在⽣活中,我们每⼀天都逃脱不了被认证身份的宿命,每⽇出⾏需要扫健康码认证,进⼊公司园区需要刷卡认证;登录⼿机银⾏APP需要刷脸认证;登录社交⽹络平台需要账号密码认证……身份认证作为防护的第⼀道关⼝,⽆论是线上线下都需要进⾏“身份认证”。我们每天扮演不同的⻆⾊,如员⼯、客户、管理者、服务者等,我们每天都会⾯临哪些身份认证,这到底是如何实现的呢?
身份认证(即“身份验证”或“身份鉴别”)是证实我们的真实身份与其对外的身份是否相符的过程,从⽽确定我们的信息是否可靠,防⽌⾮法⼈员假冒其他合法⼈员获得⼀系列相关权限,保证我们信息的安全、合法利益。在现实中对身份的认证的⽅式有很多种,但⼤多数都要基于信息秘密、信任物体、⽣物特征三种验证⽅法。
信息秘密如静态密码、共享秘钥、动态⼝令等,根据已知的信息来证明你的身份(what you know),设置某些信息只有某些⼈知道。如密码锁,可通过输⼊密码来确认这个⼈的身份。信任物体如智能卡、银⾏卡、证书、钥匙、印章等,根据你所拥有的东⻄来证明你的身份(what you have),当你成为公司员⼯时,获得能够识别身份的智能卡,证明你属于这个公司,同时记录个⼈身份信息。
⽣物特征如脸像、虹膜、指纹、声⾳、笔迹等等,根据你独⼀⽆⼆的身体特征来证明你的身份(who you are),以⼈体唯⼀不变的⽣物特征为依据,利⽤计算机的强⼤功能和⽹络技术进⾏图像处理和模式识别,与传统的身份确认⼿段相⽐具有很好的安全性,可靠性和有效性。
在信息系统中,计算机仅仅识别⽤户的数字身份,对⽤户的授权就是对⽤户数字身份的授权。当我们打开⽹⻚连接到服务器,输⼊⽤户名和密码时,系统会对⽤户进⾏单向的身份认证,当⽤户名和密码都通过了验证,⽤户就可以使⽤系统分配的权限执⾏相关操作。由于⽤户名和密码属于静态⼝令,因此很容易被驻留在计算机内存中的⽊⻢程序或者⽹络中的监听设备截获。
在现实⽣活中,我们每个⼈还都拥有很多的物理身份,为了保证操作者与数字身份相对应,⼤多数场景应⽤是通过组合两种或两种以上要素组合形成安全可靠的身份认证系统。根据不同的身份认证⼿段,身份认证技术可分为:根据认证设备,身份认证技术可以分为软件认证和硬件认证。根据认证信息,身份认证技术可以分为静态认证和动态认证。根据验证条件,身份认证技术可以分为单因⼦认证和双因⼦认证。
智能卡是⼀种内置集成电路的卡⽚,卡⽚中存有与⽤户身份相关的数据,智能卡由特定的制作⼚商⽣产,通过硬件和软件相结合的验证⽅式。智能卡⼩巧⽅便随身携带,登录时需要相对应的硬件设备识别读取其中的信息,以验证⽤户的身份。智能卡认证是基于信任物体的⼿段,通过硬件+软件两种模式,双重保证⽤户身份信息。但由于每次从智能卡中读取的数据还是静态的,还是很容易通过内存扫描或⽹络监听等技术截取到⽤户的身份验证信息。
所以智能卡也是存在⼀定的安全隐患。
PKI(Public Key Infrastructure,公开密钥基础设施)是利⽤公开密钥机制来提供安全服务的基础设施,PKI的主要是⽤来发⾏“身份证明书”。其核⼼内容就是证明书的制作和分发的机制,注册中⼼(RA)只负责接受⽤户的注册和申请信息的鉴别,审核⽤户身份,并决定是否同意认证中⼼给申请者签发数字证书。
认证中⼼(CA)负责通过签发证书将主体与公钥进⾏捆绑,使⼀个身份对应⼀对公/私密钥。证书库是关系数据库,集中分发证书并提供公众查询。
动态⼝令技术是使⽤户的密码按照时间或使⽤次数不断动态变化,每个密码只使⽤⼀次的技术。⽬前⼤多数动态⼝令应⽤于移动客户端,通过专⻔的密码算法,根据当前时间或使⽤次数⽣成当前密码。认证服务器采⽤相同的算法计算当前的有效密码。
⽤户使⽤时只需要将动态令牌显示的当前密码输⼊客户端计算机,即可实现身份的确认。由于每次使⽤的密码必须由动态⼝令来产⽣,所以当你持有动态⼝令⽣成器,获取到密码就可以验证身份通过了。因为⽤户每次使⽤的密码都不相同,即使⿊客截获了⼀次密码,也⽆法利⽤这个密码来仿冒合法⽤户的身份,但我们⼀定要保护好⾃⼰的动态⼝令⽣成器。
在⽇常中,因为繁琐的认证⽅式和频繁认证过程,迫使⼤家经常性会选择重复使⽤或简单容易记忆的密码,使得账户很容易受到⽹络钓⻥和暴⼒攻击。当然随着科技的发展,身份认证系统的设计也在不断的完善中,很多认证系统也会选择多个服务器来执⾏信息密码认证,防⽌⼤量的⽹络钓⻥攻击和按键记录软件截取获得⽤户密码,保证信息不泄露。
认证受到的攻击是防不胜防,再完善的技术解决⽅案,不如从⾃身做起,在设置密码时,应该限制密码的重复使⽤,且需要定期修改,最好设置字⺟、数字、特殊字符等多种组合密码,对特别需要加密的内容设置多道密码,设置⾼安全度密码并且定期修改,保证个⼈信息安全。