密碼重置問題的其他選擇:動態KBA
在社交網絡上,似乎很流行將自己的個人信息設置為密碼重置問題(當密碼丟失或遺忘時,用于重置)的答案。如今,由于社交網站的開放性以及公眾未能意識到個人信息的重要性,使得基于知識的認證(Knowledge-based authentication,KBA)問題的安全性比過去降低了很多。不管是在LinkedIn上發表的個人全面信息還是在Facebook上朋友們不斷回憶高中時代的有趣經歷,個人信息正慢慢泄露在公共互聯網上并對社交網絡詐騙提供了便利。
身份管理專業人員應該采取什么措施,才能確保在個人身份驗證憑證得以恢復的同時,能盡量減少攻擊者利用可獲得的公開信息來重置用戶密碼,并獲得訪問企業系統和數據的權限呢?要回答這個問題,你需要考慮采用何種技術來驗證互聯網終端用戶身份。
靜態和動態KBA
KBA技術有靜態和動態兩種形式。靜態KBA使用的是共享的秘密,用戶在創建賬戶時會被問到一些問題,并且只有用戶才知道問題的答案。如上所述,靜態KBA想開發出不使用公共領域信息作為答案的問題已越來越困難,因此,身份管理人員正在嘗試其它方式,第一個便是動態KBA。
動態KBA不依賴固定的問題。當用戶請求密碼重置時,系統會根據用戶個人積累的數據文件(公共記錄)、搜集的營銷數據或信用報告自動產生密碼重置問題。動態KBA的問題諸如:你以前的住址是在哪條街道:a)楓樹街1080號,b)柳樹路9840號,c) 天石大道3460號?或者是,你目前駕照上自己的身高是多少:a)5英尺4英寸,b)5英尺7英寸,c) 5英尺9英寸?像EMC旗下的RSA Security VerID和IDology公司都使用公共記錄以提供KBA服務。由于這些產品可以作為“軟件即服務”被出售,人們可以將這些產品集成到現有的任何一項Web服務上,而不必將公共記錄的收集和分析工具整合到公司目前的基礎設施上。
毫無疑問,動態KBA比靜態KBA更安全。盡管如此,它也存在一些問題。第一個問題,即便KBA供應商聲稱這種具有挑戰性的業務收集的信息僅僅是測試的結果,但人們仍然會認為公司為了向客戶提供服務可能會訪問到客戶的個人信息,而這樣做是不必要的。盡管如此,用戶也開始意識到自己的財務狀況以及國家和州政府的信息(即法庭文件、駕照資料、公開的財務信息、物理地址等信息)并非像他們認為的那么隱私。舉例來說,當用戶可能只想買一件低價的商品(比如一本書)時,為什么網上商戶會詢問他們駕照或抵押貸款的信息?這時,用戶就會懷疑了。
動態KBA的第二個問題是公共記錄的可用性。獲取公共記錄訪問權的目的是為了確保政府不會因為種族、性別或宗教信仰而歧視個人,它并非商用信息。盡管公共記錄出于政府監督的目的被公眾所接受,但美國的許多州正在考慮關閉其公共記錄了。加拿大政府已經關閉了公共記錄,一些歐洲國家的政府也已經禁止將公共記錄用于商業用途。因此,盡管動態KBA行之有效,在替換靜態KBA時也相當容易,但由于公眾現在更加關心隱私問題,立法機構可能會限制此項技術。
【編輯推薦】
