7月22日,电子商务网站、域名注册管理和服务机构等组建了“中国反钓鱼网站联盟”,以防止钓鱼网站对金融系统造成的严重危害,避免给企业和个人带来不必要的财产损失。
互联网和电子商务的高速发展带动了网银系统的繁荣,其交易额也呈现倍数的增长。根据艾瑞咨询发布的《2007~2008年中国网上银行行业发展 报告》最新研究数据显示,2007年中国网上银行市场发展十分迅速,交易额规模实现爆发式增长,达245.8万亿元,环比增幅高达163.1%。但这些不 断增长的数字背后,网络银行的安全问题愈发让人担心。
由于网银早期只采用简单的“用户名+密码”的身份认证体系,黑客们很快就能摸清银行的认证机制进而对网上银行进行攻击。据国际信用卡组织 Visa的统计,2005年,亚太地区信用卡欺诈造成的经济损失约合3亿美元,欺诈比率为0.04%,即每1万美元的信用卡交易中就有4美元涉嫌欺诈。
危险浮现
网络信息化时代的最大特征就是身份的数字化和隐形化,如何准确识别一个人的身份,同时保护信息资料安全是现代社会必须面对和解决的一个问题。
网上交易的频繁和网上银行的安全漏洞,使黑客更容易利用各种手段盗取银行卡卡号、密码及个人资料,假冒通知、木马程序、钓鱼网站等虚假信息不断 涌现,如钓鱼网站就是不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或是利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的 HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站因存活期短、形式隐蔽等特点,传统的司法手段很难对其进行有效打击。公安部发布 的数据显示,2007年上半年1~6月份利用信用卡诈骗的案件达到1171起,比去年同期上升29%,涉及金额达4461.36万元,涉案金额比去年同期 上升9.9个百分点。
因此,如何防止关键个人信息被木马盗取或监听成为个人身份认证软件供应商所要面对的挑战。
双因数认证
目前,计算机及网络系统中常用的身份认证主要有用户加密、动态密码、智能卡和USB key等方式。USB key身份认证是一种USB接口的硬件设备,内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用内置的密码算法实现对用户身份的认证。它实现了 软硬件相结合,一次一密的强双因数认证模式,能很好地解决安全性与易用性之间的矛盾。其中的双重认证技术更是得到的受到了消费者的欢迎。
双因数认证就是在动态身份认证系统的基础上,结合使用国际标准加密算法设计的双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。
目前,很多身份认证软件都融入了双重动态认证技术,普遍用于企业的管理。像IBM Tivoli 身份认证管理器软件和Oracle身份管理10g第三版等都加强了企业对重要客户、员工和业务数据的访问权管理,实现与复杂 IT 环境的自动化流程管理,提高了企业安全策略和管理要求的法规遵从性。
如今,这项技术不仅可以部署到企业身份认证管理上,还拓展应用到网上银行认证方案中。2007年5月,金雅拓(Gemalto)公司协助巴克莱 银行推出了大规模双因数网上银行认证方案,协助防止网上银行证书的盗窃和使用。对企业和个人而言,其中Protiva数字证书身份认证体系产品更具实用 性,它结合了数字证书认证和USB 智能卡的优势(USB自带微处理器,内嵌加密算法,可进行运算,其中信息不可复制,提高了信息的秘密性)。并采用PKI体系中的数字加密和数字签名等技 术,为网络提供安全有效的身份认证机制。因为Protiva方案是用户连接到网络时需要时提供一个动态密码,这个密码被认证系统使用一次后就立刻失效,对 于键盘拦截程序和监听程序而言,得到的密码已经是失效的密码,没有使用价值。由于动态密码只能使用一次,所以可以防止钓鱼攻击者完全获得用户的ID信息。
技术回归
传统的身份认证技术,一直游离于人类自身之外发展,而且兜得越来越大,越来越复杂。显然,传统的身份认证系统,会使消费者因为丢失插件或忘记密码而急得团团转,而生物识别技术将提供一个完全是“人本位”的识别体系。
比尔·盖茨曾断言,生物识别技术将成为未来几年IT产业的重要革新。越来越多个人、企业乃至政府都承认,现有身份加密码或基于智能卡的身份识别系统远远不够,生物特征识别技术在未来提供解决方案方面将占据重要的地位。
生物识别技术主要是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为 方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、 行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术; 将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。
随着生命医学的发展,生物识别已应用到政府、金融、国防、教育、制造业、电信、电子商务等领域。但是,面对目前中国的发展,很快让大众使用生物识别技术还不太现实。生物识别技术没有真正普及,很多技术等待探索,那么怎样保证网上银行用户的安全,将是银行、软件提供商和政府的重要责任之一。