用戶爲了方便記憶,常常習慣使用特殊的數字,例如家人的生日、自己的生日、身高體重、電話或門牌號碼等,此種方法極不安全。
只要利用黑客工具,如字典攻擊法等便能在短時間內將密碼破解,甚至只要有人在身後窺視便可探知正在鍵入的密碼,所以靜態密碼有很大的安全隱患。
目前絕大多數的網絡服務,例如電子信箱、網上銀行等,大都通過靜態密碼來進行身份認證。大多數人都不懂得如何妥善管理自己的密碼,進而遭到數據甚至財物上的損失。
因此,我們需要採用一套更安全的身份認證方式,這就是目前被認爲最安全的雙因素認證機制。
雙因素是密碼學的一個概念,從理論上來說,身份認證有三個要素:
第一個要素(所知道的內容):需要使用者記憶的身份認證內容,例如密碼和身份證號碼等。
第二個要素(所擁有的物品):使用者擁有的特殊認證加強機制,例如動態密碼卡,IC卡,磁卡等。
第三個要素(所具備的特徵):使用者本身擁有的惟一特徵,例如指紋、瞳孔、聲音等。
單獨來看,這三個要素中的任何一個都有問題。“所擁有的物品”可以被盜走;“所知道的內容”可以被猜出、被分享,複雜的內容可能會忘記;“所具備的特徵”最爲強大,但是代價昂貴且擁有者本身易受攻擊,一般用在頂級安全需求中。把前兩種要素結合起來的身份認證的方法就是“雙因素認證”。
雙因素認證和利用自動櫃員機提款相似:使用者必須利用提款卡(認證設備),再輸入個人識別號碼(已知信息),才能提取其賬戶的款項。
由於需要用戶身份的雙重認證,雙因素認證技術可抵禦非法訪問者,提高認證的可靠性。簡而言之,該技術降低了電子商務的兩大風險:來自外部非法訪問者的身份欺詐和來自內部的更隱蔽的網絡侵犯。
下面以雙因素動態身份認證爲例,介紹雙因素認證的解決方案。一個雙因素動態身份認證的解決方案由三個主要部件組成:一個簡單易用的令牌,一個功能強大的管理服務器以及一個代理軟件。
1、 令牌
令牌可以使用戶證明自己的身份後獲得受保護資源的訪問權。令牌會產生一個隨機但專用於某個用戶的“種子值”,一般每60秒該“種子值”就會自動更新一次,其數字只有對指定用戶在特定的時刻有效。
用戶的密碼+令牌的隨機“種子值”,使得用戶的電子身份很難被模仿、盜用或破壞。
2、 代理軟件
代理軟件在終端用戶和需要受到保護的網絡資源中間發揮作用。當一個用戶想要訪問某個資源時,代理軟件會將請求發送到管理服務器用戶認證引擎,認證通過後放行。
3、 管理服務器
管理服務器將一個性能卓越的認證引擎和集中式管理能力結合在一起。當管理服務器收到一個請求時,它使用與用戶令牌一樣的算法和種子值來驗證正確的令牌碼。
如果用戶輸入正確,用戶即可訪問,否則將提醒用戶再次輸入。如果三次輸入均告錯密碼無法提供足夠的安全.