口令已“死”的困境

2015-08-31 11:34:20 大云网　点击量：评论 (0)

当今已经是万物互联的社会，身份认证无处不在。无论网站、手机应用、笔记本电脑、汽车、酒店门锁、零售亭、自助取款机，或者游戏主机，安全对所有联网系统来说都是最基本的。一个最典型的例子就是个人身份证，它

比如，结构性。共享密钥体系结构涉及发送令牌或一次性密码（OTP）给用户的设备，然后与受保护的应用所产生的令牌进行比对。这一过程倚赖的“对称密钥加密体制”是低级的。因为不管是用户的设备或是应用本身被攻破，共享密钥都能被攻击者获取，也就能产生他自己的正确令牌了。而且，由于用户令牌必须转置或交付回应用进行比对，也就引入了令牌被黑客、恶意软件或中间人攻击拦截到的风险。

再比如，用户体验。更换很快就会过期的令牌是很烦人的用户体验，很多用户都会选择用更顺畅的身份验证来代替它。而且，依赖短信的OTP也是不可靠的。终端用户更偏爱方便性而非安全性，这意味着像OTP这种传统双因子身份验证实现手段有可能根本不被使用。对公司和应用而言，传统双因子身份验证等于是将普通用户推出品牌体验之外。

另外，传统双因子身份验证方式牵涉到将用户推向第三方应用。通常，这会是一家公司或是在线服务，将用户以无关品牌和用户体验的方式推送至移动应用或硬件。

还有应用场景限制。相对登录表单，身份验证的应用更广。无论用户是想授权实时付款、签收包裹、核实身份，或是进入公司管制区域，身份验证都扮演着极为关键的角色。在很多此类场景中，没有表单供你提交类似密码和OTP之类的凭证，因此，也就将此类场景摒除在了传统双因子身份验证的应用范畴之外。

最后是成本。很多双因子身份验证解决方案表现出的是有形的花费和维护负担，令只能满足有限应用场景的双因子身份验证解决方案变得不现实。

生物识别的致命弱点

基于生物特征的生物身份识别技术，虽然有着使用方便，认证唯一可靠等优点，但其致命问题在于一旦被盗用将无法注销。而且，尽管人的生物特征不能改变，但泄露生物特征的途径却很多，一旦被伪造将无法吊销。想象一下，如果一个用户已经在几十甚至是上百个系统用他的指纹或声纹登录，一旦被盗用，该面临何种灾难？这也是生物识别无法大规模普及的重要原因之一。