如何能夠在用戶賬戶、密碼、安全挑戰問題等被盜用的情況下，繼續保護用戶的身份不被盜用？本報約請互聯網支付領域的安全專家、移動終端身份認證APP小微封創始人徐海光撰文剖析第三方認證服務的前景。

日前曝光的互聯網通用安全協議OpenSSL漏洞，其影響遍及全球互聯網公司。中國超過3萬臺主機受波及，以https開頭的網站中，初步評估有不少于30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶等知名網站，而在手機APP的網銀客戶端中，則有至少50%存在風險。總結來看，這次出現的OpenSSL 的漏洞主要造成的風險是因為部分網站安全技術問題及漏洞對應升級不及時，身份信息泄漏，包括用戶名、密碼、證書、郵箱等，黑客利用這些信息就可以盜用用戶的身份，進行遠程攻擊，造成真實用戶的經濟或其他損失。我們看到很多大的互聯網公司和銀行，如騰訊、阿里等都及時地對漏洞采取了修復措施，但由于很多用戶習慣于設置同樣的密碼和安全挑戰問題，可以預見，這種攻擊還會持續相當時間，一些其他未能及時更新漏洞的網絡服務商將成為黑客的樂園，他們的信息泄漏同樣會影響到用戶的微信、支付寶甚至網銀的安全。

如何能夠在用戶賬戶、密碼、安全挑戰問題等被盜用的情況下，繼續保護用戶的身份不被盜用？通過雙通道附加的安全認證就成為最有效的方式。第二通道最佳的工具就是人人都已持有的移動終端，如手機、平板電腦等。Bring Your Own Device (BYOD－自帶設備)已是安全領域發展的趨勢，它符合移動互聯對體驗和安全兼顧的需求。而對移動終端的認證，短信驗證碼還是存在被短信木馬（如隱身木馬等）、復制手機卡所攻擊的風險，最佳的方式是利用設備指紋的認證，實現用戶的賬戶只能在自己的移動設備上授權后才能登錄和使用。比如來誼電子的“小微封”APP，在手機上安裝后，可以對手機的硬件、軟件和行為特征進行識別認證（IBM在未來5年5大預測中描述的新一代數字衛士技術），在與服務商（銀行、第三方、互聯網公司）合作后，使得用戶賬號只能在“小微封”APP認證的設備上才能使用。這就好比用戶開一個柜子需要用兩把鑰匙，一把保存在服務商（銀行、第三方、互聯網公司），一把保存在用戶手機上。這樣，即使類似OpenSSL心臟流血事件造成了服務商的信息泄露，而因另一把鑰匙在用戶手上，也使得黑客無法用其他設備進行賬戶登錄實施攻擊，因為這個賬戶被綁定在已經識別的手機上。

用戶在互聯網上享受著各種各樣的服務，而互聯網服務商由于在技術、管理上的不同，造成對漏洞響應和分享是有時間延遲的。比如2013年Adobe公司的用戶信息泄漏，造成超過290萬的客戶信息被盜，這些信息的披露延遲了兩個多月，逐漸地波及到金融和其他行業。

如何能夠快速有效地應對身份信息的泄漏風險？附加的第三方認證服務將是可行的方案。在不改變現有各自服務商（銀行、互聯網公司）的安全體系的基礎上，附加第三方的雙通道安全認證方式，將第二通道的認證信息（時間、地理位置、設備識別等信息）和第一通道用戶的基本信息（用戶名、密碼、證書、服務指令等）分開，用戶的個人信息依然存儲在各自的服務商（銀行、互聯網公司等服務器中），而設備識別認證信息存儲于用戶的手機上，信息的分散存儲將極大地提高安全性。比如目前OpenSSL漏洞造成的用戶信息泄漏，如果有了用戶手上的設備作為第二把鑰匙的保護，黑客即使獲取了用戶賬號及密碼，也無法用其他設備登錄用戶的賬戶。同時第三方的服務方式，在技術及反應時間上可以提供高效的安全保障，一處升級，全部修復，安全防范可以快速分享，不存在時間延遲風險。在服務商系統快速完成升級后，用戶再對賬戶密碼進行修改，即可達到全面的安全水準。