確保網(wǎng)上銀行安全的多重身份認(rèn)證方案
今年夏天,法院首次開(kāi)庭受理了印第安納州花旗金融銀行的一位客戶的案件,該客戶控告其網(wǎng)上銀行保障措施中缺少足夠的多重身份認(rèn)證。這起案件的法官指出,在2007年該客戶帳戶被盜的時(shí)候,銀行只提供了單重身份認(rèn)證保護(hù),這很明顯違反了美國(guó)聯(lián)邦金管會(huì)FFIEC 2005的規(guī)定,該規(guī)定指出金融機(jī)構(gòu)要采取多重身份認(rèn)證來(lái)確保網(wǎng)上銀行的安全。
隨著網(wǎng)上金融交易的增長(zhǎng),網(wǎng)上銀行欺詐行為也逐漸增多,用戶要求銀行能夠提供更高級(jí)別的保護(hù)措施,包括FFIEC要求的多重身份認(rèn)證。把這些控制工作做到位,是減少金融數(shù)據(jù)盜竊以及虛假帳戶活動(dòng)的關(guān)鍵一步,這樣做還可以讓銀行避免因網(wǎng)上欺詐而要擔(dān)負(fù)的潛在賠償責(zé)任。
按照多重身份認(rèn)證的要求,在進(jìn)行用戶認(rèn)證時(shí),須同時(shí)提交下面的兩個(gè)身份驗(yàn)證:一是你知道什么(比如密碼);二是你持有什么(比如一個(gè)動(dòng)態(tài)的PIN碼或令牌碼),或者你個(gè)人獨(dú)有什么(比如指紋)。讓我們來(lái)看看幾種銀行已經(jīng)實(shí)施的、比較常用的多身份認(rèn)證系統(tǒng),以及一些比較新的、確保網(wǎng)上銀行安全以及符合FFIEC規(guī)則要求的選擇。
其中,最常用的一種方法是使用傳統(tǒng)的、帶動(dòng)態(tài)PIN生成器的硬件令牌(hardware token)。這些硬件令牌效果明顯且容易擴(kuò)展,但是部署困難,價(jià)格也很昂貴。對(duì)于許多大公司來(lái)說(shuō),這顯然不是一個(gè)可行的方案。在某些情況下,金融機(jī)構(gòu)傾向于使用“軟件令牌(soft tokens)”,或者使用基于軟件的PIN生成工具,用戶能夠進(jìn)行下載然后安裝在手機(jī)上。經(jīng)過(guò)一個(gè)簡(jiǎn)單的注冊(cè)過(guò)程以后,用戶可以在他們的移動(dòng)設(shè)備上生成PIN密碼,其實(shí)質(zhì)上把它們變成了個(gè)人的硬件令牌。這種方法性價(jià)比更高,而作為硬件令牌的替代方案,這種 “軟件令牌”也迅速得到了人們的認(rèn)可。
另外一種傳統(tǒng)的辦法是使用一次性密碼(OTP),有時(shí)也把它叫做交易認(rèn)證數(shù)字(TAN)。在這種系統(tǒng)中,金融機(jī)構(gòu)會(huì)發(fā)給每個(gè)用戶一張?zhí)貏e的卡片,上面印有一次性密碼或者密碼短語(yǔ)列表。用戶每次進(jìn)行身份認(rèn)證時(shí),需要使用其中的一個(gè)密碼或者短語(yǔ)(按順序),然后把使用過(guò)的密碼從表格中劃掉。金融機(jī)構(gòu)建立并維護(hù)著一個(gè)用戶數(shù)據(jù)庫(kù)及其相應(yīng)的密碼列表,還能追蹤哪個(gè)OTP正在被使用。這個(gè)系統(tǒng)的性能很好,維護(hù)費(fèi)用也不貴,因?yàn)樗恍枰密浖涂梢允狗?wù)器端和用戶端的密碼列表同步。唯一的缺點(diǎn)是,當(dāng)用戶丟失他們的密碼列表或者雙方列表不同步的時(shí)候,維護(hù)成本會(huì)增加。
還有一種與此類似的系統(tǒng)是使用特殊的“賓果卡(bingo cards,類似填字圖)”。這些卡片由Entrust Inc. (IdentityGuard)和TriCipher Inc.這樣的公司提供,它們上面有一個(gè)網(wǎng)格,網(wǎng)格的一個(gè)軸上印有數(shù)字,另外一個(gè)軸上印有字母,在網(wǎng)格內(nèi)部還印有一些數(shù)據(jù)。當(dāng)用戶要登陸銀行應(yīng)用程序時(shí),首先需要輸入用戶名和密碼,然后根據(jù)提示輸入一系列在網(wǎng)格上的數(shù)據(jù)(舉個(gè)例子,D2)進(jìn)行認(rèn)證。每個(gè)卡片都是獨(dú)一無(wú)二的(像OTP一樣),如果卡片丟失,進(jìn)行替換也很方便,而且價(jià)格便宜。除了用戶丟失卡片時(shí)不能提供技術(shù)支持外,這種系統(tǒng)幾乎沒(méi)有缺點(diǎn)。其他的系統(tǒng)能夠生成OTP,并且把它們通過(guò)帶外(OOB)的方法(比如SMS、電子郵件和電話等)發(fā)送給用戶。
另外一種傳統(tǒng)的、實(shí)施多重身份認(rèn)證的另類方案是利用用戶登陸時(shí)使用的電腦作為多認(rèn)證的一個(gè)因素。通過(guò)在系統(tǒng)中放置一個(gè)已經(jīng)成功注冊(cè)的cookie,用戶就能通過(guò)輸入用戶名和密碼進(jìn)行登陸,通常還需要回答一些在注冊(cè)時(shí)事先設(shè)定好的“個(gè)人”問(wèn)題。當(dāng)用戶試圖用不包含這些cookie的電腦進(jìn)行登陸的時(shí)候,他們或者會(huì)被拒絕登陸,或者需要回答更多的、更嚴(yán)厲的、事先設(shè)定好的一系列問(wèn)題才能通過(guò)認(rèn)證。
基于cookie認(rèn)證方案主要的問(wèn)題是cookie容易損壞或者丟失。另外,如果cookie難以獲得或者一個(gè)系統(tǒng)無(wú)法被識(shí)別的話,這種方案就會(huì)退化成一些安全系數(shù)不高的方案,需要用戶回答一系列個(gè)人問(wèn)題。大多數(shù)情況下,這些cookie是加密的,即使被人通過(guò)跨站點(diǎn)腳本攻擊以及其他的方式獲得的話,也沒(méi)有多大的用處。
一些銀行正傾向于使用另外一種技術(shù),在普通多重身份認(rèn)證方案的基礎(chǔ)上添加一個(gè)新的認(rèn)證因素:基于位置的因素。盡管在一定程度上跟“你持有什么”的方案相關(guān),但是這個(gè)較新的雙因素模型(有時(shí)也被稱作設(shè)備指紋(device fingerprinting))依靠的是把地理位置的IP地址、ISP連接以及其他位置信息跟提前設(shè)置好的用戶總體信息聯(lián)系起來(lái)。提供這個(gè)技術(shù)的廠商包括41st Parameter Inc.、ThreatMetrix Inc.和Iovation Inc等公司。盡管這個(gè)方法越來(lái)越流行,但是因?yàn)榇蠹覍?duì)將它用于實(shí)際的多重身份認(rèn)證方案還缺乏信心,所以它并沒(méi)有被廣泛采用。許多金融結(jié)構(gòu)和用戶認(rèn)為,這個(gè)方法與其他的方法相比缺少移動(dòng)性和靈活性,如果終端機(jī)器被惡意軟件感染的話,安全還會(huì)受到威脅。
最后,我們將介紹另一種方法,盡管被金融機(jī)構(gòu)使用的非常少:生物辨別系統(tǒng)(biometrics)。然而,由于高成本和維護(hù)的復(fù)雜性(包括需要給用戶提供指紋閱讀器或者類似的東西),這種方案在大規(guī)模部署操作時(shí)不太現(xiàn)實(shí)。
總而言之,銀行和其他金融機(jī)構(gòu)需要采取行動(dòng),實(shí)現(xiàn)安全的多重身份認(rèn)證系統(tǒng),這對(duì)保護(hù)用戶的賬戶安全是至關(guān)重要的。市面上有許多不同的方案可供選擇,即使最大的金融機(jī)構(gòu)也能夠添加額外的認(rèn)證因素,從而驗(yàn)證使用網(wǎng)絡(luò)銀行和其他應(yīng)用的用戶是否合法。如果不采取這些措施,銀行將面臨因不遵守相關(guān)規(guī)定而被懲罰的風(fēng)險(xiǎn),并需承擔(dān)相應(yīng)的賠償責(zé)任,同時(shí)這還會(huì)使得消費(fèi)者對(duì)他們的網(wǎng)上銀行缺乏信心。
【編輯推薦】
