安全专家说,以编码产生装置、指纹扫瞄器或智能卡来强化网络安全,虽然多了一层保障,但依然不可能解决目前困扰数据库公司与网站商店的身份欺诈问题。
安全专家说,以编码产生装置、指纹扫瞄器或智能卡来强化网络安全,虽然多了一层保障,但依然不可能解决目前困扰数据库公司与网站商店的身份欺诈问题。
两道认证(two-factor authentication),也就是密码之外再加一道身份认证的方法,仍可能被特洛伊木马程序与网络钓鱼(phishing )攻击给打败,密码学家兼反病毒专家Bruce Schneier 15 日说。
接受CNET News.com 访问时,Schneier说:"自从我们提议这种解决办法后,问题已经起了变化。现在许多人高唱两道手续的认证作为解决当前身份盗窃问题的解决之道,可是,那是十年前设计出来解决问题的方式。"
这位曾出书评论信息安全与恐怖主义的著名密码学专家在自己的网志上撰文说,电子商务公司与安全系统供应商必须进一步思考,认清两道认证所能做的有其限度。
"那不会阻止身份盗窃,"他写道:"那不能保证网络帐户不会受诈骗交易侵扰。"
前一天,微软公司甫在德国汉诺威CeBit 电脑展表示,将在密码之外再加一道身份认证手续。同日,美国国会举行公听会,探讨过去一个月来发生的数起信息泄密案。
尽管Schneier的评论似乎是对微软的作法泼了一盆冷水,但他强调,软件巨人加强安全性的作法跨出密码的框框,例如用钥匙链坠饰般大小的硬件凭证(hardware token),仍是好事一桩。
"废除密码是好主意,"他说:"员工用硬件凭证登入企业服务器,效果很棒。"
但问题是,在封闭的企业网络里使用效果强的,未必适用于"无奇不有"的互联网,他说。特洛伊木马程序可让黑客得知,某人正在登入银行帐户,即使加了第二道身份查验手续,黑客仍可把伪造的交易插入通信期(session)。再者,网络窃贼也可能接管一台引导网络流量的服务器,然后写些一些程序,以类似手法把伪造的交易信息插入银行的通信期。
"手法时时都在变,"Schneier说。
或许是这样,但那不会抹煞用指纹判读器或编码产生器加强安全性的用处,安全公司Entrust 的首席技术官Chris Voice 说。
他认为,提高黑客入侵的门槛,发动攻击的困难度随之增加。
"你不会因为歹徒伎俩愈来愈高杆,而坐以待毙,"他说:"锁防不了宵小,但你还是会装上门锁。"
但网络服务提供者应寻求更长远的解决之道。Schneier说,两道认证法虽不能解决问题,但网络服务商仍应把焦点摆在防范诈骗交易。
他的建议是:"有两套策略:让身份更难窃取,或让身份变得没啥用处。依我之见,第一种策略终究会失败。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=1172636