--專訪飛天誠信OTP產品總監陳達先生

2011年末爆發了中國互聯網史上最為嚴重的網站數據泄漏事件，很多中招用戶開始修改自己的密碼，“今天你改密碼了嗎?”成了最流行的網絡問候語，很多用戶都在抱怨改密碼改到手軟。想起互聯網剛剛在國內興起時候的一個名詞：“網上沖浪”，現在看來，如今的互聯網用戶依然是在用一個賬號+一個密碼在互聯網上肆無忌憚的“沖浪”。隨著黑客技術的不斷進步，這種傳統的賬號+密碼的身份驗證方式是否依然適合今天的互聯網？近日，IT168安全頻道就此話題專門采訪了飛天誠信OTP產品總監陳達先生。

1、傳統“賬號+密碼”身份驗證方式的優缺點

傳統的“賬號+密碼”身份驗證方式中提及的密碼為靜態密碼，是由用戶自己設定的一串靜態數據，靜態密碼一旦設定之后，除非用戶更改，否則將保持不變。陳達談到，這也就導致了靜態密碼的安全性缺點，比如容易被偷看、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊、木馬攻擊等。為了從一定程度上提高靜態密碼的安全性，用戶可以定期對密碼進行更改，但是這又導致了靜態密碼在使用和管理上的困難，特別是當一個用戶有幾個甚至幾十個密碼需要處理時，非常容易造成密碼記錯和密碼遺忘等問題，而且也很難要求所有的用戶都能夠嚴格執行定期修改密碼的操作，即使用戶定期修改，密碼也會有相當一段時間是固定的。從總體上來說，靜態密碼的缺點和不足主要表現在以下幾個方面：

(1)、靜態密碼的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的密碼安全性弱，復雜的靜態密碼安全性高但是不易記憶和維護;

(2)、靜態密碼安全性低，容易遭受各種形式的安全攻擊;

(3)、靜態密碼的風險成本高，一旦泄密將可能造成最大程度的損失，而且在發生損失以前，通常不知道靜態密碼已經泄密;

(4)、靜態密碼的使用和維護不便，特別一個用戶有幾個甚至十幾個靜態密碼需要使用和維護時，靜態密碼遺忘及遺忘以后所進行的掛失、重置等操作通常需要花費不少的時間和精力，非常影響正常的使用感受。

因此，靜態密碼機制雖然使用和部署非常簡單，但從安全性上講，靜態密碼屬于單因素的身份認證方式，已無法滿足互聯網對于身份認證安全性的需求。

2、企業/個人到底需要什么樣的身份驗證方式？

無論是確保個人信息的隱私性，還是企業保護核心數據的安全性，采用全新的身份驗證方式已經是勢在必行。我們盤點了目前可以用的大部分身份驗證方式，除了靜態密碼之外，今天可以采用的身份驗證方式還有如下幾種：

(1)、動態令牌

動態令牌是用于產生動態口令的身份認證終端設備，它需要配合后臺認證系統進行使用。動態口令也稱一次性口令。動態口令是變動的口令，其變動來源于產生口令的運算因子的變化，比如時間、次數、交易金額、對方帳號、交易流水號等信息。動態口令的產生因子一般都采用多運算因子：其一為令牌的種子密鑰，它是代表用戶身份的識別碼，是固定不變的;其二為變動因子，正是這些變動因子的不斷變化，才產生了不斷變動的動態口令。

動態令牌簡單、易用，且由于口令不斷變化，口令用過之后立即作廢，所以安全性較靜態口令有較大幅的提高，但仍比證書認證稍弱一些。它有多種形態，如硬件令牌、軟件令牌、手機令牌、短信令牌等，且應用范圍十分廣泛，它可以廣泛應用于銀行、證券、網游、電子商務、電子政務、網絡教育、企業信息化等領域，可以保護多種類型的應用系統，如主機、各種網絡設備以及各種使用計算機、手機、電話、數字電視等作為操作終端的應用系統。

(2)、智能卡(IC卡)

智能卡(IC卡)內置集成電路芯片，芯片中存有與用戶身份相關的數據，并封裝成外形與磁卡類似的卡片形式。智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。

智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

另外，智能卡需要配合讀卡器使用，因此無論在易用性，還是在成本方面，都比動態令牌稍遜一籌。

(3)、USBKEY

USBKEY是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKEY內置的密碼算法實現對用戶身份的認證。基于USBKEY身份認證系統主要有兩種應用模式：一是基于沖擊/響應的認證模式，二是基于PKI體系的認證模式，目前運用在電子政務、網上銀行。由于USBKEY采用軟硬件相結合、一次一密的強雙因子認證模式，所以它的安全級別較動態令牌高。

但是，USBKEY在使用時需要在客戶端安裝軟件，且需要插入到客戶端才能使用，對客戶端的接口有限制，所以應用范圍也受到了限制。因此USBKEY在易用性和應用范圍方面比動態令牌稍弱一些。

(4)、生物識別技術

生物識別技術是通過可測量的身體或行為等生物特征進行身份認證的一種技術。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括：聲紋(d-ear)、指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和DNA等;行為特征包括：簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術;將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術;將血管紋理識別、人體氣味識別、DNA識別等歸為“深奧的”生物識別技術，指紋識別技術目前應用廣泛的領域有門禁系統、微型支付等。

采用生物識別技術進行身份認證時，必須在客戶端安裝采集生理特征或行為方式的輸入設備，它可能會存在誤認和誤拒的現象，可能會導致正確的用戶被拒絕訪問，而非法用戶被允許訪問等情況的發生。同時，它的應用范圍也有所限制，例如指紋、虹膜等識別技術就無法用在電話委托系統、電視遙控器等應用中。

陳達強調，個人或企業可以根據其對應用安全等級的實際需求選擇相應的身份認證技術，例如，針對安全性要求很高的應用(如較大金額的網上交易等)中，可以選用USBKEY來進行身份認證;如果對于安全性要求一般，同時要求易用性的場合下，比如小額支付或移動互聯網身份認證，都可以選用動態令牌來進行身份認證。

3、雙因素身份認證的原理與應用

身份認證是在計算機網絡中確認操作者身份的過程，對用戶的身份認證基本方法可以分為這三種：

(1)根據用戶所知道的信息來證明用戶的身份，如靜態密碼等；

(2)根據用戶所擁有的東西來證明用戶的身份，如動態令牌、智能卡、USBKey等；

(3)根據用戶所具有的生物特征來證明用戶的身份，如指紋、虹膜、語音等。

所謂的雙因素身份認證，就是將以上任意兩種認證方法結合起來，對用戶的身份進行認證。雙因素身份認證將進一步加強認證的安全性。目前使用比較廣泛的雙因素身份認證方案有：靜態口令+動態令牌;靜態口令+USBKEY等。

雙因素身份認證的應用領域十分廣泛，它可以廣泛應用于銀行、證券、網游、電子商務、電子政務、網絡教育、企業信息化等領域，可以保護多種類型的應用系統，如主機、各種網絡設備以及各種使用計算機、手機、電話、數字電視等作為操作終端的應用系統。

雙因素身份認證可以普及到用戶日常網站、論壇的登錄中，用戶日常網站、論壇在采用雙因素身份認證方式時，可以采用網站、論壇原來的登錄密碼作為一個認證因素，再將動態令牌、USBKEY等作為另外一個認證因素，構成雙因素認證機制。通過采用雙因素身份認證，可以為日常網站、論壇的登錄提供更高安全級別的保障。

雙因素身份驗證實現的難易程度要根據所選擇的認證因素類型來決定。目前使用比較廣的雙因素身份驗證方式有“靜態口令+動態令牌”和“靜態口令+USBKEY”，這兩種方式都需要通過后端認證平臺和終端設備配合起來實現的。采用不同類型的認證因素，對于普通用戶和企業的要求也不一樣。但是總的來說，目前的采用的雙因素身份驗證方案都較成熟，且已經有較多的應用經驗，所以實施起來并不復雜。從使用和維護的角度，對于普通用戶和企業來說，門檻也不高。

相比較而言，動態令牌的實施部署和維護成本比較低，而USBKEY的實施維護成本非常高，同時，使用USBKEY需要用戶有較高的電腦專業知識。

另外，雙因素身份驗證的成本也需要根據所選擇的認證因素類型來決定。雙因素身份驗證需要由后端認證平臺和終端設備配合起來實現，所以成本也需要包含這兩方面。就目前的應用情況來看，主流的雙因素身份驗證方式的總體成本還是能讓大家接受的。

4、完整的企業數據保護方案是這個樣子的……

雙因素身份驗證主要在驗證用戶身份合法性方面起保護作用，以防止非法人員盜用、冒用合法用戶身份登錄到應用系統進行非法操作。對于企業的數據安全，除了身份驗證保護之外，還需要從以下幾方面來確保企業的數據安全：

(1)、數據加密。保存有機密數據的移動設備容易丟失或被盜，而通過公司網絡或互聯網傳輸的數據可能會遭到截取，這將會給企業重要數據帶來巨大風險。因此，對于重要、敏感數據，需要對數據進行加密之后再存儲或傳輸。數據加密可以采用各種加密算法來實現。

(2)、數據備份。數據備份對于保護企業數據安全來說，是十分必要的。如果由于系統故障、人為誤操作或其它因素導致的數據丟失，則需要通過備份的數據來恢復數據。

(3)、數據丟失(泄漏)防護。目前，大多數企業比較關注外部威脅，而忽略了企業內部漏洞，特別是由于企業自身的行為無意引起的數據泄漏，例如數據存儲設備(手提電腦、U盤等)的丟失造成的數據泄漏，已經給企業的數據安全帶來了巨大的威脅，這也加大了企業對數據泄漏防御(DLP)技術的需求。

(4)、數據保護其它措施。除了上述措施之外，企業還需要有合理的數據管理、數據保護策略和條例，來保護重要數據不受損害、竊取和篡改。

5、雙因素身份驗證技術的未來

陳達談到，隨著信息化程度的深化、應用不斷變化以及客戶個性化需求的不斷提出，認證因素將呈多樣性的發展趨勢，同時，隨著移動通訊技術、云計算等各種新技術的發展，結合了這些新技術的雙因素身份驗證方案也將會得到廣泛的關注和應用。

雙因素身份認證是在終端設備和后臺認證系統配合下實現的，因此，未來的終端設備將在易用性、形態多樣性、應用靈活性等方面得到進一步發展；而后臺認證系統將會朝著可以為各種認證終端設備提供統一身份認證的方向發展，同時在性能、穩定性、兼容互通性等方面將得到進一步提高。最后，陳達介紹說，目前飛天誠信已和Intel合作在國內首家推出了基于酷睿CPU的動態口令云認證中心。