您有注意到俄羅斯駭客和十億被盜的密碼,此一報導已經快速地平靜下來了嗎?我曾跟一對資訊安全專家夫婦談過,並承認自己是保持懷疑態度。然而我讀了幾篇文章,籌集了很多懸而未決的問題,是有關此次攻擊,以及如何發揮出來。
無論真相如何,至少我知道:密碼,使用者名稱以及其他個人識別資訊已被網路犯罪分子所聚集。單看 SafeNet 外洩水平指數,結果發現在 2014 年第二季期間,每一天都有將近 200 萬客戶的記錄被竊取。正如我所說的,俄羅斯駭客的消息一經發佈後,很有可能每一個使用者名稱和密碼早已被入侵。
這消息也成為一個非常好的提醒,首先,我們需要仔細研究密碼安全工具。但是隨著時間的流逝,我們不得不重新思考身分認證的方法?
是的,41st Parameter 企業解決方案的副總裁,David Britton 在百利部落格的文章寫道:
任何業務功能的 Web 連接的環境,有需要認識到新的或返回的消費者時,眼光不應該只侷限於已提供的使用者簡單憑證,如使用者名稱,密碼,電子郵件地址,電話號碼,控制碼,機密問題或機密答案。為了提高保障,企業需要開始檢查使用者通過他們正在使用的設備,而呈現出的這些憑證去進行身分認證。
Britton 表示,他認為時機已到,將移動到分層式的身分認證系統,該系統包括來自消費者的實時更新。我喜歡他對於分層式認證方法的此一想法。當我談到關於移動到更好的身分認證過程時,我認為我們必須要超越標準的雙因素,這總是包含一個首次密碼,然後像一個文件消息或令牌又或是安全問題。但雙因素並非萬無一失,作為 CNET 文章指出:
事實上雙因素認證並非不會被駭客所攻擊。其中一個曾被攻破的雙因素系統 ─ 最引人注目之案件發生在 2011 年,當時資安公司 RSA 透露,其 SecurID 身分認證令牌已經被駭客所入侵。
添加多層級和兩個以上的因素是有意義的,但在同一時間,這使得登錄到網站上變得更加繁瑣。消費者不喜歡此一所造成的不便。SilverSky 的高級銷售工程師 Christopher Martincavage 提出了一個相對於容易的登錄層:第三方登錄。他在給我的一封電子郵件中提到:
我們都曾看過的網站狀態 “登錄使用您的 Facebook 帳戶”,利用通過第三方認證的網站,如 Facebook(使用OAuth),您可以限制您的使用者帳戶記錄,因為您的使用者帳戶和密碼已成為符號化,並僅適用於它與同步的原始網站。終究,您寧可相信 facebook.com 或 bobswidgetcompany.com 來安全地存儲您的使用者帳戶和密碼?此外,網站如 Facebook 和 Google 也提供免費的雙因素認證。
您有何感想?您會考慮加入這作為一個身分認證層來登錄您的商務網站嗎?
資料來源:http://www.itbusinessedge.com/blogs/data-security/the-need-for-a-layered-authentication-approach.html
正新官網:www.pronew.com.tw 04-24738309
#身分認證 #駭客 #網路竊盜 #資料竊取 #網路犯罪 #密碼安全工具 #雙因素認證 #eToken #iKey #多層級認證 #安全憑證 #正新電腦#SafeNet #facebook
文章定位: