身份验证

浅谈身份认证及如何防范身份盗窃

admin

身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。

有身份认证就有身份盗窃,身份盗用是故意使用他人的身份,通常是为了获得经济利益或以对方的名义获得信贷和其他利益,结果会给对方造成损失。昆明亭长朗然科技有限公司信息安全专员董志军强调说:在电子化时代,严重的身份盗窃足以让受害者破产。因此,为防范成为身份盗窃的受害者,很有必要了解身份认证措施以及身份窃贼的常见招数。

从学术上讲,身份认证通常有三类招法:

你知道什么

根据你所知道的信息来证明你的身份(what you know,你知道什么) 。

口令,我们平常用得最多的就是输入密码,也称口令,实际上就是一串字母和数字的组合。

动态口令,有没有可能每次都使用不同的口令呢?答案是肯定的,现在大家使用的网银动态口令卡就是一次性口令,One Time Password,OTP。银行和银行发放给用户的动态口令卡之间会同步产生口令,每用一次就作废,这样即使口令在传输过程中被黑客截获了也没有用,因为下一次使用的口令根本无法预测,从而大大提高了安全性。

你有什么

根据你所拥有的东西来证明你的身份(what you have,你有什么 ) 。

智能卡,智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术很容易截取到用户的身份验证信息,因此存在一定的安全隐患,如身份证。

USB令牌,是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB令牌内置的密码算法实现对用户身份的认证。

你是谁

直接根据独一无二的身体特征来证明你的身份(who are you,你是谁 ),比如指纹、面貌等。

生物特征是指唯一可以测量或可自动识别和验证的生理特征或行为方式。有学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术,将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术,将血管纹理识别、人体气味识别、 DNA识别等归为深奥的生物识别技术。目前,指纹识别技术已广泛应用于门禁系统、微信支付等。

接下来,让我们简单看一看身份窃贼如何击溃身份认证措施,进而盗窃人们的身份。同时,我们聊一聊应对之策。

针对口令,有多种破解和猜测方法,在获得口令之后,也有针对使用同样口令的撞库攻击。所以口令要复杂,要让犯罪分子难猜测和破解,还要定期更改并设置为各不相同,以防撞库。同时,在允许的情况下,启用多重身份验证措施,是加一重保障。

针对动态口令的破解难度要很高,因为动态口令就是为了弥补常规口令的不足。犯罪分子常规的方法包括窃取一次性口令设备或者冒充其他身份骗取受害者提供该口令,比如使用伪机站或远程控制木马来窃取手机验证码等。当然,还需要提高警惕,切记在任何情况下,不要将动态密码告知任何人,以防止不法分子冒充他人身份进行社会工程信息诈骗。

针对智能卡和U盾等令牌,不法分子的方式往往只能是获得实体设备,或者绕过认证系统,通常来讲,想绕过认证系统并不容易,且绕过之后损害的可不是窃取其中某一个账户。 对于使用者来讲,防范之道自然是保护好智能卡和USB身份令牌,将它们置于安全的地方或者随身携带,避免将其随意放置,在出现丢失或被盗的情况,立即报告,以防被不法分子盗用。除了获得实体认证设备之外,窃贼可能通过社会工程学骗术引诱受害者进行智能卡和USB令牌的使用及认证信息提供,比如非法克隆复制相关卡片或诱使受害者提供二维码对应的字符串。加强安全知识学习,提升防诈骗意识,对于防止社工类攻击很必要。

针对生物特征的攻击,往往包括复制他人的特征,比如偷拍面部、制作虚假车牌,偷偷提取指纹等,以及社工诈骗,比如找外貌类似的人员和诱导他人借用身份。防范之道是保护好自己的个人信息,要认识到刷脸、指纹等技术并没有传说中的那么成熟稳定,错误认证的概率仍然存在。同时,切记不要轻信他人,帮助他人进行身份的验证,即让他人借用您的身份。

简单总结一下,窃贼盗窃身份的手段有技术型的,也有非技术的社工诈骗型的,我们要保护好自己的身份免于盗窃,需要做的很多,最重要的当然是提高安全防范意识。

昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

守护数字城堡:从密码到令牌,信息安全意识的进阶指南

admin

你是否曾经为了找回遗忘的密码而头疼不已?或者听说过银行系统被黑客攻击的新闻,感到一丝不安?这些看似遥远的安全问题,实则与我们每天都在使用的数字世界息息相关。本文将带你从最基础的密码保护,逐步深入到更高级的身份验证技术,并结合生动的故事案例,让你轻松掌握信息安全意识,成为数字世界的安全卫士。

第一章:密码的脆弱与进化——从键盘到令牌

在信息安全的世界里,密码是最初也是最常见的身份验证方式。然而,随着网络技术的飞速发展,传统的密码系统逐渐暴露出越来越多的漏洞。想象一下,你用一个容易猜测的密码登录银行账户,一旦被黑客获取,后果不堪设想。这就像把你的银行账户大门上挂了一个醒目的“请进”标志,任由不法之徒闯入。

为了解决密码的脆弱性问题,人们开始探索更安全的身份验证方式。从早期的“密码令牌”(token)到如今流行的智能卡,技术的进步不断提升着我们的数字安全。

密码令牌的早期身影: 20世纪80年代,密码令牌开始在电话公司和银行等机构中得到应用。它们通常没有键盘,而是通过加密算法每隔一段时间生成一个新的访问代码。其中最著名的例子是RSA SecurID。这种令牌就像一个秘密钥匙,只有真正拥有它的人才能生成正确的代码,从而证明自己的身份。

智能卡的兴起: 到了90年代,银行开始将智能卡应用于客户身份验证。这些卡片内置了微型芯片,可以存储用户的个人信息和加密密钥。通过智能卡和密码的结合,银行可以更有效地防止欺诈行为。

Chip Authentication Program (CAP): 2006年,一些荷兰和斯堪的纳维亚地区的银行开始向所有客户推广CAP技术。CAP系统使用一个特殊的计算器,通过读取银行卡信息和用户输入的密码,生成唯一的验证码。这种方式不仅可以用于登录银行网站,还可以用于交易验证,大大提高了安全性。

然而,技术的进步也带来了新的挑战。例如,如果你的钱包被盗,小偷可能会从密码令牌上读取你的密码,或者通过修改银行终端来获取你的账户信息。此外,如果一个银行同时使用多种类型的令牌,黑客可能会利用这些信息来发起更复杂的攻击。

第二章:黑客的智慧与反制策略——“米格机中的人”攻击

在信息安全领域,黑客的攻击方式总是层出不穷,而且往往出人意料。其中一个经典的攻击方式是“米格机中的人”(MIG-in-the-Middle)攻击,它源于二战时期空军中解决“友军射击”问题的努力。

二战中的IFF系统: 在二战期间,由于雷达技术的快速发展,空军面临着一个严峻的问题:如何区分友军和敌军?为了解决这个问题,人们开发了IFF(Identify Friend or Foe,识别敌友)系统。这个系统通过向飞机发射特殊的雷达信号,让友军飞机能够发出识别码,从而避免误击。

“米格机中的人”攻击的原理: 20世纪80年代,一些黑客利用了IFF系统的原理,发起了一场针对银行系统的攻击。他们通过拦截用户和银行之间的通信,冒充银行,获取用户的密码和交易信息。这种攻击方式就像在用户和银行之间设置了一个“人”,拦截并篡改他们的对话。

故事案例:南非空军的教训

在南非,空军曾经进行过类似的实验,试图通过一种特殊的IFF系统来提高飞行安全。然而,由于系统设计上的缺陷,导致了严重的事故。

故事发生在20世纪80年代,南非军队正在纳米比亚和安哥拉进行战争。南非空军的任务是为地面部队提供空中支援,同时防止敌军对南非的报复。为了确保飞行安全,南非空军使用了一种特殊的IFF系统,该系统通过向友军飞机发送随机的挑战信号,让友军飞机能够通过正确地响应这些信号来证明自己的身份。

然而,由于系统设计上的缺陷,一些友军飞机无法正确响应挑战信号,导致它们被误判为敌机,最终遭到攻击。这场事故暴露了IFF系统设计上的一个重要问题:必须确保所有友军飞机都能够正确响应挑战信号,否则系统将无法发挥作用。

为什么“米格机中的人”攻击如此有效?

  • 实时性: 黑客可以在用户和银行之间实时拦截和篡改通信,使得用户无法察觉攻击的存在。
  • 隐蔽性: 攻击过程通常不会留下任何痕迹,使得追踪和追责变得困难。
  • 利用现有协议: 黑客可以利用各种网络协议,发起针对不同系统的攻击。

第三章:信息安全意识的培养——保护自己的数字城堡

面对日益复杂的网络安全威胁,我们每个人都应该提高信息安全意识,采取积极的保护措施。

密码安全:

  • 使用强密码: 密码应该包含大小写字母、数字和符号,并且长度至少为12个字符。
  • 不要重复使用密码: 不同的账户应该使用不同的密码,避免密码泄露带来的风险。
  • 定期更换密码: 定期更换密码可以降低密码泄露带来的影响。
  • 使用密码管理器: 密码管理器可以帮助你安全地存储和管理密码。

身份验证:

  • 启用双因素认证: 双因素认证可以增加账户的安全性,即使密码泄露,黑客也无法轻易登录。
  • 谨慎对待可疑链接和附件: 不要点击来源不明的链接和附件,以免感染恶意软件。
  • 定期检查账户活动: 定期检查你的账户活动,及时发现异常情况。

其他安全措施:

  • 安装杀毒软件: 安装杀毒软件可以保护你的电脑免受病毒和恶意软件的侵害。
  • 更新操作系统和软件: 定期更新操作系统和软件可以修复安全漏洞。
  • 使用防火墙: 防火墙可以阻止未经授权的网络访问。
  • 保护个人信息: 不要随意在网上泄露个人信息,例如身份证号码、银行卡号等。

为什么信息安全意识如此重要?

信息安全意识是保护我们数字财产的第一道防线。只有当我们了解网络安全威胁,并采取积极的保护措施,才能有效地防止黑客攻击和信息泄露。就像保护我们的物理财产一样,保护我们的数字财产也需要我们时刻保持警惕。

我们提供包括网络安全、物理安全及人员培训等多方面的信息保护服务。昆明亭长朗然科技有限公司的专业团队将为您的企业打造个性化的安全解决方案,欢迎咨询我们如何提升整体防护能力。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898