让身份验证更智能

申请免费试用、咨询电话：400-8352-114

如果你还仅仅是使用简单的密码来保护网络，那么你的网络很可能会门户大开。而传统的强验证产品其购买及部署费用仍然很高昂，于是许多企业开始寻找新的方法，让验证更智能、更普遍、更易于使用。 

今年三四月份，一小批电子邮件进入了欧美国家的国防部门及承包商的办公室。这些邮件在收件人看来似乎是可以信任的: 每封邮件都是发到某个员工的邮箱地址，还有合法的回信地址，种种现象表明这似乎是内部邮件。这些邮件数量极少、也极为狡猾，骗过了反垃圾邮件过滤器。后经过检查才知道是利用了微软Word当中以前未察觉的漏洞，从而得以从反病毒过滤器旁边溜过。那些不走运的收件人要是打开了电子邮件的附件，就会不知不觉安装了特洛伊木马。

诸如此类的网络钓鱼攻击毫无新意。多年来，把网上银行和电子商务客户引诱到假冒网站、然后诱骗他们透露敏感的账户信息，这种网上骗局已经成为网上犯罪分子的主要手段。不过，所谓的鱼叉式网络钓鱼（spear-phishing）攻击却是一种新的伎俩，攻击者用来侵入企业网络的软件也越来越先进。

在过去一年，针对公司的目标攻击数量从每周一两起增加到了每天一两起。MessageLabs的高级分析师Paul Wood说，虽然这个数字与邮件数量以百万计的电子邮件病毒和垃圾邮件活动相比可能不值得一提，但鱼叉式网络钓鱼攻击却更危险。

Wood说: “这种攻击不是针对从网上搜集而来的那些地址。这些人掌握了所要攻击组织的大量信息……这些邮件的目的性很强。”

它们攻击的对象通常是: 软件源代码、设计文档或者设计图表。不过以国防承包商为例，因情报丢失可能造成的破坏远超过通常的经济损失。对此，企业该怎么办呢？

单纯使用单因素的用户名和密码很快成为IT人士的笑柄，而传统的强验证（strong authentication）产品其购买及部署费用仍很高昂，于是如今许多企业寻找新的方法，让验证更智能、更普遍、更易于使用。

据专家们称，各个地方的IT部门很快就会需要部署类似金融公司如今使用的那些保护机制了。几百年来，金融公司一直在与各种欺诈作斗争。相应之下，一度波澜不惊的验证市场正在迅速转型。新的初创公司、新的设备以及风险资本的大量涌入，意味着很快就能派上用场。企业IT部门面临的挑战就是，抢在骗子们找到入口之前，让一切保护机制发挥作用。

密码失效吗？

正如Bob Blakley看到的那样，不是说密码已经没有用了，而是因为一开始密码就根本不是非常有效。

“根本的问题在于，原本就需要在人的认知能力和密码强度之间进行取舍，”Blakley说，他是IBM公司负责安全和隐私的首席科学家。如果标准的强密码协议所用的值使用8个或更多字符、混合字母值和数值，那么用户就会处于不安全的密码，或者选择很难记住的安全密码。

斯坦福联邦信用合作社（Stanford Federal Credit Union）CTO Sam Tuohey通过实际调查的方式得出了同样的结论——检查了4.5万名客户的密码强度。Tuohey领导的小组使用标准的密码破译工具对一系列加密密码进行了破译，结果发现，近80%的值在“不到一秒内”就被破译，Tuohey说。

多年来，简单密码足以阻止技术含量低的黑客行为和网上犯罪，如今不再是这样。松懈的用户访问机制一度可以接受，但如今就显得像是在吸引经验老到的网上犯罪分子: 他们很快发现了如何利用网络钓鱼攻击，迅速弄到密码，另外使用恶意代码搜集其他的敏感数据。

RSA安全公司高级副总裁兼消费者解决方案总经理Chris Young说，威胁环境的变化正在促使验证行业迅速发生变化。

Young说: “我们已经看到了这股动向，即由原来的中学生编写病毒改为如今有组织的犯罪团伙从事网络钓鱼、域欺诈及传播特洛伊木马，他们窃取信息纯粹是为了图谋钱财。”

斯坦福联邦信用合作社对此深有体会。Tuohey说，这家信用合作社不像美国银行或者富国银行这些目标，但网络钓鱼者还是在去年年底发现了它，于是设下了高明、有针对性的骗局，企图窃取客户的账户信息。

网络钓鱼者利用了这家信用合作社连接至斯坦福大学的网络，搜集到了成千上万个公开的stanford.edu地址，然后向他们逐一发送网络钓鱼的地址邮件，假冒邮件来自这家信用合作社。Tuhoey只听说有四个客户回复了电子邮件，他自认为这起骗局没有导致任何账户实际出现泄密。不过这起事件还是敲响了警钟。

多管齐下反对欺诈

强验证指利用额外因素（如智能卡、一次性密码生成器和USB令牌），它是担心欺诈的组织首选的传统武器，如今仍是许多组织的流行选择。RSA声称，全球共有两万个客户在使用其SecurID令牌。但强验证的部署及维护成本一直很高，另外许多用户也觉得使用不便。

斯坦福联邦信用合作社同样得出了这个结论。Tuohey说: “分发45000个令牌， 一旦有人损坏或者丢失，还要提供支持，这些工作会让人望而生畏。”

Tuohey说，斯坦福联邦信用合作社确实让经常出差及在家办公的员工使用智能卡，但传统的智能卡对没有阅读装置插入智能卡的客户来说并不实用。信用合作社的解决办法就是使用一种比较方便的双因素验证，其中包括PassMark Security公司（现隶属于RSA）的反欺诈和网站验证技术。

PassMark的技术采用了由用户选择的水印，以辨别合法网页和网络钓鱼骗局，另外使用了后端反欺诈分析功能，可以发现企图登录的可疑行为。RSA把这种多管齐下的方案称为“自适应验证”，但更通俗的说法是“基于风险的验证”。

RSA的Young说: “这种概念就是根据上下文，使用不同类型的验证方法。‘你是谁？’‘你在话路中的哪个地方？’‘你使用账户时的行为通常有哪些？’”

反欺诈厂商考虑使用的因素包括: 当前日期时间、IP地址、所用的计算机及地理位置。专家们说，虽然这些因素并非万无一失，但在确认大多数用户的身份时还是非常准确。

VeriSign今年2月收购了欺诈检测公司Snapcentric，其负责验证服务部门副总裁Nico Popp说: “我妻子总是在家上网上银行。她会有一系列非常稳定的行为: 使用同一种浏览器、使用同一家ISP，她还总是在周六上午上网上银行。这是非常清楚的模式。”

如果Popp妻子试着从韩国通过使用非英语设置的不同机器登录，就应当警惕了。另一方面，Popp本人经常全世界跑，所以他的地理位置信息不太稳定。不过他总是从同一台笔记本电脑来连接，所以设备设置及话路信息同样有效。

加强可靠性

Popp说，欺诈检测结合基于风险的验证具有强大功效，因为在正常情况下，用户看不到这对组合; 但一旦与用户行为有关的风险增加，比如转账或者账户突然更改，这对组合又会发挥功效。

Diversinet是一家提供基于令牌的强验证解决方案的厂商，其首席安全官Stu Vaeth强调，基于风险的验证并不是公司企业的万灵药。他说，反欺诈和基于风险的验证擅于消除网络钓鱼和中间人攻击，但安全性却不如传统的双因素验证。

RSA的工作人员Young赞同这番观点。他说: “这好比是说警报系统会让门锁销声匿迹。欺诈检测和基于风险的验证这对组合让没在使用证书如SecurID的数百万消费者或者企业用户可以使用诸多保护方案。”

这种想法代表着验证市场出现的重大转变。人们曾经认为仅仅授予许可权就是验证的实质，如今的解决方案却是旨在加强“可靠性”，IBM的Blakley如是说。

Blakley说: “人们以为，验证只要在开头做好工作就行了，以后再也不用管了; 但验证实际上是加强可靠性的过程——你必须自始至终确保交易合作伙伴的身份是可靠的; 而越到后头，这种可靠性可能越小。”比如说，访客通过了国家安全局在马里兰州米德堡的总部正门的身份检查，未必能进入大楼内的每个房间。

据安全厂商Cydelity的CEO Bob Ciccone声称，他们的做法就是监控用户在登录之后的行为，并标出哪些行为有风险。他说: “许多企业通常部署了分层防御机制，却没有部署监控用户进入系统后行为的这一层机制。”

与反欺诈领域的其他公司一样，Cydelity也关注地理位置和异常行为，比如更改或者禁用电子邮件通知，另外还请求转账、企图从可疑位置进行访问。

客户日益把这种基于分析的风险检测与令牌和智能卡之外的软件双因素验证结合起来，这种验证方法部署及支持起来比较容易。比如说，Diversinet的软件令牌提供的强验证效果类似传统令牌，但可以通过无线网络提供，保存在PDA或者移动电话上。与此同时，Bharosa为多种格式参数的设备提供了其Authenticator软件双因素验证应用软件; 而后端上的Tracker应用软件负责监控登录来源，以避免遭到欺诈。Bharosa的CEO Jon Fisher说，所用的分析指标包括用来登录的计算机或者移动设备、地理位置和行为特征。

未来在于开放

按照联邦金融机构检查委员会（FFIEC）在2005年的指令，“高风险的交易使用单因素验证作为惟一的控制机制是不够的”，比如转账。

今年6月，白宫管理和预算办公室赞同这一指令，要求联邦部门遵守国家技术标准研究所（NIST）的安全标准，包括对移动设备上的数据进行加密，远程访问数据使用双因素验证。

这些公告已经促使金融机构和政府部门竞相使用额外因素支持用户验证，但这对企业而言未必是件好事。因为厂商们致力于为政府和金融等垂直行业提供消费者欺骗防护技术，面向企业的产品就被暂时搁在一边。

VeriSign公司的Popp说: “市场机会基本上集中在FFIEC方面，眼下我们把99%的精力放在了这一块。厂商们完全把精力放到了欺诈、身份窃取和法规上。”他说，但一旦用于遵从FFIEC的资金日趋减少，厂商就会开始期望开拓更庞大的企业验证市场。

与Popp一样，IBM的Blakley也认为基于风险的分析是各种组织采用的普通验证过程的一部分。他说: “眼下，人们基本上都是事先进行风险分析。在将来，你会对风险因素进行更加动态的分析，所以如果系统认识到出现了异常情况，就会要求你通过另外的验证测试，确保验证强度得到提升。”

客户已经可以结合身份分析和业务规则检查来发现企业用户群体内部的关系。Blakley说，往其中添加更多的验证数据会导致市面上出现更专业的产品。 

生物识别技术助一臂之力

多因素验证在公共部门和私营部门都日渐受到欢迎，其中包括下一代生物识别技术，譬如富士通公司出品的这款PalmSecure静脉纹路扫描器。

但强验证的未来也许不在任何一家厂商的手里。开放验证组织（OATH）的开放源代码计划声称如今他们拥有的成员已超过了66个，其中包括智能卡厂商Axalto、BMC、IBM、USB令牌生产商SanDisk、VeriSign及其他厂商。OATH旨在建立由验证软硬件组成的生态系统，基于开放源代码组件，以鼓励历来由一小批大公司垄断的市场出现创新。

Popp说: “我们与OATH共同在推动开放的欺诈检测方案。专有网络从来不会成功，要是每家厂商都说，“这是我的欺诈数据，我不会与别人共享”。这只会帮助不法分子。

链接一:用“击键模式”确认身份

关注智能反欺诈解决方案的基本上是银行、金融服务和电子商务等公司，原因很明显: 这些公司常常是欺诈活动下手的对象。但电子商务和银行等垂直行业以外的领域也能够享受新型验证方法带来的优点。

对从事电台广告的网上分销商Musicrypt而言，新出现的行为生物识别验证技术是这家公司得以迅速发展的关键。Musicrypt基于Web的技术向加拿大和美国的无线电台推销新的音乐单曲及其他广告，利用数字下载方法取代速度较慢、成本较高又不太可靠的实体推销方法。通过网络进行推销还为唱片公司提供了哪些电台对其音乐感兴趣的宝贵信息。

不过，因为这些唱片公司同样关注网络隐私，所以安全对Musicrypt的客户来说是头等大事。无线电台经常在新唱片正式发布之前就能够欣赏到，所以Musicrypt需要一种方法向版权所有者确保: 只有授权人员才能接触唱片。为此，他们选择了BioPassword，这项基于软件的生物识别技术能够通过计算机用户的击键模式来确认其身份。

与其他形式的生物特征识别装置如拇指纹扫描器相反，BioPassword的击键分析器不需要使用任何特殊硬件。用户只要多次输入用户ID和密码——这样公司的软件就可以研究击键的时间和模式，即可登录。然后，客户可以调整检测的敏感性，从而消除误报; 或者放宽要求，允许若干人可以使用同一登录信息，BioPasswordCTO Greg Wood这样说。

指纹、面部和虹膜扫描器等比较传统的生物识别技术其成本、限制条件及不稳定的性能常常让许多企业犹豫不决。正因为如此，所谓的行为生物识别技术——包括击键、鼠标模式和语音分析以及密码发问、应答等软件验证方法才得以流行起来。

对Musicrypt而言，要是把强验证令牌分发给无线电台的数千名员工，那么支持起来既不实际，又需要高昂成本。击键特征识别技术以一种对用户来说透明的方式，为传统的用户名和密码组合添加了安全性，从而让这家公司获得了比提供类似的网上推销方法但仍依靠单因素验证来确保安全的公司更明显的优势，Montgomery说。

生物识别技术还提供了另一个优点，这可能会对唱片行业及这家企业带来更大的影响。

Montgomery说: “唱片公司的主管们想知道谁在无线电台打开了音乐文件。他们是以流媒体方式收听音乐，还是下载音乐？如果是下载了音乐，他们下载了多少次？”据Montgomery介绍，诸如BioPassword采用的生物识别技术可以确保“每个人的行动都有迹可循”。

链接二:多种多样的验证方法

一系列新技术为企业提供了用户名和密码之外的诸多验证方法。

不久前，强验证产品市场选择还是少得可怜，相当于“要可口可乐还是要百事可乐？”许多公司只有几个选择，包括安全令牌如RSA的备受欢迎的SecurID，以及Axalto和Gemplus等公司内置了芯片的智能卡。

对许多公司来说，智能卡和令牌仍是最要紧的东西; 智能卡行业预计，2007年会成为形势最好的年份之一。但如今，一度波澜不惊的用户验证技术市场却是暗流涌动。

原因何在？因为网络钓鱼攻击和针对性的“鱼叉式网络钓鱼”使得骗子们很容易获得侵入网上银行和电子商务网站等敏感系统所需的证书，侵入企业应用系统就更不用说了。Wi-Fi让人得以有可能进入防火墙后面的企业网络; 而不断花样百出的Rootkit手法使得检测恶意代码极为困难，以至几乎不值一提。但不得不提的是: 公钥基础设施（PKI）解决方案成本高昂！无论如何，企业网络和企业数据方面的混战已促使行业迅速发展，同时促使一批新兴公司采用新的方法来解决旧的验证问题。其中值得关注的潮流包括:

生物识别技术。十多年来，生物识别技术一直被誉为是“下一大热门技术”，但最近诸多因素促使企业纷纷采用这项技术。联想等各大PC生产商已经把生物特征扫描器集成到设备当中，而具有USB功能的扫描器成本也更为合理。新一代的行为生物识别技术也日渐受到欢迎。金融风险管理厂商Fair Isaac最近推出了名为Falcon One for Online Access的一款新产品，它能够监控客户行为，比如击键和鼠标操作模式。即将成为存储巨擘EMC旗下一员的RSA在今年4月收购了语音识别技术厂商: PassMark Security; 另一家行为生物识别技术厂商: BioPassword声称，即使骗子们窃取了你的用户名和密码，它的击键分析技术照样让他们无法阴谋得逞。

双因素验证。强验证解决方案面临的最大难题之一就是，采购及部署额外因素需要不小成本。密钥卡（key fob）和智能卡容易丢失或者受损，厂商根本没有什么好的办法来解决这个问题: 如何管理不同公司的一批令牌。近年来，Diversinet、RSA、Saflink和VeriSign都开发了能够以无线方式把令牌发送到移动电话或者PDA的技术。

基于风险的验证。大家都希望加强访问控制，但不是每个客户或者每笔交易都有必要使用双因素强验证。结果就是，企业正在采取存在细微差别的验证方案: 对高风险、高价值的交易采用强有力的安全; 而对低风险行为采取比较弱的安全。除了RSA和VeriSign外，Entrust和TriCipher等小公司提供的解决方案也结合了支持双因素强验证的功能和软件验证方法如密码发问/应答，还采用了分析欺诈风险数据的软硬件。

信誉等级服务。由于Rootkit程序、随看随下软件（drive-by download）及其他隐形技术急剧增多，拥有正确的登录证书根本不再像以前那样可以一劳永逸。许多公司还希望监控网上行为，以便详细了解用户身份、他们的行为，从而防止重大的安全漏洞，哪怕是在用户已经通过了验证之后。Cydelity、Cyveillance、IdenTrust、RSA和VeriSign等公司正在集成反欺诈、反网络钓鱼数据和行为分析结果，以便发现受到危急的机器和恶意破坏的员工。(ccw)