浅谈身份认证及如何防范身份盗窃

身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。

有身份认证就有身份盗窃,身份盗用是故意使用他人的身份,通常是为了获得经济利益或以对方的名义获得信贷和其他利益,结果会给对方造成损失。昆明亭长朗然科技有限公司信息安全专员董志军强调说:在电子化时代,严重的身份盗窃足以让受害者破产。因此,为防范成为身份盗窃的受害者,很有必要了解身份认证措施以及身份窃贼的常见招数。

从学术上讲,身份认证通常有三类招法:

你知道什么

根据你所知道的信息来证明你的身份(what you know,你知道什么) 。

口令,我们平常用得最多的就是输入密码,也称口令,实际上就是一串字母和数字的组合。

动态口令,有没有可能每次都使用不同的口令呢?答案是肯定的,现在大家使用的网银动态口令卡就是一次性口令,One Time Password,OTP。银行和银行发放给用户的动态口令卡之间会同步产生口令,每用一次就作废,这样即使口令在传输过程中被黑客截获了也没有用,因为下一次使用的口令根本无法预测,从而大大提高了安全性。

你有什么

根据你所拥有的东西来证明你的身份(what you have,你有什么 ) 。

智能卡,智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术很容易截取到用户的身份验证信息,因此存在一定的安全隐患,如身份证。

USB令牌,是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB令牌内置的密码算法实现对用户身份的认证。

你是谁

直接根据独一无二的身体特征来证明你的身份(who are you,你是谁 ),比如指纹、面貌等。

生物特征是指唯一可以测量或可自动识别和验证的生理特征或行为方式。有学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术,将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术,将血管纹理识别、人体气味识别、 DNA识别等归为深奥的生物识别技术。目前,指纹识别技术已广泛应用于门禁系统、微信支付等。

接下来,让我们简单看一看身份窃贼如何击溃身份认证措施,进而盗窃人们的身份。同时,我们聊一聊应对之策。

针对口令,有多种破解和猜测方法,在获得口令之后,也有针对使用同样口令的撞库攻击。所以口令要复杂,要让犯罪分子难猜测和破解,还要定期更改并设置为各不相同,以防撞库。同时,在允许的情况下,启用多重身份验证措施,是加一重保障。

针对动态口令的破解难度要很高,因为动态口令就是为了弥补常规口令的不足。犯罪分子常规的方法包括窃取一次性口令设备或者冒充其他身份骗取受害者提供该口令,比如使用伪机站或远程控制木马来窃取手机验证码等。当然,还需要提高警惕,切记在任何情况下,不要将动态密码告知任何人,以防止不法分子冒充他人身份进行社会工程信息诈骗。

针对智能卡和U盾等令牌,不法分子的方式往往只能是获得实体设备,或者绕过认证系统,通常来讲,想绕过认证系统并不容易,且绕过之后损害的可不是窃取其中某一个账户。 对于使用者来讲,防范之道自然是保护好智能卡和USB身份令牌,将它们置于安全的地方或者随身携带,避免将其随意放置,在出现丢失或被盗的情况,立即报告,以防被不法分子盗用。除了获得实体认证设备之外,窃贼可能通过社会工程学骗术引诱受害者进行智能卡和USB令牌的使用及认证信息提供,比如非法克隆复制相关卡片或诱使受害者提供二维码对应的字符串。加强安全知识学习,提升防诈骗意识,对于防止社工类攻击很必要。

针对生物特征的攻击,往往包括复制他人的特征,比如偷拍面部、制作虚假车牌,偷偷提取指纹等,以及社工诈骗,比如找外貌类似的人员和诱导他人借用身份。防范之道是保护好自己的个人信息,要认识到刷脸、指纹等技术并没有传说中的那么成熟稳定,错误认证的概率仍然存在。同时,切记不要轻信他人,帮助他人进行身份的验证,即让他人借用您的身份。

简单总结一下,窃贼盗窃身份的手段有技术型的,也有非技术的社工诈骗型的,我们要保护好自己的身份免于盗窃,需要做的很多,最重要的当然是提高安全防范意识。

昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

换个角度聊网络电信诈骗

在荒蛮的全球互联网上,有无数的犯罪分子希望窃取您的个人信息,进而出售您的个人信息,以捞取钱财。在芸芸众生的大千世界里,也有无数的方法可以让他人访问到您的财务账户,进而来进行支付,甚至直接转走您的钱财。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:我国强化互联网管治,虽然对网络的连通性和言论尺度有些限制,但是客观上也对国民的个人信息和数字财产起到了一定的保护作用。尽管如此,喜欢“发不义之财”、“好吃懒做”、“不劳而获”、“来快钱”的犯罪分子们仍然顽强地生存着,他们如人类社会的毒草一般,难以彻底清除。

那么,既然社会现实如此残酷,那么勤劳、善良、正直的人们啊,如何能够战胜不法分子呢?想要有效防范网络电信诈骗,首先,当然是识别出它们,识别出常见的在线诈骗类型,知晓诈骗者寻求信息的策略。其次,从长远来看,避免在网上贪婪,不接受便宜到令人难以置信的产品或服务,将会让您免于被骗。再次,在网上购物或都通过线上电子表单填写您的个人信息时,请始终对您的个人信息的去向保持怀疑态度。最后,记住:人性弱点的修复,永远比修复系统漏洞困难,保持警惕,不断学习防诈新知,您对诈骗话题了解的越多,就越容易保护自己。

每年,仅由于在线欺诈造成的受害者被盗案件达数百万,而更令人们担心的是,无论您在互联网上的习惯如何,您的数据都有可能被泄露并被利用来对付您。最常见的网络攻击做法是身份盗窃,身份盗窃包括司空见惯的账号、密码盗窃,也包括使用网络技术或社交工程学骗术,来冒充您的网络身份。

只要您的个人信息能够被其他人访问或使用,身份盗窃就可能发生。这可以采取多种形式,比如,使用您的身份证信息,通过线上商店,购买实名电话卡,然后再申请和激活信用卡。在《个人信息保护法》出台之前,尽管有《网络安全法》等,但因没有专门的高阶法规约束人们,所以身份信息泄露的情况非常普遍,通过不法渠道快速查询或购买他人的身份信息,也非常容易,这种状态下,谁只要想冒充您的身份,都易如反掌。于是,您不是损失了金钱,就是成了不法分子干尽了各种坏事之后栽赃的“背锅侠”。

而通过社交工程学骗术,理论上讲,任何人都可以在经过一些训练后,轻松冒充成其他人的身份,于是骗子们就可以摇身变成公检法人员、电信工作人员、银行工作人员、快递人员、工商税务官员、大款大腕、青春小妹、实习护士、单身离异女、大厂软件工程师、退伍军人、辅导员、班主任、公司老总……这时候,骗子盗用的不是您自己的身份,而是您所面对的各种角色人员。

简单说,除了快递单据、线下表格这些老套路,身份窃贼可以使用多种策略来获取对其目的有益的信息。网络钓鱼就是其中一招,不法分子通过像信誉良好的公司一样发送电子邮件来欺骗受害人,希望受害人认为这是一封真实的电子邮件,并在危险的网站上泄露他们的私人信息。当然,最基本的就是账号、密码,如果涉及实名身份验证,那么可能还会有姓名、身份证号码、手机号码、验证码等等。太多的人就这么被假冒的“银行账号维护”或“系统升级”网站欺骗,让自己的身份失窃,进而被骗走了多年辛辛苦苦挣来的血汗钱。

近年来,在线欺诈变得越来越危险。即使一个人打开恶意源,也有可能将其传播给连接到网络的每个用户。企业或机构本身也可能成为目标。通常使用电汇支付的公司可能会遭遇身份盗用,可以是收款、付款的对方,也可能是自己,黑客可能会假冒供应商,要求更改账户,也可能会假冒公司高管,要求财务人员进行紧急支付。

了解了身份盗用的理论和实例,相信会给您带来防御方面的启发,那就是一方面保护好自己的身份,防止盗窃,另一方面,留意鉴别他人的身份,防止被骗。此外需知,随着相关法规的逐步实施和落地,加之网络安全创新技术的部署和使用,网络社会将越来越成熟和安全,比如,随着身份验证措施不断加强,在“扫脸”等生物特征的验证下,诈骗者难以突破,诈骗行为就变得不那么容易成功了。然而,并非所有网络场景都会使用“扫脸”进行真人身份验证,而且也可能被不法分子指导下进“行扫”脸,也就是在“扫脸”后仍然被盗用身份,所以不法分子仍然有其活动的空间,我们不能太过乐观。

在网络世界之外,请务必粉碎包含个人信息的文档,而不是将它们扔掉。最常见的应该是快递包裹上的姓名和电话,刮去涂去都是顺手一分钟不到的事情,养成一个好习惯很重要。此外,应将包含敏感信息的文件存放在安全的地方。确保从邮件送达之日起,尽可能多地将快递包裹取出。

当您相信自己对各种骗局有很好的了解时,就会出现一种新骗局。商业世界中的博弈如此,网络电信虚拟世界也是如此。网络攻击者总是使用新策略来欺骗或攻击您以获取对他们有价值的信息。因此,我们应该经常进行研究,以进一步熟悉可以被不法分子利用的新手法。此外,由于越来越多的数据存储在基于云的服务上,而且信息技术正以飞快的速度让各类新的应用变得普及,很难预见未来又出现什么新型的网络应用以及利用该应用的诈骗手法。诈骗集团的创新速度要领先于预警和防范力量,我们必须认识到这一点,只有保持警惕,才能使自己处于最小危险之中。

数字时代,网络安全的对抗,越来越是“人力的较量”,昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

电话:0871-67122372

手机、微信:18206751343

邮件:info@securemymind.com