强身份认证技巧选型指南 79827

强身份认证技巧选型指南 79827 现由于用户名/密码措施的单因素身份认证措施无法应付日益猖狂的在线诱骗犯罪行动，各种强身份认证技巧纷纷登场，因为利用双因素或多因素身份认证技巧是处理现在网上身份偷盗和在线诱骗的单一管用手段。美国联邦金融机构察看委员会(FFIEC)就要求美国金融业定然在2006年底之前为网上银行供给双因素用户身份认证，这切实上是给各行各业的网上利用指明了一个如何确保用户在线消息平安努力方向。 本文就对现有的各种成熟的身份认证技巧做一个容易的推荐，让宽阔网上利用供给商能够明智地依据自己的业务必要和危险估价来科学抉择强身份认证技巧，而不是一味地顺从某些强势厂商的一面之词而莽撞确定，从而让宽阔网上用户承受技巧选型失手带来的痛苦。 一、强身份认证技巧的抉择分寸 在抉择强身份认证处理时，最重要的是要估价各种处理计划的优缺点，重要包括:是否轻率厉行和平安，而最后用户是否利用得体和低成本该当是第一琢磨因素。 任何消息平安技巧重要包括三个观念:秘密性、全面性和实用性，万一一种平安处理计划仅仅能保证数据不会被违法拜会(秘密性)和保证确乎是合法用户在拜会(全面性)，但万一错过了实用性，也是不轻便的计划。实用性即便要求这里理计划是可管教的、低成本的，而且不会给用户带来太多的痛苦的(用户实用得体)。 在抉择强身份认证处理计划时还有一个问不得不偏重，那即便成本。网上利用服务供给商定然琢磨批准此计划与其他计划的成本比拟(包括服务供给商的投资成本和最后用户成本)，同时还要琢磨与用户、配合伴侣、雇员通信不会仅仅是Web措施，还应琢磨这里理计划是否还可感受其他网上通信供给平安保证，如电子邮件通信。 二、现有的身份认证技巧 现有的在线身份认证技巧依靠众多因素，但重要能够归纳为三大类: (1)依据你所懂得的消息来验证你的身份(what you know，你懂得什么)，假想某些消息只有你本人懂得，如暗号、密码等，穿越盘问这个消息就能够确认你的身份; (2)依据你所具有的东西来验证你的身份(what you have，你有什么)，假想某一个东西只有你本人具有，如IC卡、USB Key、个人数字证等，穿越出示这个东西也能够确认你的身份; (3)直接依据你寡二少双的身体个性来验证你的身份(who you are，你是谁)，例如指纹、面貌等。 单因素认证措施(如密码)只是容易地依靠一个因素:kaiban.org你懂得什么。而当你到ATM柜员机上取钱时即方便用双因素认证，即:你懂得什么(密码)和你有什么(银行卡)。其他双因素认证则偏重于你是谁，如生物个性处理计划:指纹扫描分辨和声音分辨等。然而，厉行生物个性处理计划开支高，也不轻率管教和大范围的利用，而且还较高的讹谬分辨率。 由于&ldquo你有什么"和"你是谁"不轻便在网上厉行，因而一些网上利用服务供给商试图让用户懂得众多个什么，如多重密码、循环密码等，这些可能比单一密码要平安些，但其实并未曾添置多少平安。而且，密码越多，用户越记不住，网上利用服务供给商即将花费更多投放来为用户重设密码，也给用户带来了利用上的不便。 有些网上利用服务供给商曾经利用了动态工夫令牌，能够动态发生一组数字作为登录密码，但开支太贵，厉行成本恳挚太高，而且轻率失落、转借、硬件揭示不清、工夫不能同步和电池没电等问题，更重要的是，动态密码登录后万一服务器不安排SSL证书，则用户登录后查询的秘密消息依旧极其轻率被违法*。多重密码措施相对来讲开支起码，但并不比单一密码平安众多，而盘问用户这些问题只合乎于填写开户申请格，而不是用于身份认证，因为这些常用的问题并不但仅用户一个人懂得。 切实上，"你有什么"并不料味着定然要物理上"你有什么"，你能够具有虚构物品，那即便存储在你的电脑、智能IC卡和USB Key中的客户端个人数字证书。客户端数字证书是基于PKI公钥基础装备的加密技巧的最志愿的双因素认证措施，它能够以电子措施发送给用户来供给强身份认证，能防御用户数据的全面性和供给对用户透明登录措施而不会对用户构成任何不便。它能够直接存储在用户电脑上，或为了得体携带，能够储藏在智能IC卡或USB Key上。 三、准确抉择用户强身份认证技巧 既然容易的用户名/密码方侍富平安，那为何大家又都普遍利用此措施呢? 密码轻率很容易:对用户和网上利用服务供给商来讲都极其得体。用户名/记住，极其轻率和迅速登录帐户，而且对网上利用服务供给商来讲还是成本起码的处理计划。用户当然渴望有一种极其得体的措施来拜会自己的帐户，而网上利用服务供给商当然是渴望此措施的垄断成本起码。 正是由于用户名/密码措施利用极其得体而受到用户的青睐，但也同时吸引了犯罪分子。密码措施平安性起码，因为用户经常会把密码记在本子上，而且是多个网站利用统一个密码。用户在输入密码时极其有可能被旁人考察到，也极其轻率被猜到，也极有可能被间谍软件窃获。网上各种利用利用容易的用户名/密码措施是得体了用户但献身了平安，这就必需网上利用服务供给商和用户在得体和平安两个方面做出一个平衡的抉择。 那么，哪种身份认证措施是最轻率厉行的和最可靠的呢?能够看出，有众多技巧能够供给比用户名/密码措施更强的用户认证，如:多重口令、秘密问题批复、动态工夫令牌、顺次性口令、生物个性和客户端数字证书(能够直接安装到用户电脑中或智能IC卡、USB Key中)。而依据抉择分寸，本文感受:现在单一的轻率安排、低成本、平安的、得体的强身份认证措施只有客户端数字证书，不但能够供给Web措施利用的强身份认证，还能供给非Web措施利用的强身份认证和电子邮件通信的秘密消息加密和数字签名。 四、利用客户端数字证书告终平安的在线利用 单向认证的SSL证书曾经在服务器上普遍利用，当平安锁揭示在博览器的下方时，它阐明了有一个服务器SSL证书正在为用户电脑与服务器之间的通信 供给一个加密通道来防御数据传输平安。然而，这疏忽了一个最重要的事情:用户端的身份认证--是谁正在利用此平安通道。处理这个问题的良利益理计划是也要求用户端利用数字证书来验证其身份，从而告终服务器端和客户端的双向身份认证。 当用户从CA(如GeoTrust)获得客户端数字证书后，用户就具有了电子化的身份证实用于向服务器验证其恳挚身份。数字证书在原基于用户名/密码认证措施基础上供给了更加平安的强身份认证机制，是最平安的多层身份认证处理计划。为了便于携带，客户端数字证书能够安装到智能IC卡或USB Key中。 那么，什么是网上利用服务供给商颁发客户端数字证书最经济的处理计划呢?一个凑近管教的外包式PKI证书管教服务(如:GeoTrust超管RA)是网上利用服务供给商颁发客户端数字证书最经济的处理计划，能够大大减退贵重的内部PKI基础装备的投资，裁剪网上利用服务供给商的投资担负和管教担负，富余利用现有CA健全的PKI基础装备来迅捷颁发客户端数字证书。更重要的是:由于博览器和电子邮件客户端软件曾经预置了这些相可信的证书颁发机构(如GeoTrust)的根证书，因而当给用户颁发这些CA签名的客户端数字证书时，博览器就不会揭示不友好的平安警告，用户也无需另外安装根证书，将大大得体了用户的利用。 把颁发客户端数字证书和PKI管教外包给相可信的证书颁发机构(GeoTrust)后，网上利用服务供给商依旧能够全面扼制全副证书的生命周期，包括:在线申请、续期和废止。同时，可扼制的凑近管教的密钥发生、私钥备份和还原等将供给最大界限地平安和私钥防御。总之，利用客户端数字证书来告终身份双因素身份认证是现在单一轻率安排的、低成本的、平安的、得体的强身份认证措施，而外包PKI证书管教服务(如:GeoTrust超管RA)又是网上利用服务供给商颁发客户端数字证书最经济的最迅捷的处理计划。 很容易的，用面向过程能够极其美观地处理的问题，但在初学者面前， 图解C#中Enterprise Services(微软利用过程服务器)技巧(一) 在VS2008上创立一个安装过程