omniture

单独认证问题不再能够确保用户安全

2013-01-07 13:53

 

由于攻击者现在只需要利用搜索引擎、社会化网站或者网络钓鱼攻击就可以很容易地获得所需要的答案,这导致服务提供商用来确认用户身份的验证问题再也不能单独用于帐户安全保障领域了。业内观察家指出,正确的方式应当是将验证问题作为多层认证策略的组成部分继续使用。

 

格林阿姆解决方案的首席执行官约瑟夫·斯坦伯格指出,由于使用移动设备上网现在已经变得非常容易,并且越来越多的数字原生代都开始选择在网上张贴自己的个人资料,这导致网络以及网站仅仅使用访问用验证问题已经不再能够达到保障安全的效果了。

 

斯坦伯格进一步解释说,这种情况之所以会出现的根本原因就是,攻击者现在只要通过谷歌进行简单搜索,就可以得到大量曾经被认为属于保密信息的个人资料。这里面的信息就包括了使用者的身份证件以及社会安全号码或者母亲的娘家姓等等。

 

他进一步指出,社会化媒体平台也开始变成为网络犯罪分子获取用户个人资料的沃土。举例来说,如果需要找到某人的第一份工作、上过的大学以及所在的城市等问题答案的话,LinkedIn网站就会成为非常有用的资源。而另一方面,面谱与Pinterest则可以提供使用者母亲的娘家姓、自幼长大的具体位置以及个人独特爱好等方面的详细信息。

 

赛门铁克新加坡公司系统工程总监罗尼·吴进一步补充说,既然网络犯罪分子已经可以通过鱼叉式网络钓鱼攻击获取到用户密码,那利用四处分布的零散信息破解掉非常简单的验证问题也就不会属于有多大难度的工作。

 

基于知识的问题模式也不能确保用户安全

 

斯坦伯格指出,效果更好一些的验证问题,也就是所谓的“基于知识的问题”,确实能够达到防止受到培训的访问者在进行网络搜索之后就轻松猜出正确答案来的尴尬情况出现的目标。

 

他解释说,原因就在于这类问题使用的信息通常是来源于非公开资料。这其中就可能会涉及到使用者每月按揭还款的具体数字,以及用来支付月度日常费用的银行名称,甚至在很多年之前居住过的街道。

 

不过,按照网威公司(NetAuthority)首席执行官克里斯·布伦南的观点:基于知识的认证模式显得有些复杂过度,因而会在用户体验以及消费者满意度等方面带来负面影响。他进一步解释说,由于此类问题答案的具体内容可能会相当模糊,因此用户往往不太容易记得住。

 

对于布伦南的观点,市场营销方面的高管奥利维亚·朱就表示出赞同。并且,她还以自身为例进行了详细说明;当被银行问及最近一笔业务是在什么时间进行的时,她就会发现自己往往不记得了。她进一步解释说:“尽管我也知道这与账户的安全状况息息相关,但依然需要绞尽脑汁去想才能记出来,所以心里就会产生出非常厌烦的感觉来”。

 

斯坦伯格警告说,这些基于知识的认证问题也并不属于完全无懈可击绝对不能被破解的类型。他进一步解释说,举例来说,抵押贷款方面的某些记录就属于可以公开的类型,有耐心的黑客也能够凭借已经获得的部分资料猜测出正确的答案来。

 

赛门铁克公司的吴发出呼吁,希望服务提供商选择部署多层次认证模式,以达到确保安全性得到增强的目标;只有这样,网络以及站点才能够保持安全运行,而客户则可以获得足够的保障。

 

他指出,如果可以将基于设备的认证模式与基于知识的问题验证模式结合起来的话,企业就能够获得更好的安全保障。他还补充说,对于身份验证模式来说,系列问题就应当属于必备项目。

 

这位总监指出,这就意味着所有策略在部署之前都需要考虑到用户使用起来是否会感觉方便这一问题。而需要这么做的根本原因就在于人们往往不太愿意在额外安全措施以及验证方式上花费太多的时间。

 

吴还指出,用户也可以选择使用只有自己知道答案问题的验证方式,但这时就需要能够确保相关信息不会被泄露或者共享到外部平台之上。

 

 
消息来源:ZDNet