English  简体中文
   

双因子认证助力抑制个人信息黑色产业

2018-04-10       撰稿人:飞天诚信科技股份有限公司 王健健 张利琴 朱鹏飞


随着“9.27特大窃取贩卖公民个人信息专案”、“通过AI技术破解验证码的打码平台非法获取贩卖公民信息案”等一系列涉及上亿条个人信息的案件的新闻报道,与个人信息泄露相关的黑色产业引起了公众的高度关注。黑产通常利用病毒木马非法盗取或者通过机构泄密人员购买他人身份证号、手机号、游戏账号、邮箱、家庭住址等私人信息,以及被盗者家庭成员的上述隐私,甚至包括所养宠物的信息,然后通过暗网、私人网站或者交易论坛进行非法贩卖。“晒密撞库”是黑色产业链中的重要一环,就是黑产分子在窃取网站数据库后,通过验证的方式筛选账号密码正确对应的有价值数据。对于黑产分子来说,晒密技术难度很大,阻力在于平台的安全策略,最常见的是验证码和IP限制。例如,验证码包括数字、文字、图形,甚至需要拖拽操作等更高难度的验证方式,用以区分人或机器行为。IP限制包括诸如同一个IP在一定时间范围内只能登录一次或者几次,或者仅限指定区域用户登录等措施。由此,黑产中出现了“打码”平台和“秒拨”动态IP服务。当黑产人员获得了一批用户名和密码信息后,借助这两种技术手段,便可实现对验证码的识别破解和规避网站的IP限制策略,以此获取更多个人隐私信息。除了晒密撞库以外,黑产还有“薅羊毛”、“刷单刷量”等手段,利用这些手段,去电商平台抢优惠券和特价商品。

“网络用户个人信息的泄露和倒卖到了十分猖獗的程度,形成了各种各样的网络个人信息倒卖产业链,对全体公民的信息安全构成了严重的威胁。”全国人大常委会组成人员侯义斌委员如是说。据调查数据显示:自2017年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500多亿条。

个人信息泄露的一大危害在于,一旦用户密码(口令)泄露,用户的合法权限就有可能被冒用,形成对个人信息黑色产业具有吸引力的潜在收益。使用双因素认证机制,能够在用户密码(口令)泄露的情况下防止冒用,从而降低个人信息泄露可能造成的损失,对个人信息黑产的发展产生抑制作用。双因子认证在用户名/口令基础上增加另外一个第二因子或第三因子,构成一个他人无法复制和识破的安全密码。用户名/口令结合FIDO U2F,就是一种典型的双因子认证机制。FIDO(Fast IDentity Online,线上快速身份验证)是由FIDO联盟推出的轻量化身份鉴别框架协议,提供开放的、可扩展的、可互操作的身份认证机制,用于替代或增强当前以“用户名/口令”为核心的在线身份认证机制。FIDO U2F是FIDO身份鉴别框架的组成部分。FIDO U2F基于专用设备,对现有使用“用户名/口令”体制的互联网服务提供基于数字签名的双因子身份鉴别机制,以增强身份认证的安全强度。FIDO U2F的突出特点在于“无口令”,使用时只需按下设备上的按键即可完成身份认证。凭借FIDO U2F,一个密钥设备能被用于多种在线服务,且服务提供商之间不需要共享用户信息和加密密钥,以此提供强大、易用的身份认证服务。

随着人工智能、云计算、大数据等技术的发展,黑产也正在走进人工智能和云计算时代,个人信息安全将面临新的巨大挑战。面对如此情境,亟需采取有效技术措施对个人信息加以保护。在后密码时代,强大的双因子身份认证,能够有效阻止来自外部的身份欺诈和来自内部的更隐蔽的信息泄露,极大提高了攻击难度,可以有效斩断个人信息黑色产业链。即使传统的口令密码被破解、泄露,还有第二、第三因子做最后一道防线。各种消费级SaaS的井喷式发展,也给双因子认证市场带来了新的机遇。结合多种安全措施,双因子认证能够全面满足各类应用的身份认证需求,助力网络安全环境健康、有序发展。
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4