危害在线安全的手段 身份认证是保障吗

网上交易因其诸多的便利条件,已经开始快速走进寻常百姓的生活。但是,离开了现实中面对面的"看得见"的交易方式,突然来到一个虚拟的、似乎没有什么安全感的网络世界,又让许多老百姓在网上交易时不免有些担心和疑虑。"网银大盗"、"网络钓鱼"、诈骗海啸捐款……一系列与在线交易安全相关的事件层出不穷。

危害在线银行安全的几种手段

网络钓鱼 "网络钓鱼"在很大程度上是利用了人们图方便的心理,骗子们通常是通过网页或电子邮件发送经过伪装的网上银行地址,很多人不愿输入一长串网络地址,只要点击了这个链接,就会登陆到伪装的网上银行网站上。骗子们会诱使你输入账号、密码,一旦骗子掌握了你的账号和密码,那么你的存款就有危险了。

病毒 类似"网银大盗"之类的病毒都属于木马病毒,一旦网银大盗病毒潜入你的电脑,就会自动扫描当前运行的所有窗口的标题。如果发现窗口标题包含类似"网络银行"、"银行客户端"等字样时,便会在检测窗口内输入框中的文字,并把该文字发送到木马作者的邮箱里。木马作者会分析获得的文字,从文字中可以很容易得到账户和密码。

间谍软件 一封钻进信用卡及金融公司员工信箱的电子邮件,偷走了机密的人事资料,这就是间谍软件干的事。网络间谍可以通过网络复制并传送公司企业的机密资料。目前间谍软件多以隐藏、欺骗的方式进行传播,用户在下载免费或者共享软件时,安装过后可能就已经让间谍软件埋伏在计算机中。

身份盗用 目前大部分人对身份被盗用没有足够的警惕,而身份盗用会严重影响电子交易安全的信心。如何识别某人的真实身份,进而赋予其相应的权限,从而允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。

僵尸程序 僵尸程序已经被列为是对个人用户及企业威胁不断增加的一种安全危害。这种程序通过聊天室,文件共享网络感染存在漏洞的计算机。它们通常无法被发现,而能够远程控制被害人的计算机,然后组成僵尸网络对其它计算机与网站发动攻击,发送垃圾邮件或者窃取数据。与大部分蠕虫及病毒一样,僵尸程序的主要攻击对象是那些运行Windows操作系统的电脑。

垃圾邮件 垃圾邮件和黑客攻击、病毒等结合也越来越密切。随着垃圾邮件的演变,用恶意代码或者监视软件来支持垃圾邮件已经明显地增加了。例如一个黑客组织发送包含恶意javascript脚本的垃圾邮件给数百万用户,那些通过Hotmail来浏览这些垃圾邮件的人们在不知不觉中已经泄露了他们的账号。

斩断在线安全幕后黑手

据《东亚经贸新闻》报道,吉林省长春市的付先生在还房贷时,像平时一样登陆了某银行的网站,准备通过网上银行支付房贷。进入自己的账户后付先生惊呆了,2.43万元存款竟不翼而飞!付先生赶紧找自己的卡,"卡还在,钱怎么没了呢?"他随后查阅了自己的网上转账记录,发现在此前的5天内,他的帐户先后被转走16笔钱。此后不久,同样的事情再次发生,吉林市某银行的储户丢失了2700元存款,查阅转账记录发现,有人通过网上银行多次转帐将这笔钱划走。

据了解,犯罪分子通过网络将自己设计的木马程序装到别人的机器中,如果使用中了该木马程序的电脑进行网上银行划帐业务时,该程序就会自动把这个储户的帐号和密码发到犯罪分子的电子信箱里。如果有相同银行的储蓄卡,就可以通过任何一台电脑把该储户的存款据为己有。银行方面把这种情况解释为客户没有保护好自己的密码所致,与银行系统无关。但事实真的是这样吗?

答案是否定的!我们虽然每天都在使用在线银行业务,但是却没有一个完善的保护措施。我们的账户安全几乎无一例外地通过单因素认证来实现,比如账户名和密码的组合。惟一不同的是,有的客户密码复杂,有的密码简单。然而,最近爆发的一系列有组织的个人信息盗窃案件以及不断攀升的钓鱼攻击发生率和键盘记录程序的泛滥,说明用户名加密码的这种认证方式已经无法起到保护作用了。

在不断看到在线交易问题的不安全报道的时候,人们开始怀疑是否需要或继续使用在线交易的方式。Informa研究服务公司最近的一次调查显示,消费者对于在线交易的信心在2005年从70%直线下降到了59%,而这个数字从2000年到2003年一直处于上升趋势。

为了更好地理解目前的客户在线消费环境,RSA安全公司于2005年5月在美国对8200位在线消费客户进行了一次定量调查研究,结果表明超过1/5的客户认为在线信息盗窃和欺骗已经对他们形成了严重的威胁,有2/3的客户担心某天他们的在线账户会遭到非法入侵。

消费者对在线交易信心的下降为他们进行在线交易的愿望和积极性敲响了警钟。对于电子邮件诈骗的担心已经影响到消费者的在线金融行为。26%的在线交易客户反馈说因为钓鱼欺诈的原因他们已经不再在线申请金融产品了;14%的客户表示由于担心电子邮件信息欺诈,他们已经停止使用在线银行和在线付款转帐服务等。未经授权的非法账户访问确实是个问题,仅靠密码一项已经不足以恢复消费者对在线交易的信心了。

但双因素认证是否就是我们所需要的解决方案?为了解答这一重要问题,EMC的安全事业部RSA向消费者阐述了基于设备的强认证概念,以调查人们对于采纳此类服务的兴趣及是否愿意为享受此类服务而付钱等等。调查结果表明消费者不但对硬件认证解决方案感兴趣,而且他们确实愿意采用这种解决方案,有40%的受访者表示他们"可能"或"极有可能"采取这种方式进行账户安全保护,并且有相当一部分受访者表示在价格合适的时候他们会愿意为此付钱。这个百分比和那些表示"极有可能"通过主流和那些广泛采用的在线安全保护服务如防病毒软件和防火墙的用户比例处于同一水平线上。

更值得注意的是,提供强认证服务能够影响到消费者的在线消费态度和行为。

有80%的受访者表示强认证服务会让他们对账户提供商更加满意和信任;68%的受访者表示强认证服务有助于增强他们对于账户提供商的忠诚度;而44%的受访者表示如果他们现在的账户提供商不支持此类服务而竞争对手支持的话,他们很可能会更换账户提供商(在所有其他服务相同的前提下)。

满意度的提升意味着用户在该账户提供商所提供的服务下进行的商业交易数量将会增加,而账户提供商留住现有宝贵客户资源的能力也有助于其节省花费在争取新客户上的投资。

最后,82%的受访者表示基于硬件的强认证服务将增强他们对在线交易的信任和信心,而67%的受访者表示如果有足够好的安全认证,他们愿意从离线渠道交易模式转换到在线交易模式。

通过支持客户进行更多的在线交易,基于硬件的强认证服务不但可以作为一种有助于留住现有客户
资源和争取更多客户资源的工具,它也能降低公司的整体交易成本。通过一个无RSA认证器的开放网络实现终极用户的多个在线账户认证灵活性的客户认证服务模式也为广大用户所接受。

当被问道"如果账户提供商向你提供此类强认证服务,它会怎样影响你?"时, 多数受访者表示愿意更多地尝试在线交易。因此,无论是电子商务企业,或者是在线金融服务提供者,都将面临在线身份的安全问题和挑战。那么,该怎样应付当今的在线欺诈威胁?采用何种技术来对付这些威胁呢?

RSA推出了客户认证服务,这是一项基于网络的服务,它被设计用于使消费者能够通过使用RSA SecurID双因素认证技术来保护他们宝贵的在线账户信息。在该服务之下,消费者只需拥有一份强认证证书即可实现多个不同账户的认证与管理,而不要求以不同账户提供商彼此之间具有相互信任关系为前提。

为了实现这一目的,向消费者(即最终用户)提供该服务,它要求各网络账户提供商,如金融服务机构、电子商务公司、在线拍卖公司、网络门户等共同加入这一认证服务网络,客户在任何一家加入该服务网络的站点上都可以使用同一个证书通过强认证验证。

身份认证保障在线安全

一个有效的身份识别管理解决方案为企业的在线环境,尤其在身份识别方面建立起了可信度,支持这种可信度的技术就是强身份认证。认证有许多不同的形式,包括令牌环、智能卡、数字认证等,通过证实交易人的识别特点,从而建立可信度。

因为,如果没有强认证,我们无法知道谁在进行交易?交易的人是不是授权的人?因此,用户名加密码的单点认证安全模式,已经不再适应高速发展的互联网时代,双因素认证应该成为身份认证的流行法则。

RSA将支持万事达卡芯片认证协议和Visa动态密码认证功能的新模块集成到RSA Adaptive Authentication解决方案当中。RSA Adaptive Authentication是一个集中的、多层的认证解决方案,并且被全美100家最知名银行中的35家以及欧洲的许多大型银行机构所采用。新的CAP模块向金融机构提供了灵活和友好的用户解决方案。

目前,全球金融机构部署基于EMV(EuroPay、MasterCard、Visa)标准的新智能卡的数量不断上升。这些卡也叫做芯片或PIN卡,卡上的芯片能够存储和运行小型的applets,确保芯片卡能够执行一系列不同的功能。

一旦这些功能有效,当插入读卡器时,就会产生一个一次性密码。这种应用称作CAP–芯片认证协议(Chip Authentication Protocol),或称作Visa的DPA(Dynamic Passcode Authentication)。通过集成RSA基于风险的认证和一次性密码认证技术,使我们克服了传统双因素认证设备,比如智能卡的三个主要障碍:

安全漏洞 通过把RSA基于风险的认证技术与CAP集成,集成的解决方案能够确保系统更加安全,而且减少了类似"中间人"和木马的攻击(这些攻击能够绕过许多独立的双因素解决方案)。

使用问题 系统不仅有很强的使用性,而且也很友好。它允许金融机构部署CAP认证,而且使用基于风险的认证作为在读卡器或卡不可用的低风险环境下的支持。此外,该系统还能够实现对与支付无关的高风险活动的透明认证。

大规模部署的挑战 即便之前部署了全保险周期的基于CAP的卡和读卡器,一些强大的技术仍可以开启CAP。但是,该技术仍然为所有用户提供防护欺诈行为的能力。