| 出版日期:2004-11-15 总期号:1364 本年期号:85 |
|
 |
仅有密码不安全
——RSA构造双因素强身份认证 本报记者 高岚 互联网为企业提供了电子商务的绝好机会。但是,也给了黑客或者不良用心的人以机会。身份或者密码盗用就是其中的一种比较普遍的犯罪形式。身份认证公司美国RSA公司欧洲、中东、非洲、亚太区副总裁Mark Reeves介绍说:他们曾对1000多名受访消费者做过有关调查,当被问及“与去年比较,你对身份被盗用问题的认识是否有所加深?”时63%的受访者认为,自己在这方面的认识“加深了”;但是,其中49%的被访者表示,他们并不感到今年比去年更安全;更有26%的人认为,自己比2003年更不安全;只有18%的受访者认为,今年较去年同期更安全,而当中超过半数的受访者指出,感到更安全的原因在于,他们加强了其个人安全措施;少于30%的受访者认为,是由于电子安全技术有所改进或银行更改了电子安全的政策及程序。这说明大部分的用户对身份认证的重要性还意识不到。 密码是电子安全漏洞的主因 即使是认识到身份认证的重要性,但是,很多人还是认为,保护身份的安全,有密码就足够了。Reeves介绍,这次调查反映出,有些安全漏洞是由于用户不善管理登入网上服务、电脑系统、自动柜员机及其他电子服务的个人识别码(PINs)及密码所致。接近三分之二的受访者(63%)正利用少于5个密码登入不同的系统存取电子信息,而超过十分之一(15%)的受访者只使用一个密码进入所有系统。这说明消费者有一个错误的观念,认为密码已能足够保护其个人资料。现在,有很多企业拥有大量客户、员工及合作伙伴存取其电子信息,当中有些具远见的企业已开始意识到,使用更可靠的认证方法对于保护重要信息,包括个人及企业的敏感资料是至关重要的。 身份认证是最基本的安全 随着互联网日益蓬勃及新兴电子商务应运而生,个人的身份识别问题日渐受到重视。这不仅仅是由于网络安全问题的日益严重,更是因为这是决定真正的网上交易能否达成的关键。如何识别某人的真实身份,进而赋予其相应的权限,从而允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。身份认证技术应运而生了,通过身份认证技术,可以识别人的真正身份,从而保护客户以及员工的重要电子信息。 许多全球知名企业受客户对高安全性和加速电子商务增长的欲望所驱使,正在把强身份认证作为企业电子商务战略的核心。强认证系统与密码管理系统不一样,它为在线商务的顺利实施提供了所需的安全环境。但是,这些企业还发现了意想不到的收益,那就是强身份认证系统大大地降低了运营成本。当越来越多的业务移到网上时,许多企业都在评估比传统密码方式更安全的方式。然而,决定利用身份认证替换嵌入密码安全解决方案是一件复杂的事情,人们必须考虑用户的可用性、方便性和多目的功能、公司的安全的力量、互操作性、集成、扩展性以及未来的灵活性。 RSA SecurID 开启双因素强身份认证 Reeves介绍说,IDC的一项调查显示,到2006年,中国安全产品市场空间每年约有12亿美元,其中硬件防火墙和安全认证、授权、管理等占安全产品市场总份额的89%。可以看出,用户对安全认证的需求将会逐年增长。 正是基于这样的需求,RSA公司推出了自己的安全认证技术RSA SecurID双因素用户认证技术,其主要构成包括身份认证、网络存取管理、LDAP/用户管理、流量控制。身份认证主要是建立可靠的认证;网络存取管理主要是为了实施商务策略;LDAP/用户管理用于存储和检索;流量控制实现自动统计、增长和终止量。把这四部分整合在一起就是一个完整的解决方案,其真正的意义是满足可交互操作的应用及网络。 RSA SecurID双因素用户认证产品的操作,如同使用取款卡一样简单方便。用户只需在进入受保护的网络前,先行输入个人识别密码,以及在RSA SecurID认证器上每隔60秒转换一次口令,就能通过认证。由于RSA SecurID认证器上每隔60秒转换一次6位数的无穷尽的无重复口令,无论多么高明的黑客都无法在如此短暂的时间内猜测出如此复杂的口令。使用了RSA SecurID双因素认证产品,用户就可以放心地使用口令了。 RSA在电子安全领域有20多年经验,其身份认证领域占有70%的市场份额。全球银行50强中88%的银行都在使用RSA的技术防护自己的系统平台。 
美国RSA公司欧洲、中东、非洲、亚太区副总裁Mark Reeves |
||||||||||||||||||||
