確保網上銀行安全的多重身份認證方案
今年夏天,法院首次開庭受理了印第安納州花旗金融銀行的一位客戶的案件,該客戶控告其網上銀行保障措施中缺少足夠的多重身份認證。這起案件的法官指出,在2007年該客戶帳戶被盜的時候,銀行只提供了單重身份認證保護,這很明顯違反了美國聯邦金管會FFIEC 2005的規定,該規定指出金融機構要采取多重身份認證來確保網上銀行的安全。
隨著網上金融交易的增長,網上銀行欺詐行為也逐漸增多,用戶要求銀行能夠提供更高級別的保護措施,包括FFIEC要求的多重身份認證。把這些控制工作做到位,是減少金融數據盜竊以及虛假帳戶活動的關鍵一步,這樣做還可以讓銀行避免因網上欺詐而要擔負的潛在賠償責任。
按照多重身份認證的要求,在進行用戶認證時,須同時提交下面的兩個身份驗證:一是你知道什么(比如密碼);二是你持有什么(比如一個動態的PIN碼或令牌碼),或者你個人獨有什么(比如指紋)。讓我們來看看幾種銀行已經實施的、比較常用的多身份認證系統,以及一些比較新的、確保網上銀行安全以及符合FFIEC規則要求的選擇。
其中,最常用的一種方法是使用傳統的、帶動態PIN生成器的硬件令牌(hardware token)。這些硬件令牌效果明顯且容易擴展,但是部署困難,價格也很昂貴。對于許多大公司來說,這顯然不是一個可行的方案。在某些情況下,金融機構傾向于使用“軟件令牌(soft tokens)”,或者使用基于軟件的PIN生成工具,用戶能夠進行下載然后安裝在手機上。經過一個簡單的注冊過程以后,用戶可以在他們的移動設備上生成PIN密碼,其實質上把它們變成了個人的硬件令牌。這種方法性價比更高,而作為硬件令牌的替代方案,這種 “軟件令牌”也迅速得到了人們的認可。
另外一種傳統的辦法是使用一次性密碼(OTP),有時也把它叫做交易認證數字(TAN)。在這種系統中,金融機構會發給每個用戶一張特別的卡片,上面印有一次性密碼或者密碼短語列表。用戶每次進行身份認證時,需要使用其中的一個密碼或者短語(按順序),然后把使用過的密碼從表格中劃掉。金融機構建立并維護著一個用戶數據庫及其相應的密碼列表,還能追蹤哪個OTP正在被使用。這個系統的性能很好,維護費用也不貴,因為它只需要利用軟件就可以使服務器端和用戶端的密碼列表同步。唯一的缺點是,當用戶丟失他們的密碼列表或者雙方列表不同步的時候,維護成本會增加。
還有一種與此類似的系統是使用特殊的“賓果卡(bingo cards,類似填字圖)”。這些卡片由Entrust Inc. (IdentityGuard)和TriCipher Inc.這樣的公司提供,它們上面有一個網格,網格的一個軸上印有數字,另外一個軸上印有字母,在網格內部還印有一些數據。當用戶要登陸銀行應用程序時,首先需要輸入用戶名和密碼,然后根據提示輸入一系列在網格上的數據(舉個例子,D2)進行認證。每個卡片都是獨一無二的(像OTP一樣),如果卡片丟失,進行替換也很方便,而且價格便宜。除了用戶丟失卡片時不能提供技術支持外,這種系統幾乎沒有缺點。其他的系統能夠生成OTP,并且把它們通過帶外(OOB)的方法(比如SMS、電子郵件和電話等)發送給用戶。
另外一種傳統的、實施多重身份認證的另類方案是利用用戶登陸時使用的電腦作為多認證的一個因素。通過在系統中放置一個已經成功注冊的cookie,用戶就能通過輸入用戶名和密碼進行登陸,通常還需要回答一些在注冊時事先設定好的“個人”問題。當用戶試圖用不包含這些cookie的電腦進行登陸的時候,他們或者會被拒絕登陸,或者需要回答更多的、更嚴厲的、事先設定好的一系列問題才能通過認證。
基于cookie認證方案主要的問題是cookie容易損壞或者丟失。另外,如果cookie難以獲得或者一個系統無法被識別的話,這種方案就會退化成一些安全系數不高的方案,需要用戶回答一系列個人問題。大多數情況下,這些cookie是加密的,即使被人通過跨站點腳本攻擊以及其他的方式獲得的話,也沒有多大的用處。
一些銀行正傾向于使用另外一種技術,在普通多重身份認證方案的基礎上添加一個新的認證因素:基于位置的因素。盡管在一定程度上跟“你持有什么”的方案相關,但是這個較新的雙因素模型(有時也被稱作設備指紋(device fingerprinting))依靠的是把地理位置的IP地址、ISP連接以及其他位置信息跟提前設置好的用戶總體信息聯系起來。提供這個技術的廠商包括41st Parameter Inc.、ThreatMetrix Inc.和Iovation Inc等公司。盡管這個方法越來越流行,但是因為大家對將它用于實際的多重身份認證方案還缺乏信心,所以它并沒有被廣泛采用。許多金融結構和用戶認為,這個方法與其他的方法相比缺少移動性和靈活性,如果終端機器被惡意軟件感染的話,安全還會受到威脅。
最后,我們將介紹另一種方法,盡管被金融機構使用的非常少:生物辨別系統(biometrics)。然而,由于高成本和維護的復雜性(包括需要給用戶提供指紋閱讀器或者類似的東西),這種方案在大規模部署操作時不太現實。
總而言之,銀行和其他金融機構需要采取行動,實現安全的多重身份認證系統,這對保護用戶的賬戶安全是至關重要的。市面上有許多不同的方案可供選擇,即使最大的金融機構也能夠添加額外的認證因素,從而驗證使用網絡銀行和其他應用的用戶是否合法。如果不采取這些措施,銀行將面臨因不遵守相關規定而被懲罰的風險,并需承擔相應的賠償責任,同時這還會使得消費者對他們的網上銀行缺乏信心。
【編輯推薦】
