網路犯罪分子越來越擅長使用先進的身份驗證方法

01-29

網路犯罪分子正在學習如何使用新的身份驗證方法來利用安全漏洞。像以前一樣，這場貓捉老鼠的遊戲必然會引發嚴重的後果。

傳統身份認證方式

互聯網上幾乎所有的網站，都在使用密碼作為用戶身份認證的方式，這一手段穩定，可靠，經久不衰。但是現在技術日新月異，各種各樣的破解、漏洞、信息泄露，使得密碼變得不那麼安全。

近幾年頻發的拖庫、撞庫事件，讓互聯網公司及廣大網民頭痛不已。網站一般會採取以下措施：

提醒用戶不要使用與其他網站一樣的密碼n強制用戶增加密碼的複雜程度n要求綁定手機、郵箱作為輔助認證手段n使用動態口令裝置、USB證書n為了防止機器撞庫、破解，在頁面中加上驗證碼n

但最終的實施成本都轉嫁到了用戶頭上——我們需要記住每一個複雜密碼(以及與網站的對應關係)、輸入難以看清的驗證碼、查看手機簡訊、甚至需要隨身攜帶一堆利用率極低的密保裝置。

生物學認證方式

隨著傳統身份驗證技術已經難以招架黑客攻擊，一種新型的認證方式應用而生——生物學認證方式。

這種類型大家也不會陌生，一部分先進的科技已經應用到了我們的日常生活中，包括：

指紋識別n虹膜識別n臉部識別n聲紋識別n靜脈識別 n眼部追蹤n

就說現在廣泛應用於手機上的面部識別軟體，只有通過攝像頭認證用戶的臉才能有權訪問這台手機。聽起來挺安全的，但是就在今年的USENIX安全大會上，一組研究人員就利用在社交媒體上收集的照片，重新組合成一個人的立體虛擬頭像，成功地騙過了臉部識別軟體。

利用薄弱環節

能夠與這些先進的技術混合是傳統攻擊手段的最愛，如簡單的社會工程手段。例如，在一場被稱為「Dyre Wolf」的攻擊中，攻擊者通過一封看似財務信息的釣魚郵件成功誘騙銀行職員下載並執行木馬Dyre入侵用戶系統，隨後誘騙受害者撥打釣魚網站上提供的電話號碼，並通過社會工程學的手段獲得用戶信任成功騙取他們的密碼。

認證可以說是安全程序中最薄弱的環節，通過提升加密手段和密鑰長度並不能解決這個問題。為身份驗證過程添加多個因素也起不了多大作用，因為安全與否最終還是取決於用戶的個人習慣。

面臨如此嚴峻的網路安全形勢，今年夏天，國家標準與技術研究所（NIST）發布了如何以及何時應用多因素身份驗證的建議方案。IT經理們必須認真對待這些先進的身份驗證方法，了解到底什麼還是一個額外的因素以及什麼東西很容被破解、複製或被盜。

下一個身份驗證方法的浪潮

基於生物學的身份認證方法是目前最有前景的解決方案，但即便是這些先進的方式也能夠被攻破。例如，一個上文提到的一個指紋感測器成功地被一個先進的虛擬複製品攻破；虹膜掃描儀同樣可以被高解析度的照片欺騙。

身份驗證領域還需要更多創新、複雜的技術。例如，語音識別與按鍵節奏和滑鼠移動的統計抽樣的結合，也許能夠起到欺騙攻擊者辨別真正用戶身份驗證請求的目的。此外，還有很多其他的趨勢值得研究，例如更好地運用智能手機上的指紋識別技術，更複雜的硬體設備，更好的基於風險的認證方式以及集成身份驗證方法的單點登錄等。

安全研究人員正在與犯罪分子爭分奪秒，力求趕在網路犯罪分子之前開發這些技術。他們也在尋找方法將含有加密密鑰或加密引擎的智能硬體設備嵌入其應用程序中，加劇惡意攻擊者的破解難度。而在這些工具發布之前，用戶們只能通過養成良好的習慣來保護自身數據安全了。

註：本文參考來源於securityintelligence