|
人民邮电报 吴振刚 近年来,迅速发展的互联网对身份认证技术提出了新挑战。一方面,互联网应用更加复杂,用户需要简便且安全地登录不同网站或应用;另一方面,互联网应用越来越智能化,要为用户提供准确个性化的信息,首先要能准确地识别用户。为了应对这些挑战,身份认证作为互联网应用的基础性功能之一,出现了以下几种新技术。 多因素认证技术采用多种认证机制相结合的方式来认证用户身份。通常,用户在网站的登录界面内输入用户名和口令就可以登录互联网应用。这种基于口令的方式是互联网应用身份认证的基本方式,但是用户往往会出于容易记忆、方便输入等原因设置重复、简单或者易泄露的口令。互联网是充满攻击的开放环境,用户自设口令面临多方面的威胁。为了增加安全性,互联网应用在用户口令的基础上再增加不同的认证方式来认证用户,例如,手机验证码、邮箱验证码、动态令牌等。 密码找回技术提供一种不依赖原有口令的密码重置方式。用户使用互联网应用时可能会丢失或遗忘密码,这时如何验证用户身份是个棘手问题。最常见的方式是安全挑战问题,让用户预先设置一些只有自己知道的问题和答案。例如,让用户预先设置亲属的名字、喜欢的电影等。当密码丢失时,用户通过正确地回答挑战问题可以重新设置密码。另一种常见方式是预先设置接收密码重置信息的其他通道,例如,让用户通过预先绑定的手机或邮箱接收验证码或超链接来重置密码。 CAPTCHA技术是在网站上实现的区分人与计算机的验证码。网站经常会要求用户去识别一些精心设计的变形文字或图片,只有识别正确的用户才能继续登录网站。这些变形文字或图片的基本设计原则是人容易识别出它们而计算机程序很难识别正确。CAPTCHA是图灵测试的自动化实现,其本质是设计一种人容易答对而计算机很难答对的问题。图灵测试是从智能上区分人和计算机的测试。在互联网上,由于地理位置的隔离,用户和服务器无法直接分辨通信的另一端是人还是计算机程序。互联网上的攻击者编写并运行一些恶意程序,例如,模拟用户登录网站的操作并通过字典穷举用户口令、通过网页表单提交大量垃圾数据或者高密度地访问特定页面来消耗服务器的网络带宽和计算资源。这类恶意程序都依赖于模拟用户的访问请求,而远端的服务器难以区分这些访问请求来自正常用户还是恶意程序。CAPTCHA技术能避免很多由计算机程序发起的攻击行为,有效地防止用户身份认证被暴力破解。 整个互联网仍然在快速发展,物联网、移动终端、云计算、大数据等相关技术的发展对身份认证提出了许多新的要求或挑战。身份认证功能是信息系统中传统且古老的组成部分,未来的身份认证技术仍然拥有巨大的发展空间。 |
|
|
来自: 方珺逸 > 《互联网行业应用及其思维》
