特点在于“无口令”,进行身份鉴别时只需按下设备上的按键,从而具备了较为流畅的用户体验。

  数据泄露最为严重的后果之一就是大量用户名和口令可能被盗用。通过部署双因素鉴别系统,即使在用户名和口令泄露的情况下,仍可提供一定的安全防护,从而降低了安全风险。此外,第二因素鉴别系统的技术和产品都较为成熟,有条件进行快速紧急部署,因此往往成为面临数据泄露风险时强化身份兼备的推荐方案。曾被Gartner称为“世界第一大安全咨询公司” 、全球四大会计事务所之一的德勤会计师事务所,经常建议客户采用双因素鉴别机制。讽刺的是,在2017年9月的黑客攻击事件中,黑客成功获取足够权限访问德勤24.4万员工与客户之间的往来邮件(含有大量的客户敏感信息和知识产权),暴露了德勤自身的信息安全体系存在多处漏洞,其中包括没有采取双因素机鉴别机制。
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4