身份認(rèn)證走向智能化和人性化

“互聯(lián)網(wǎng)上，沒人知道你是一條狗”，在網(wǎng)絡(luò)上非常流行的這句話道出了身份認(rèn)證的必要性。通過互聯(lián)網(wǎng)敲幾下鍵盤，一筆在線支付交易就可以瞬間完成。然而，要想搞清交易的對象，就必須依賴于身份認(rèn)證。

“過去的身份認(rèn)證主要面向固定網(wǎng)絡(luò)范圍、使用固定設(shè)備的固定員工，而今這幾個(gè)‘固定’都不存在了?！盓MC信息安全事業(yè)部RSA中國區(qū)資深技術(shù)顧問馮崇彪說，比如，需要身份認(rèn)證的人可能是公司員工也可能是合作伙伴，所使用的設(shè)備可能是臺式設(shè)備也可能是移動終端，所使用的應(yīng)用可能是公司自己開發(fā)的也可能是云服務(wù)。另外，我們還需要時(shí)刻警惕來自互聯(lián)網(wǎng)的各種身份欺詐。

實(shí)際上，為了滿足身份認(rèn)證的需求，業(yè)界已經(jīng)研究出了多種身份認(rèn)證方法，如早期廣泛使用的靜態(tài)口令，以Ukey、令牌為主要載體的動態(tài)口令等，還有現(xiàn)在使用較多的將靜態(tài)口令與動態(tài)口令結(jié)合在一起的強(qiáng)身份認(rèn)證——OTP（一次性密碼）雙因素認(rèn)證等。這些方法或者安全性不夠或者過于繁瑣，都談不上完美。因此，越來越多的企業(yè)開始引入基于風(fēng)險(xiǎn)的身份認(rèn)證方法。

所謂基于風(fēng)險(xiǎn)的身份認(rèn)證，就是根據(jù)操作行為身份可能存在的風(fēng)險(xiǎn)，來選擇使用不同的認(rèn)證方法。一般原則是，低安全風(fēng)險(xiǎn)的操作行為采用低強(qiáng)度的認(rèn)證，高安全風(fēng)險(xiǎn)的則采用強(qiáng)認(rèn)證或者多重認(rèn)證。馮崇彪以客戶登錄網(wǎng)上銀行為例進(jìn)行了解釋，比如，客戶登錄網(wǎng)銀進(jìn)行查詢可能只需要口令，而要進(jìn)行交易就可能需要Ukey。

“這種方法的好處是：整個(gè)系統(tǒng)都在后臺，對于大部分的用戶體驗(yàn)沒有什么影響。而其挑戰(zhàn)則是需要用戶正確評估各種風(fēng)險(xiǎn)，然后選擇相對應(yīng)的認(rèn)證方法?！瘪T崇彪介紹說，為了幫助用戶選擇合適的身份認(rèn)證方法，RSA有一個(gè)身份認(rèn)證決策樹的免費(fèi)工具，可以通過回答幾個(gè)簡單的問題來判斷選擇哪種認(rèn)證技術(shù)。

“RSA所做的工作之一就是幫助客戶進(jìn)行基于風(fēng)險(xiǎn)的分析，這是所有認(rèn)證解決方案的基礎(chǔ)?！瘪T崇彪表示。