忘记那些高度脆弱的用户名和密码。Authentify刚刚宣布了一种新的主要身份验证方法,该方法构建在完整的数字证书PKI支撑后,但企业和最终用户都不会看到解决方案的任何复杂性。
每次我登录金融服务或电子商务网站时,我就会变得紧张。当进入我的网站密码时,我的手在键盘上犹豫不决。在我的脑海中总是有一套唠叨的问题:我的帐户凭据会以某种方式妥协吗?他们会被泄露,还是被盗?有人会用我的帐户登录信息来抢劫我吗?
纯旧密码作为初级认证手段代表巨大的漏洞。他们太容易猜测,偷窃和破解,特别是在持续攻击企业系统的时代。对于证据,看起来不仅仅是最近在生活社交,推特,LinkedIn,Facebook和Evernote的密码违规行为。
许多公司已经开始使用第二个认证因素来补充传统密码使用。这可以像你所知道的那样简单,例如挑战反应问题(“你母亲的娘家姓名是什么?”)或者更复杂,就像你拥有的东西一样,如智能卡或物理令牌。一些金融服务公司已经向商业账户用户发出标记,该公司定期在线访问高价值帐户。
次要的带外认证方法已经可用了十多年。假设您想确认一笔交易,比如通过网上银行转账。银行可以通过电话或短信给你发送确认码,然后你输入一个网络表格来确认你的交易。或者,你可以在屏幕上得到一个代码,你必须说或输入手机。这些辅助身份验证器补充用户名和密码,以验证某人被授权完成交易或其他类型的活动。
验证一段时间以来,该公司一直是带外身份验证领域的主要参与者,现在该公司正在以数量级推进安全主身份验证。新的解决方案authentication xFA构建在完整的数字证书PKI基础和语音生物识别技术之上,但企业和最终用户都没有看到解决方案的任何复杂性。
数字证书长期以来一直被认为是验证拥有证书的人和其中包含的所有信息的最强烈的方法。但是,与PKI的一半战斗一直在分发,管理,激活和撤销证书。通过管理PKI部署以及代表企业及其用户的所有凭据来验证复杂性;例如,对于银行及其网上银行客户,电子商务网站和消费者,或企业及其远程员工。
通过智能手机的强大功能,认证xFA解决方案成为可能,智能手机实际上是具有内置处理、存储、摄像头和麦克风以及语音和数据通道的全功能电脑。在“你拥有的东西”这一类别中,智能手机提供了许多选项作为身份验证因素。
解释解决方案如何工作的最简单方法是使用示例。让我们考虑一下银行及其零售客户的案例(即消费者)。银行希望使用网上银行能够访问其账户的人们建立高水平的信任。在这个例子中,银行是我们的“企业”,消费者是我们的“最终用户”。XFA解决方案的另一方是验证。这种关系中的三个方面共同努力建立安全认证。
这个过程从银行参与xFA服务的验证开始。authentication将为银行客户的凭证提供安全存储,并对这些凭证进行验证。
该银行将在线银行客户指导到App Store下载到智能手机的XFA应用程序。用户第一次打开XFA应用程序,他必须在验证XFA服务时创建一个单个密码和语音生物识别,该密码和语音生物计量存储在“服务器端”。
Next the user returns to the bank’s website, authenticates himself in the way the bank requires (such as an account number or username and password or whatever the bank is comfortable with) and when that step is completed to the bank’s satisfaction, the xFA enrollment link is presented. This initiates the process of the bank retrieving a unique cryptographic “A-code” (similar to a QR code) from the Authentify xFA Service.
银行将这个a代码发送到用户的PC上,用户使用自己的智能手机,使用xFA应用内置的扫描仪扫描代码。然后,在应用的视觉显示下,他会被提示说出一个短语。当用户说话时,他的声音生物特征与他的生物特征文件进行比较和验证。这将启动针对该银行关系的唯一数字证书的发放,并完成注册过程,允许用户在随后访问银行网站时向银行验证自己的身份。
身份验证使用数字证书的零信任模型。有三组独立的证书和密钥对:
•一组证书和密钥对在用户设备上的authentication和xFA应用程序之间共享。
•第二组证书和密钥对在企业服务器和authentication之间共享。
•在用户的应用程序和用户想要访问的企业应用程序之间共享第三组证书和密钥对。
这种零信任模型意味着,任何级别的黑客都无法获得足够的信息来实际攻击一个帐户,或使用企业应用程序,或使用最终用户的帐户。
回到我们的在线银行应用程序示例。一旦用户将他的xFA应用程序注册到银行的应用程序中,登录就是一个简单的过程。用户进入银行网站,点击登录链接。该单击触发从验证xFA服务中检索一个短寿命的a -code密码,银行将显示该密码。用户扫描密码,开始证书认证,并被提示说出他的口令进行生物识别认证。整个过程只需要几秒钟,根本不需要用户输入密码。一旦授予访问权限,用户就可以继续他的银行会话。
在终端用户已经在使用智能手机或手机银行应用程序访问银行账户的情况下,authentication提供了来自同一设备的安全第二通道。这个单设备双通道工作流可以通过触摸一个安全链接而不是扫描一个a码来激活。认证还包括丢失或被盗的智能手机,它可以移除证书,防止未经授权的人使用它们。
验证XFA提供稳固的安全实力,以及用户以简单的方式颁发验证凭据的简单方法,而不是记住他们使用的站点和帐户的用户名和密码。
Linda Musthaler是一家主要的解决方案公司的主要分析师。你可以写信给她lmusthaler@essuning-iws.com..
______________________________________________________________
关于Essential Solutions Corp:
基本的解决方案研究信息技术的实际价值,以及如何使个别工人和整个组织更加富有成效。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。