)身份认证
各种信息系统和在线应用都依赖于身份验证技术,现有的在线身份认证技术依赖许多因素,但主要可以归纳为三大类:
(1) 根据你所知道的信息来证明你的身份 (what you know ,你知道什么 ) ,假设某些信息只有你本人知道,如暗号、密码等,通过询问这个信息就可以确认你的身份;
(2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ,假设某一个东西只有你本人拥有,如 IC 卡、 USB Key 、单位数字证书等,通过出示这个东西也可以确认你的身份;
(3)直接根据你独一无二的身体特征来证明你的身份 (who you are ,你是谁 ) ,比如指纹、面貌等。
单因素认证方式 ( 如密码 ) 只是简单地依赖一个因素:你知道什么。而当你到 ATM 柜员机上取钱时就是使用双因素认证,即:你知道什么 ( 密码 ) 和你有什么 ( 银行卡 ) 。其他双因素认证则注重于你是谁,如生物特征解决方案:指纹扫描识别和声音识别等。然而,实施生物特征解决方案费用高,也不容易管理和大范围的使用,而且还较高的错误识别率。
由于“你有什么”和“你是谁”不适宜在网上实施,所以一些网上应用服务提供商试图让用户知道许多个什么,如多重密码、循环密码等,这些也许比单一密码要安全些,但其实并没有增加多少安全。而且,密码越多,用户越记不住,网上应用服务提供商就要花费更多投入来为用户重设密码,也给用户带来了使用上的不便。
有些网上应用服务提供商已经使用了动态时间令牌,可以动态产生一组数字作为登录密码,但费用太贵,实施成本实在太高,而且容易丢失、转借、硬件显示不清、时间不能同步和电池没电等问题,更重要的是,动态密码登录后如果服务器不部署 SSL 证书,则用户登录后查询的机密信息仍然非常容易被非法窃听。多重密码方式相对来讲费用最低,但并不比单一密码安全许多,而询问用户这些问题只适合于填写开户申请表格,而不是用于身份认证,因为这些常用的问题并不仅仅用户一个人知道。
实际上,“你有什么”并不意味着一定要物理上“你有什么”,你可以拥有虚拟物品,那就是存储在你的电脑、智能 IC 卡和 USB Key 中的客户端单位数字证书。客户端数字证书是基于 PKI 公钥基础设施的加密技术的最理想的双因素认证方式,它可以以电子方式发送给用户来提供强身份认证,能保护用户数据的完整性和提供对用户透明登录方式而不会对用户造成任何不便。它可以直接存储在用户电脑上,或为了方便携带,可以存放在智能 IC 卡或 USB Key 上。
