|
今年夏天�����,法院首次開庭受理了印第安納州花旗金融銀行的一位客戶的案件,該客戶控告其網(wǎng)上銀行保障措施中缺少足夠的多重身份認(rèn)證���。這起案件的法官指出�����,在2007年該客戶帳戶被盜的時(shí)候���,銀行只提供了單重身份認(rèn)證保護(hù)�����,這很明顯違反了美國聯(lián)邦金管會(huì)FFIEC 2005的規(guī)定,該規(guī)定指出金融機(jī)構(gòu)要采取多重身份認(rèn)證來確保網(wǎng)上銀行的安全�。
隨著網(wǎng)上金融交易的增長,網(wǎng)上銀行欺詐行為也逐漸增多���,用戶要求銀行能夠提供更高級別的保護(hù)措施�,包括FFIEC要求的多重身份認(rèn)證���。把這些控制工作做到位��,是減少金融數(shù)據(jù)盜竊以及虛假帳戶活動(dòng)的關(guān)鍵一步�,這樣做還可以讓銀行避免因網(wǎng)上欺詐而要擔(dān)負(fù)的潛在賠償責(zé)任�����。
按照多重身份認(rèn)證的要求��,在進(jìn)行用戶認(rèn)證時(shí)�,須同時(shí)提交下面的兩個(gè)身份驗(yàn)證:一是你知道什么(比如密碼);二是你持有什么(比如一個(gè)動(dòng)態(tài)的PIN碼或令牌碼)��,或者你個(gè)人獨(dú)有什么(比如指紋)。讓我們來看看幾種銀行已經(jīng)實(shí)施的�����、比較常用的多身份認(rèn)證系統(tǒng)���,以及一些比較新的��、確保網(wǎng)上銀行安全以及符合 FFIEC規(guī)則要求的選擇���。
其中,最常用的一種方法是使用傳統(tǒng)的���、帶動(dòng)態(tài)PIN生成器的硬件令牌(hardware token)�����。這些硬件令牌效果明顯且容易擴(kuò)展�,但是部署困難�,價(jià)格也很昂貴。對于許多大公司來說�����,這顯然不是一個(gè)可行的方案。在某些情況下�����,金融機(jī)構(gòu)傾向于使用“軟件令牌(soft tokens)”�����,或者使用基于軟件的PIN生成工具�,用戶能夠進(jìn)行下載然后安裝在手機(jī)上�。經(jīng)過一個(gè)簡單的注冊過程以后,用戶可以在他們的移動(dòng)設(shè)備上生成 PIN密碼���,其實(shí)質(zhì)上把它們變成了個(gè)人的硬件令牌�����。這種方法性價(jià)比更高����,而作為硬件令牌的替代方案�,這種 “軟件令牌”也迅速得到了人們的認(rèn)可。
另外一種傳統(tǒng)的辦法是使用一次性密碼(OTP),有時(shí)也把它叫做交易認(rèn)證數(shù)字(TAN)�。在這種系統(tǒng)中,金融機(jī)構(gòu)會(huì)發(fā)給每個(gè)用戶一張?zhí)貏e的卡片����,上面印有一次性密碼或者密碼短語列表。用戶每次進(jìn)行身份認(rèn)證時(shí)���,需要使用其中的一個(gè)密碼或者短語(按順序)�,然后把使用過的密碼從表格中劃掉�����。金融機(jī)構(gòu)建立并維護(hù)著一個(gè)用戶數(shù)據(jù)庫及其相應(yīng)的密碼列表��,還能追蹤哪個(gè)OTP正在被使用�。這個(gè)系統(tǒng)的性能很好,維護(hù)費(fèi)用也不貴��,因?yàn)樗恍枰密浖涂梢允狗⻊?wù)器端和用戶端的密碼列表同步�。唯一的缺點(diǎn)是,當(dāng)用戶丟失他們的密碼列表或者雙方列表不同步的時(shí)候���,維護(hù)成本會(huì)增加�����。
還有一種與此類似的系統(tǒng)是使用特殊的“賓果卡(bingo cards��,類似填字圖)”��。這些卡片由Entrust Inc. (IdentityGuard)和TriCipher Inc.這樣的公司提供�����,它們上面有一個(gè)網(wǎng)格�����,網(wǎng)格的一個(gè)軸上印有數(shù)字���,另外一個(gè)軸上印有字母,在網(wǎng)格內(nèi)部還印有一些數(shù)據(jù)���。當(dāng)用戶要登陸銀行應(yīng)用程序時(shí)����,首先需要輸入用戶名和密碼���,然后根據(jù)提示輸入一系列在網(wǎng)格上的數(shù)據(jù)(舉個(gè)例子�����,D2)進(jìn)行認(rèn)證��。每個(gè)卡片都是獨(dú)一無二的(像OTP一樣)��,如果卡片丟失����,進(jìn)行替換也很方便,而且價(jià)格便宜���。除了用戶丟失卡片時(shí)不能提供技術(shù)支持外���,這種系統(tǒng)幾乎沒有缺點(diǎn)。其他的系統(tǒng)能夠生成OTP�,并且把它們通過帶外 (OOB)的方法(比如SMS、電子郵件和電話等)發(fā)送給用戶��。
另外一種傳統(tǒng)的��、實(shí)施多重身份認(rèn)證的另類方案是利用用戶登陸時(shí)使用的電腦作為多認(rèn)證的一個(gè)因素��。通過在系統(tǒng)中放置一個(gè)已經(jīng)成功注冊的cookie,用戶就能通過輸入用戶名和密碼進(jìn)行登陸����,通常還需要回答一些在注冊時(shí)事先設(shè)定好的“個(gè)人”問題。當(dāng)用戶試圖用不包含這些cookie的電腦進(jìn)行登陸的時(shí)候�,他們或者會(huì)被拒絕登陸,或者需要回答更多的���、更嚴(yán)厲的�����、事先設(shè)定好的一系列問題才能通過認(rèn)證�����。
基于cookie認(rèn)證方案主要的問題是cookie容易損壞或者丟失。另外����,如果cookie難以獲得或者一個(gè)系統(tǒng)無法被識別的話,這種方案就會(huì)退化成一些安全系數(shù)不高的方案�����,需要用戶回答一系列個(gè)人問題。大多數(shù)情況下�����,這些cookie是加密的�,即使被人通過跨站點(diǎn)腳本攻擊以及其他的方式獲得的話,也沒有多大的用處�����。
一些銀行正傾向于使用另外一種技術(shù)���,在普通多重身份認(rèn)證方案的基礎(chǔ)上添加一個(gè)新的認(rèn)證因素:基于位置的因素�����。盡管在一定程度上跟“你持有什么”的方案相關(guān)�����,但是這個(gè)較新的雙因素模型(有時(shí)也被稱作設(shè)備指紋(device fingerprinting))依靠的是把地理位置的IP地址����、ISP連接以及其他位置信息跟提前設(shè)置好的用戶總體信息聯(lián)系起來�。提供這個(gè)技術(shù)的廠商包括41st Parameter Inc.��、ThreatMetrix Inc.和Iovation Inc等公司�。盡管這個(gè)方法越來越流行���,但是因?yàn)榇蠹覍⑺糜趯?shí)際的多重身份認(rèn)證方案還缺乏信心�����,所以它并沒有被廣泛采用����。許多金融結(jié)構(gòu)和用戶認(rèn)為�,這個(gè)方法與其他的方法相比缺少移動(dòng)性和靈活性,如果終端機(jī)器被惡意軟件感染的話��,安全還會(huì)受到威脅��。
最后���,我們將介紹另一種方法,盡管被金融機(jī)構(gòu)使用的非常少:生物辨別系統(tǒng)(biometrics)����。然而�����,由于高成本和維護(hù)的復(fù)雜性(包括需要給用戶提供指紋閱讀器或者類似的東西)����,這種方案在大規(guī)模部署操作時(shí)不太現(xiàn)實(shí)�����。
總而言之��,銀行和其他金融機(jī)構(gòu)需要采取行動(dòng)����,實(shí)現(xiàn)安全的多重身份認(rèn)證系統(tǒng),這對保護(hù)用戶的賬戶安全是至關(guān)重要的�。市面上有許多不同的方案可供選擇,即使最大的金融機(jī)構(gòu)也能夠添加額外的認(rèn)證因素�,從而驗(yàn)證使用網(wǎng)絡(luò)銀行和其他應(yīng)用的用戶是否合法。如果不采取這些措施�,銀行將面臨因不遵守相關(guān)規(guī)定而被懲罰的風(fēng)險(xiǎn),并需承擔(dān)相應(yīng)的賠償責(zé)任���,同時(shí)這還會(huì)使得消費(fèi)者對他們的網(wǎng)上銀行缺乏信心����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
