文章
  • 文章
  • 视频
搜索

投稿

首页 >> 行业热点 >>行业智库 >> 从“微信仅聊天”引发对身份认证技术的思考
详细内容

从“微信仅聊天”引发对身份认证技术的思考

随着移动互联网科技的快速发展,社交软件越来越流行,微信作为其中的佼佼者,更是成为了人们日常生活中必不可少的聊天工具之一。在使用微信时,我们经常会遇到添加陌生好友的情况。但是,由于互联网存在风险,因此,在加好友时,身份认证是非常重要的以下也是确保安全的一些微信身份认证措施。

图片1.png

隐私设置:设置隐私设置,限制非好友查看自己的个人信息和动态,保护用户隐私。

好友申请验证:当用户添加好友时,需要填写验证信息,以使对方了解自己的身份和意图。

朋友圈互动:通过参与对方的朋友圈互动,可以进一步确认对方的身份和信息。

 

虽然,大多数情况下,这种身份认证方式可能已经足够了。但是,我们也应该注意到这种方式不能完全保证双方的安全性。因此,在建立足够的信任之前,我们应该始终保持谨慎,避免不必要的风险,同时保护自己的隐私和安全。如果可能的话,我们可以考虑更高级别的身份认证方式,例如通过语音或视频通话来进一步了解对方。

 

那么在互联网应用中会使用很多的身份认证,其实,身份认证是判断被证对象是否属实或是否有效的一个过程,主要通过以下3种方式来判别。

1、知识类认证方式:根据用户所知道的信息来证。

2、资产类认证方式:根据用户所拥有的资产来证明用户身份。

3、本征类认证方式:根据用户独一无二的身体特征来证明用户身份。为提高认证方式的安全性,通常利用这3种认证方式的组合方式进行判别。

 

一、知识类认证方式

 

知识类认证方式主要包括静态口令和用户相关信息等。

静态口令是指长期保持不变、可以被用户反复重用的口令,是一种最原始最简单的认证方式。静态口令是一种极不安全的身份认证方式,虽然也存在增强口令安全性的策略,包括定期更改静态口令、大小写字母和数字混排的口令、加入特殊字符的口令等,但这些并不被大多数用户所接受。

 

二、资产类认证方式

 

资产类认证方式包括电子令牌、APP动态口令、手机短信验证、智能卡认证和数据证书认证等。

 

2.1 电子令牌

电子令牌是一种动态口令技术,用户使用时只需要将动态令牌上显示的当前密码输入用户侧客户端,即可实现身份认证。用户的密码根据时间或使用次数不断动态变化,每个密码只使用一次。如果客户端硬件与服务器端程序的时间或使用次数不能保持良好的同步,就可能发生合法用户无法登陆的问题,并且用户每次登录时还需要通过键盘输入一长串无规律的密码,一旦输错就要重新输入,因此用户在使用方面并不便利。

 

2.2APP动态口令

APP动态口令是移动互联网新兴的一种认证方式,需要用户在手机上安装APP动态口令生成软件,当用户需要使用口令时,运行APP动态口令生成程序产生一个动态口令。

 

2.3手机短信验证

手机短信验证是通过服务端下发到用户手机的短信验证码来验证身份。目前使用最普遍的有网上银行、网上商城、团购网站、票务公司等。

 

2.4智能卡认证

智能卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据,由专门的厂商生产,可以认为是不可复制的硬件。智能卡具有硬件加密功能,有较高的安全性。使用智能卡认证时,用户输入PIN(个人身份识别码),智能卡认证成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机之间进行认证。对于智能卡认证,需要在每个认证端添加读卡设备,增加了硬件成本,并且单个用户可能拥有多张智能卡,不便于携带和管理。

 

2.5数字证书认证

数字证书包括证书版本、序列号、用户标识符、用户的公钥、证书所用的数字签名算法说明等内容。数字证书认证是借助第三方电子认证服务机构,为用户颁发基于USB-Key的数字证书,实现“双因子认证”(USB-Key和用户PIN)USB-Key是一种USB接口的硬件设备,可以存储用户的密钥或数字证书,利用USB-Key内置的密码算法实现对用户身份的认证。用户只有同时取得USB-Key和用户PIN码,才可以登录系统。但是单个用户可能拥有多个USB-Key,不便于用户对USB-Key的携带和管理。

 

三、本征类认证方式

 

本征类认证方式包括指纹识别、人脸识别和虹膜识别等。

 

3.1指纹识别

指纹识别是目前应用最广泛的生物识别方式,是把现场采集到的用户指纹与数据库中己经登记的指纹进行一对一的比对,来确认身份的过程。指纹识别使用方便,样本容易获取,硬件成本低,在许多应用中,基于指纹的生物认证系统的成本是可以承受的。

 

3.2人脸识别

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。现有的人脸识别系统在用户配合、采集条件比较理想的情况下可以取得令人满意的结果。但是,在用户不配合、采集条件不理想的情况下,现有系统的识别率将陡然下降。当采集的人脸图像与系统中存储的人脸图像有差异,如剃胡子、换发型、加眼镜、变表情等都有可能引起比对失败。

 

3.3虹膜识别

虹膜识别是基于人眼中的虹膜进行身份识别,主要应用于安防设备(如门禁等),以及有高度保密需求的场所。虹膜在胎儿发育阶段形成后,始终保持不变。因此,可以将人眼的虹膜特征作为每个人的身份识别特征。虹膜识别便于用户使用,不需物理接触,可靠性高,可能会是最可靠的生物识别技术。然而,目前的技术现状是很难将虹膜识别的图像获取设备小型化,并且设备造价高,很难大范围推广。

 

四、身份认证安全风险分析

 

用户认证过程安全风险用户身份认证过程即用户侧将认证信息从客户端发送到服务器端,服务器端对用户认证信息进行验证,再将认证结果返回给客户端。在此过程中,存在以下几种安全风险。

 

4.1暴力破解

暴力破解包括两种攻击方式,即密钥猜测攻击和穷举。密钥猜测攻击是指攻击者根据截获的密文,猜测密钥,破解密码。穷举法是将密码进行逐个推算直到找出真正的密码为止。在实际应用中,可以分为账户名穷举和密码穷举。

 

4.2重放攻击

攻击者获得一个已成功认证的数据分组后,重复使用该数据分组冒充合法用户多次认证/登录,破坏认证的安全性。

 

4.3中间人攻击

攻击者将他自己放到通信双方之间,通常是客户端和服务器端通信线路的中间,破坏原始通信线路之后拦截一方的消息并将它们转发(有时会有改变)给另一方。

 

4.4钓鱼攻击

攻击者通过伪装成用户信任的个人或者企业等,引诱用户点击进入某个网站输入个人信息,由此攻击者便获取了用户名、密码和信用卡明细等用户敏感信息。网络上钓鱼攻击通常是通过邮件或者即时通信(微信、短信等)进行。

 

4.5Session攻击

为了维护用户状态,客户端必须向服务器端发送唯一的身份标识(SessionID)。对于服务器端,SessionID用于验证用户是否合法。在基于Session的攻击中,攻击者利用暴力破解、网络嗅探工具等方式获取合法用户的SessionID,进而访问系统。

 

4.6撞库攻击

攻击者搜集从A业务中泄露的用户名和登录密码信息并生成对应的字典表,尝试批量登录B业务等其它业务,获得一系列可以登录的用户名和密码信息。

 

4.7欺骗认证模块

攻击者利用认证模块中存在的缺陷,构建虚假登录信息,欺骗认证模块进而登陆系统。例如SQL注入等攻击方式。

 

4.8篡改认证结果

客户端提交认证信息并且服务器端认证模块做出认证判断后,认证结果需要返回给客户端。攻击者利用技术手段,拦截和修改认证结果,将篡改的认证结果返回给客户端,通过身份认证。

 

五、认证方式对比分析

 

用户身份认证过程可以划分为发送认证信息、服务器验证和返回认证结果3个环节,对各种用户身份认证方式依次分析其在此3个环节中的安全风险。

 

为提高认证方式的安全性,通常采用两种认证方式组合的方法进行认证,对于两两组合的认证模式,从其可能面临的典型安全风险及经济性和用户体验等方面分析其综合推荐指数。

 

其中,典型安全风险包括撞库风险、暴力破解风险(包括密钥猜测攻击和穷举)和中间人/重放风险。组合认证模式的综合推荐分析,需要以单项认证方式综合对比分析结果为基础。因此首先针对每种单项认证方式分析其撞库风险、暴力破解风险(包括密钥猜测攻击和穷举)、中间人/重放风险、经济性和用户体验。

图片2.png

其中,智能卡认证和数字证书认证的安全性、经济性和用户体验比较相似,因此归纳成一类认证方式。虹膜识别目前应用较少,且成本较高,暂不考虑。单项认证方式的综合对比分析结果如表3所示,其中安全风险等级为15级,5级风险最高,1级风险最低。

图片3.png

在以上针对单项认证方式进行综合对比分析的基础之上,将认证方式进行两两组合,分析每种组合认证方式的综合推荐指数,具体分析结果如表4所示,其中*****综合推荐指数最高,*综合推荐指数最低。

图片4.png

综合网络安全态势发展,我们认为身份认证技术会在以下三种情况进行发展

1. 量子密码身份认证技术

量子密码身份认证技术是以量子力学和密码学为基础发展新型身份认证技术,其将使用者身份信息量子化,通过量子传输通道传递使用者身份密钥。量子密码身份认证技术具有不可复制和不可破译的强大安全特性,真正意义上能做到使用者身份信息的绝对安全。

2. 新型生物身份认证技术

新型的生物身份认证技术不再局限于简单的人体特征,而是上升到了使用者行为与思维的高度。行为身份认证技术不同于传统的生物身份认证,其以使用者大量日常行为为基础来判定使用者身份的一种认证技术,建立使用者行为身份模型,当使用者的行为与系统模型不匹配时,安全系统就可以及时发现,并发出警报甚至终止当前使用者的权限。

3. IBE身份认证技术

IBE身份认证技术是将使用者现有公开的某些数字信息作为公钥加密的方式。首先IBE加密基于椭圆曲线离散对数,使用椭圆曲线加密算法,获得的密钥长度更小且更安全。其次,IBE减少了对公钥证书的依赖,简化了身份认证的步骤,IBE身份认证技术可以对使用者动态授权,通过使用者标识信息,可以给使用者在动态环境中不同的权限级别。


  • 电话直呼

seo seo