哪种最适合 六大身份认证大比拼(四)

　　六：未来的科技?生物识别认证

　　近年来，各种类型的生物辨认装置不断被开发出来，它们能够精确测定指纹、视网膜图案、手相、书写法定签名时的笔迹或者在计算机键盘上打字的手势。这种设备载有的信息通常被称为生物信息，它通常可成为每一个别用户的能辨认的、稳定的区别特性。

　　如果在一个特定的认证系统中使用的生物测定装置或软件确实能够取得所有用户的唯一的特性样本，那么通常情况下，公认的安全惯例是允许在任何承认记忆式密码的区域内通过这些生物系统以及记忆式密码系统进行认证的。这些系统也适用于由于不能够满足条件3(有关环境的物理安全和可接近性)而使得记忆式密码不能安全地单独使用的区域。

　　但生物特性也不是万能的：因为授权的用户不能够改变他们的生物特征，所以生物系统必须谨慎设计以防止用户们的生物特性暴露在不安全的环境中。这是由于，例如用户的指纹已经被数字化，而且被传播或者传送到了一个不能控制滥用和重现现象的区域或系统中时，那么该用户就再也不能使用这个指纹进行认证了。

　　这使生物辨认系统意识到在实际传送生物特性时，绝对不能采取可能被重现的方式，或者永远不泄漏它们的真正数值。保护生物信息的方法随着它们的配置和精密水平而变化。在将来，上面提到的有些动态密码认证器在正确发出动态密码之前可能会要求输入一些生物信息。

　　不管在什么类型的环境中，一个配置适宜的动态生物认证系统的认证都是被承认的。但是有一点非常重要：不管这些生物系统是静态的还是动态的，用来保护生物特性所采用的方法必须要比用来保护口令或密钥的方法强大，这是因为它们要保证授权用户一生都不受攻击。而且在不久的将来，可能不只是用户可能遭受更重要的信息的考验，而真正引起我们重视的是加密技术，目前的生物产品有可能不能再使用这种加密技术(能永远保护相应用户)来加密生物信息了。

　　生物辨认系统的兼容性也是一个大问题。生物辨认装置必须安装在每一个用户的工作站之中或者附近，同时网关(例如路由器和一般服务器)、登录程序和敏感的应用必须重新编程来兼容这个设备。由于费用的原因，大多数的设备都是趋向于小型化和高度用户化的系统。

　　

使用生物认证器
因子（Key）是：	用户不可能忘记的生物和行为方式
使用生物认证器的好处：	比单一记忆式密码更安全。   有效防御大多数一般的攻击行为。   完全防御背后窥视造成的攻击。
弊端：	高管理费用。   仅限于小型的、高度用户化的系统。   在各处都有留下生物密码（指纹、声印）的危险。   在未来的10、20、30年内一个加密的生物密码有可能被“cracked”，这将使密码实效。
安全性：	一般。
兼容性：	差。
易使用和易管理：	差。

衡量生物认证器
1．密码只有相应的用户知道并且不以明文的形式在任何地点留下纪录？	中等
2．使用环境不允许储存和重现密码？	好
3．密码不易被身边的用户窃取？	好
4．密码肯定不会在其他的计算机上使用？	差
5．密码在传输的过程中不会暴露？	差

 

　　七：它最安全?双因素动态认证

　　双因素认证采用两级认证方式，它包括一个“口令牌”，口令牌动态生成的密码与系统生成的密码相同时，系统才会得到确认。我们所有的口令牌都是针对更高安全级别，使用“动态密码技术”来生成真正的一次性密码。这种一次性密码的优点是，任何一个攻击者取得(例如通过窥视)的动态密码在用户使用过后都不能再进行下次网络认证，因为它已经不再有效。

　　为了进一步加强安全性，用户在登录网络时，可以与密码一起键入一个PIN码(通常叫做SoftPIN，以为它是基于软件的)。例如Secure Computing的SafeWord Platinum口令牌就要求用户往口令牌中输入一个PIN码来激活它。这种口令牌提供了最高级别的安全，当安全需求非常紧迫时，我们建议你使用这种认证方式。

　　口令牌基本上有两种认证方式：事件同步、时间同步和异步(挑战应答)几种。为了简单起见，我们以时间同步认证为例进行说明。

　　时间同步的认证器在一段固定的时间内——通常是一分钟——也可以生成一个唯一的、动态的密码。这种认证器也非常便于使用，因为它们一直开启着，不间断地生成不同的密码。同时，密钥和加密体系保证了认证器生成的密码是唯一的。

　　因为时间是不断变化的，那么在原则上说每一次认证尝试都要使用一个唯一的密码。但是实际上却存在一个密码可能被多次使用的风险。主要是由于，服务器和口令牌之间为了保持严格的同步，口令牌不得不处于时时开启的状态。因为所有的时钟都容易有时间漂移的情况发生，所以必须要周期性再同步服务器和口令牌。通常情况下，为了防止时间漂移造成同步的中断，进而造成认证的中断，这种“严格的”同步就必须要有一些轻微的放松，就是指定一段很短的动态密码的有效时间(不超过7分钟)。如果密码是在有效窗口时间内使用的，那么服务器就可以多次承认这个密码，由此导致了在短时内有不止一个用户使用这个密码的可能。这点结合了口令牌处于时时开启的状态，就给某些通过背后窥视到他人密码的人使用窗口的机会。也就是说如果其他的用户瞥到了口令牌上的密码，就可以给这个未授权的用户几分钟时间，在网络上使用这个密码并且作为合法用户登录。即使口令牌本身需要一个号码来激活，这点也是不可避免的。

　　

使用时间同步认证器
因子（Key）是：	一些只有用户才拥有的东西。
使用时间同步认证器的好处：	比单一记忆式密码更安全。   有效防御大多数一般的攻击行为。   不需要读卡器。
弊端：	管理成本要比记忆式密码高。   认证器容易丢失或被盗。   不能够有效防御背后窥视造成的攻击。   易受到重现的攻击。   比事件同步认证要投入更多的管理。
安全性：	好。
兼容性：	好。
易使用和易管理：	一般。

衡量时间同步认证器
1．密码只有相应的用户知道并且不以明文的形式在任何地点留下纪录？	中等
2．使用环境不允许储存和重现密码？	中等
3．密码不易被身边的用户窃取？	差
4．密码肯定不会在其他的计算机上使用？	中等
5．密码在传输的过程中不会暴露？	中等

　　那种认证类型是最好的?

　　往往，记忆式密码在很多领域中都是一个适宜的解决方案。但是如果你需要审计员监督，你就需要审计，这就不仅仅是记忆式密码可以解决的问题了。

　　不过，你在选择更安全、更复杂的认证系统时，成本投入就会更高，使用将更不方便，兼容性也就更差。我们需要做到的是，在成本和复杂性与可信任、兼容性和可靠性之间取得平衡。而在另外一些情况中，通常的惯例和兼容性坚持的标准会明显指示我们应该选择哪种认证类型。

　　对于一个企业来说，通常，最好的方案是引入一个两种或更多不同认证方式的组合，使其相辅相成。在很多时候都需要依靠企业自己来做出一个明智的和适宜的决定。

来源：IT专家网 编辑：yangzhenxing88

【投稿】【打印】【关闭】