在社交网络上,似乎很流行将自己的个人信息设置为密码重置问题(当密码丢失或遗忘时,用于重置)的答案。如今,由于社交网站的开放性以及公众未能意识到个人信息的重要性,使得基于知识的认证(Knowledge-based authentication,KBA)问题的安全性比过去降低了很多。不管是在LinkedIn上发表的个人全面信息还是在Facebook上朋友们不断回忆高中时代的有趣经历,个人信息正慢慢泄露在公共互联网上并对社交网络诈骗提供了便利。
身份管理专业人员应该采取什么措施,才能确保在个人身份验证凭证得以恢复的同时,能尽量减少攻击者利用可获得的公开信息来重置用户密码,并获得访问企业系统和数据的权限呢?要回答这个问题,你需要考虑采用何种技术来验证互联网终端用户身份。
静态和动态KBA
KBA技术有静态和动态两种形式。静态KBA使用的是共享的秘密,用户在创建账户时会被问到一些问题,并且只有用户才知道问题的答案。如上所述,静态KBA想开发出不使用公共领域信息作为答案的问题已越来越困难,因此,身份管理人员正在尝试其它方式,第一个便是动态KBA。
动态KBA不依赖固定的问题。当用户请求密码重置时,系统会根据用户个人积累的数据文件(公共记录)、搜集的营销数据或信用报告自动产生密码重置问题。动态KBA的问题诸如:你以前的住址是在哪条街道:a)枫树街1080号,b)柳树路9840号,c) 天石大道3460号?或者是,你目前驾照上自己的身高是多少:a)5英尺4英寸,b)5英尺7英寸,c) 5英尺9英寸?像EMC旗下的RSA Security VerID和IDology公司都使用公共记录以提供KBA服务。由于这些产品可以作为“软件即服务”被出售,人们可以将这些产品集成到现有的任何一项Web服务上,而不必将公共记录的收集和分析工具整合到公司目前的基础设施上。
毫无疑问,动态KBA比静态KBA更安全。尽管如此,它也存在一些问题。第一个问题,即便KBA供应商声称这种具有挑战性的业务收集的信息仅仅是测试的结果,但人们仍然会认为公司为了向客户提供服务可能会访问到客户的个人信息,而这样做是不必要的。尽管如此,用户也开始意识到自己的财务状况以及国家和州政府的信息(即法庭文件、驾照资料、公开的财务信息、物理地址等信息)并非像他们认为的那么隐私。举例来说,当用户可能只想买一件低价的商品(比如一本书)时,为什么网上商户会询问他们驾照或抵押贷款的信息?这时,用户就会怀疑了。
动态KBA的第二个问题是公共记录的可用性。获取公共记录访问权的目的是为了确保政府不会因为种族、性别或宗教信仰而歧视个人,它并非商用信息。尽管公共记录出于政府监督的目的被公众所接受,但美国的许多州正在考虑关闭其公共记录了。加拿大政府已经关闭了公共记录,一些欧洲国家的政府也已经禁止将公共记录用于商业用途。因此,尽管动态KBA行之有效,在替换静态KBA时也相当容易,但由于公众现在更加关心隐私问题,立法机构可能会限制此项技术。