设备指纹双通道认证独辟蹊径 有效规避OPEN SSL漏洞
移动支付网 2014/4/14 9:07:58

  OpenSSL漏洞遍及全球互联网公司。中国超过3万台主机受波及,以https开头的网站中,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站,而在手机APP的网银客户端中,则有至少50%存在风险。总结来看,这次出现的OpenSSL 的漏洞主要造成的风险是因为部分网站安全技术问题及漏洞对应升级不及时,身份信息泄漏,包括用户名、密码、证书、邮箱等,黑客利用这些信息就可以盗用用户的身份,进行远程攻击,造成真实用户的经济或其他损失。我们看到很多大的互联网公司和银行,如腾讯、阿里等都及时的对漏洞采取了修复措施,但由于很多用户习惯于设置同样的密码和安全挑战问题,可以预见,这种攻击还会持续相当时间,一些其他未能及时更新漏洞的网络服务商将成为黑客的乐园,他们的信息泄漏同样会影响到用户的微信、支付宝、甚至网银的安全。

  如何能够在用户账户、密码、安全挑战问题等被盗用的情况,继续保护用户的身份不被盗用?通过双通道附加的安全认证就成为最有效的方式。第二通道最佳的工具就是人人都已持有的移动终端,如手机、平板等。Bring Your Own Device (BYOD-自带设备)已是安全领域发展的趋势,它符合移动互联对体验和安全兼顾的需求。而对移动终端的认证,短信验证码还是存在被短信木马(如隐身木马等)、复制手机卡所攻击的风险,最佳的方式是利用设备指纹的认证,实现用户的账户只能在自己的移动设备上授权后才能够登陆和使用。设备指纹是移动设备或PC内部的多项设备参数,涵盖芯片、处理器、外围设备等多个方面,共同构成对一个设备的唯一性标识。每一个设备,其设备指纹都是独有的。

  在设备指纹安全认证方面,目前国内外有代表性的一个解决方案是来谊电子的“小微封”APP,在手机上安装后,可以对手机的硬件、软件和行为特征进行识别认证(IBM在未来5年5大预测中描述的新一代数字卫士技术),在与服务商(银行、第三方、互联网公司)合作后,使得用户账号只能在“小微封”APP认证的设备上才能使用。这就好比用户开一个柜子需要用2把钥匙,一把保存在服务商(银行、第三方、互联网公司),一把保存在用户手机上。这样,即使类似OPEN SSL心脏流血事件造成了服务商的信息泄露,而另一把钥匙在用户手上,也使得黑客无法用其他设备进行账户登录实施攻击,因为这个账户被绑定在已经识别的手机上。

  用户在互联网上享受着各种各样的服务,而互联网服务商由于在技术、管理上的不同,造成的对漏洞响应和分享是有时间延迟的。比如2013年Adobe公司的用户信息泄漏,造成超过290万的客户信息被盗,这些信息的披露延迟了2个多月,逐渐的波及到金融和其他行业。

  如何能够快速有效的应对身份信息的泄漏风险?附加的第三方认证服务将是可行的方案。在不改变现有各自服务商(银行、互联网公司)的安全体系的基础上,附加第三方的双通道安全认证方式,将第二通道的认证信息(时间、地理位置、设备识别等信息)和第一通道用户的基本信息(用户名、密码、证书、服务指令等)分开,用户的个人信息依然存储在各自的服务商(银行、互联网公司等服务器中),而设备识别认证信息存储于在用户手机上,信息的分散存储将极大的提高安全性。比如目前OpenSSL漏洞造成的用户信息泄漏,如果有了用户手上的设备作为第二把钥匙的保护,黑客即使获取了用户账号及密码,也无法用其他设备登陆用户的账户。同时第三方的服务方式,在技术及反应时间上可以提供高效的安全保障,一处升级,全部修复,安全防范可以快速分享,不存在时间延迟风险。在服务商系统快速完成升级后,用户再对账户密码进行修改,即可达到全面的安全水准。 


展开全文
相关阅读
资讯查询取消