天天操人人干,夜夜操夜夜爽,一级片中国,国产成视频

真情服務(wù)  厚德載物
今天是:
聯(lián)系我們

市場(chǎng)部:0564-3227239
技術(shù)部:0564-3227237
財(cái)務(wù)部: 0564-3227034
公司郵箱:lachs@126.com
技術(shù)郵箱:cc1982@163.com
地址:六安市淠望路103號(hào)

技術(shù)分類
推薦資訊
當(dāng)前位置:首 頁 > 技術(shù)中心 > 安全產(chǎn)品 > 查看信息
芯盾時(shí)代:一種會(huì)思考的新一代安全身份認(rèn)證方式
作者:永辰科技  來源:ZD至頂網(wǎng)安全頻道   發(fā)表時(shí)間:2016-7-15 10:12:36  點(diǎn)擊:3648

   喂,有沒有想過你在互聯(lián)網(wǎng)上的“身份證”是什么?更通俗地講,在互聯(lián)網(wǎng)中,什么能證明“你是你”?

當(dāng)我們登錄一個(gè)銀行APP時(shí),是不是只憑“用戶名+口令”就可以進(jìn)行查詢和交易等一系列操作?顯然不是那么簡(jiǎn)單,為什么?每年都有大量的網(wǎng)上賬號(hào)密碼等信息泄漏事件曝光,即使是大的在線服務(wù)商(12306、網(wǎng)易郵箱等)也不能幸免,銀行卡信息也不例外。

因此,除了用戶名密碼驗(yàn)證,服務(wù)商會(huì)開啟第二道身份驗(yàn)證程序,那就是短信驗(yàn)證碼。

對(duì)的,現(xiàn)在回答開文我們提到的問題,“數(shù)字世界中,什么能證明你是你?”答案就是短信驗(yàn)證碼,那個(gè)4或6位的數(shù)字。

芯盾時(shí)代:一種會(huì)思考的新一代安全身份認(rèn)證方式

本來,短信是一種漸漸被遺忘的通信方式,但現(xiàn)在這種傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)逐漸改變了它原來所扮演的角色,成為了用戶名口令基礎(chǔ)之上的主流身份驗(yàn)證方式,在安全行業(yè)被稱為雙因素認(rèn)證。

可是,本文要強(qiáng)調(diào)的是,短信驗(yàn)證碼它不安全、不安全、不安全……

短信驗(yàn)證碼,它能代表誰?

為什么說短信驗(yàn)證碼不安全,我們先來看看一個(gè)案例:

一年前,網(wǎng)絡(luò)瘋傳的《我與工行+10086的撕逼大戰(zhàn)》事件中,事主前后被盜轉(zhuǎn)賬萬余元,盜取資金的不法分子能夠成功的關(guān)鍵因素就是因?yàn)樗@得了用戶的短信驗(yàn)證碼。入侵者利用事先獲得的事主運(yùn)營商網(wǎng)上營業(yè)廳的賬號(hào)密碼,從其短信保管箱中偷走了短信驗(yàn)證碼。有了銀行賬號(hào)密碼和短信驗(yàn)證碼,入侵者輕松進(jìn)行了資金盜轉(zhuǎn)。當(dāng)然,此類事件并不孤立,還有入侵者利用運(yùn)營商的線上自助換卡業(yè)務(wù),拿到了手機(jī)卡的權(quán)限,后續(xù)的驗(yàn)證碼獲取則不在話下。

不法分子想要偷取你的短信驗(yàn)證碼,還有以下幾種方式:

· 通過手機(jī)木馬APP攔截短信驗(yàn)證碼:本來有一些正版APP為了用戶體驗(yàn),采取自動(dòng)讀取短信而省卻了用戶收到驗(yàn)證碼等信息時(shí)需要手工輸入的麻煩,F(xiàn)在木馬通常也會(huì)偽裝在看起來很正常的手機(jī)軟件中,以進(jìn)行攔截短信甚至刪除正常收到的短信內(nèi)容。

· 通過空中接口攔截:這是一種更難以防范的方式,入侵者通過特殊的接收設(shè)備對(duì)手機(jī)信號(hào)進(jìn)行干擾,并從基站廣播的空中接口截獲短信內(nèi)容。

也許有人疑問,一直在強(qiáng)調(diào)短信驗(yàn)證碼的風(fēng)險(xiǎn),銀行卡密碼怎么會(huì)到了入侵者的手里?其實(shí),開文也講了那個(gè)看不見的“黑市”。前幾個(gè)月的央視報(bào)道中,記者在地下黑市中很容易買了1000條銀行卡信息,包括姓名、身份證號(hào)、卡號(hào)、登錄密碼、交易密碼、銀行預(yù)留手機(jī)號(hào)等,在記者隨機(jī)對(duì)70條信息進(jìn)行驗(yàn)證時(shí),其中65條信息全部正確。所以,千萬不要認(rèn)為你的信息很安全,很多人“成套”的個(gè)人信息已經(jīng)在地下黑色產(chǎn)業(yè)鏈中流轉(zhuǎn)。

有了用戶名密碼,有了短信驗(yàn)證碼,“誰都可以是你”。事實(shí)證明,這種僵化和粗暴的身份驗(yàn)證方式是靠不住的。

我們需要怎樣的安全身份認(rèn)證?

其實(shí)第一代身份認(rèn)證 “賬號(hào)+靜態(tài)密碼”仍然是一種普適性的方式,原因是它的靈活性足夠高,你只要能記住就可以了。但是它的安全級(jí)別非常低,易受拖庫撞庫、社會(huì)工程學(xué)、口令竊取等攻擊。這也是為什么包含這兩項(xiàng)敏感資料的信息能夠在黑市和地下產(chǎn)業(yè)鏈交易的重要原因。

芯盾時(shí)代:一種會(huì)思考的新一代安全身份認(rèn)證方式

身份認(rèn)證技術(shù)演進(jìn)

對(duì)于第二代身份認(rèn)證也就是賬號(hào)密碼之上加短信驗(yàn)證碼的方式,前面已經(jīng)闡述很多,它是一種靈活性居中的簡(jiǎn)單方案,并且使用廣泛,據(jù)運(yùn)營商業(yè)內(nèi)人士介紹,2015年中國短信驗(yàn)證碼的市場(chǎng)規(guī)模已經(jīng)達(dá)到了50億元。不過正如前文所解讀,它的安全性同樣特別低,易受短信驗(yàn)證碼盜取攻擊。入侵者一旦拿到了短信驗(yàn)證碼,他的后續(xù)一系列操作也意味著暢通無阻。

那么究竟有沒有一種真正安全的身份認(rèn)證措施?答案是有的,那就是賬號(hào)密碼+U盾的方式,這可以被認(rèn)為是第三代身份認(rèn)證方式。它的安全級(jí)別高,不易被攻擊。

但是U盾是PC時(shí)代的產(chǎn)物,我們?cè)陔娔X上操作網(wǎng)銀轉(zhuǎn)賬時(shí),通常用到U盾,它可以保障安全交易。不過,現(xiàn)在是移動(dòng)的時(shí)代,你能想象我們?cè)诘卿浭謾C(jī)銀行APP操作時(shí)要隨身攜帶U盾嗎?顯然,它的使用體驗(yàn)極差。

那么,到底有沒有一種兼顧安全性和靈活性的身份認(rèn)證方式,這才是用戶所需要的。

如何實(shí)現(xiàn)兼顧安全和靈活的新一代身份認(rèn)證?

有著U盾的安全性、有著賬號(hào)密碼的靈活性,能不能實(shí)現(xiàn)這樣的新一代身份認(rèn)證?隨著云技術(shù)、大數(shù)據(jù)技術(shù)的發(fā)展,是不是該革新下安全身份認(rèn)證技術(shù),而不是還停留著十幾年前的安全體系。

近日,ZD至頂網(wǎng)記者注意到了北京芯盾時(shí)代科技有限公司提出的新一代身份認(rèn)證體系,它主要解決三個(gè)問題:“手機(jī)設(shè)備安不安全?拿手機(jī)的人安不安全?干的事兒安不安全?”

芯盾時(shí)代創(chuàng)始人在接受我們的采訪時(shí)表示,芯盾時(shí)代幫助金融機(jī)構(gòu)、政府、互聯(lián)網(wǎng)等各行各業(yè)建立安全認(rèn)證體系,就是針對(duì)這三個(gè)環(huán)節(jié)去驗(yàn)證“設(shè)備”、驗(yàn)證“人”、驗(yàn)證“行為”。

芯盾時(shí)代:一種會(huì)思考的新一代安全身份認(rèn)證方式

芯盾身份認(rèn)證框架

落實(shí)在技術(shù)上,則是利用設(shè)備認(rèn)證、生物認(rèn)證、大數(shù)據(jù)風(fēng)控等技術(shù),對(duì)現(xiàn)有的身份驗(yàn)證方式進(jìn)行革新。

設(shè)備認(rèn)證:確保用戶的安全設(shè)備在操作。芯盾根據(jù)手機(jī)設(shè)備的特性,提取設(shè)備的“DNA”進(jìn)行識(shí)別。一是確保是合法的設(shè)備,例如它是一個(gè)真實(shí)手機(jī)而不是入侵者利用的模擬器,它有一個(gè)安全的系統(tǒng)環(huán)境而不是在攻擊框架下、沒有安裝惡意應(yīng)用等;二是確保是用戶的設(shè)備,也就是要識(shí)別出用戶常用或綁定的設(shè)備、而不是入侵者改串號(hào)的設(shè)備。

生物認(rèn)證:新驗(yàn)證終端或終端判斷合法了,但終端前面的人呢?芯盾采用生物識(shí)別技術(shù),基于人臉、聲紋、指紋來確定“人“是合法的,生物信息的驗(yàn)證也就相當(dāng)于銀行柜臺(tái)發(fā)“盾”的動(dòng)作,在手機(jī)中為用戶發(fā)放了一個(gè)“數(shù)字身份憑證”。

大數(shù)據(jù)風(fēng)控:不法分子的行為總有各類蛛絲馬跡。芯盾通過大數(shù)據(jù)行為分析,可以識(shí)別出惡意行為,及時(shí)提示風(fēng)險(xiǎn)。它是一項(xiàng)云服務(wù),通過對(duì)當(dāng)前設(shè)備及用戶行為的分析返回風(fēng)控指數(shù),引導(dǎo)用戶直接認(rèn)證通過、進(jìn)行二次認(rèn)證、甚至阻斷操作。

芯盾時(shí)代:一種會(huì)思考的新一代安全身份認(rèn)證方式

芯盾身份認(rèn)證核心要素

有了這些判斷,就可防范短信驗(yàn)證碼丟失帶來的風(fēng)險(xiǎn),即使用戶銀行卡信息已經(jīng)泄露、短信驗(yàn)證碼被不法分子截獲,該系統(tǒng)也能夠有效識(shí)別,確保其無法進(jìn)行盜轉(zhuǎn)盜刷。

這種安全身份認(rèn)證方式相當(dāng)于有了一個(gè)“大腦”,不再是僵化和粗暴的比對(duì)認(rèn)證,結(jié)合大數(shù)據(jù)分析讓它學(xué)會(huì)了思考。

同時(shí)重要的是,這些安全驗(yàn)證的過程是在后端進(jìn)行的,而不是拋給用戶在前端進(jìn)行復(fù)雜的操作。在保障安全的同時(shí),對(duì)用戶無感知。

寫在最后:

據(jù)不完全統(tǒng)計(jì),2015年基于身份認(rèn)證欺詐的黑色產(chǎn)業(yè)鏈規(guī)模已過千億,七成左右的網(wǎng)民個(gè)人身份信息和個(gè)人網(wǎng)上活動(dòng)信息均遭到泄露。黑產(chǎn)像寄生蟲一樣吸附于企業(yè),獲取高額利潤(rùn),同時(shí)摧毀了企業(yè)的正常業(yè)務(wù)。身份認(rèn)證是業(yè)務(wù)的第一入口,也是業(yè)務(wù)安全的根基,需要通過芯盾時(shí)代這樣的創(chuàng)新技術(shù),準(zhǔn)確攔截用戶名密碼泄露、短信驗(yàn)證碼盜取等各類風(fēng)險(xiǎn)、為用戶提供安全、免密、智能的身份認(rèn)證服務(wù)。

 
 
 
合作伙伴
微軟中國 | 聯(lián)想集團(tuán) | IBM | 蘋果電腦 | 浪潮集團(tuán) | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號(hào) 最佳瀏覽效果 IE8或以上瀏覽器
訪問量:2987527    皖I(lǐng)CP備11014188號(hào)-1