身份認證走向智能化和人性化

“互聯網上，沒人知道你是一條狗”，在網絡上非常流行的這句話道出了身份認證的必要性。通過互聯網敲幾下鍵盤，一筆在線支付交易就可以瞬間完成。然而，要想搞清交易的對象，就必須依賴于身份認證。

“過去的身份認證主要面向固定網絡范圍、使用固定設備的固定員工，而今這幾個‘固定’都不存在了。”EMC信息安全事業部RSA中國區資深技術顧問馮崇彪說，比如，需要身份認證的人可能是公司員工也可能是合作伙伴，所使用的設備可能是臺式設備也可能是移動終端，所使用的應用可能是公司自己開發的也可能是云服務。另外，我們還需要時刻警惕來自互聯網的各種身份欺詐。

實際上，為了滿足身份認證的需求，業界已經研究出了多種身份認證方法，如早期廣泛使用的靜態口令，以Ukey、令牌為主要載體的動態口令等，還有現在使用較多的將靜態口令與動態口令結合在一起的強身份認證——OTP（一次性密碼）雙因素認證等。這些方法或者安全性不夠或者過于繁瑣，都談不上完美。因此，越來越多的企業開始引入基于風險的身份認證方法。

所謂基于風險的身份認證，就是根據操作行為身份可能存在的風險，來選擇使用不同的認證方法。一般原則是，低安全風險的操作行為采用低強度的認證，高安全風險的則采用強認證或者多重認證。馮崇彪以客戶登錄網上銀行為例進行了解釋，比如，客戶登錄網銀進行查詢可能只需要口令，而要進行交易就可能需要Ukey。

“這種方法的好處是：整個系統都在后臺，對于大部分的用戶體驗沒有什么影響。而其挑戰則是需要用戶正確評估各種風險，然后選擇相對應的認證方法。”馮崇彪介紹說，為了幫助用戶選擇合適的身份認證方法，RSA有一個身份認證決策樹的免費工具，可以通過回答幾個簡單的問題來判斷選擇哪種認證技術。

“RSA所做的工作之一就是幫助客戶進行基于風險的分析，這是所有認證解決方案的基礎。”馮崇彪表示。