由于攻擊者現在只需要利用搜索引擎、社會(huì )化網(wǎng)站或者網(wǎng)絡(luò )釣魚(yú)攻擊就可以很容易地獲得所需要的答案,這導致服務(wù)提供商用來(lái)確認用戶(hù)身份的驗證問(wèn)題再也不能單獨用于帳戶(hù)安全保障領(lǐng)域了。業(yè)內觀(guān)察家指出,正確的方式應當是將驗證問(wèn)題作為多層認證策略的組成部分繼續使用。
格林阿姆解決方案的首席執行官約瑟夫·斯坦伯格指出,由于使用移動(dòng)設備上網(wǎng)現在已經(jīng)變得非常容易,并且越來(lái)越多的數字原生代都開(kāi)始選擇在網(wǎng)上張貼自己的個(gè)人資料,這導致網(wǎng)絡(luò )以及網(wǎng)站僅僅使用訪(fǎng)問(wèn)用驗證問(wèn)題已經(jīng)不再能夠達到保障安全的效果了。
斯坦伯格進(jìn)一步解釋說(shuō),這種情況之所以會(huì )出現的根本原因就是,攻擊者現在只要通過(guò)谷歌進(jìn)行簡(jiǎn)單搜索,就可以得到大量曾經(jīng)被認為屬于保密信息的個(gè)人資料。這里面的信息就包括了使用者的身份證件以及社會(huì )安全號碼或者母親的娘家姓等等。
他進(jìn)一步指出,社會(huì )化媒體平臺也開(kāi)始變成為網(wǎng)絡(luò )犯罪分子獲取用戶(hù)個(gè)人資料的沃土。舉例來(lái)說(shuō),如果需要找到某人的第一份工作、上過(guò)的大學(xué)以及所在的城市等問(wèn)題答案的話(huà),LinkedIn網(wǎng)站就會(huì )成為非常有用的資源。而另一方面,面譜與Pinterest則可以提供使用者母親的娘家姓、自幼長(cháng)大的具體位置以及個(gè)人獨特愛(ài)好等方面的詳細信息。
賽門(mén)鐵克新加坡公司系統工程總監羅尼·吳進(jìn)一步補充說(shuō),既然網(wǎng)絡(luò )犯罪分子已經(jīng)可以通過(guò)魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)攻擊獲取到用戶(hù)密碼,那利用四處分布的零散信息破解掉非常簡(jiǎn)單的驗證問(wèn)題也就不會(huì )屬于有多大難度的工作。
基于知識的問(wèn)題模式也不能確保用戶(hù)安全
斯坦伯格指出,效果更好一些的驗證問(wèn)題,也就是所謂的“基于知識的問(wèn)題”,確實(shí)能夠達到防止受到培訓的訪(fǎng)問(wèn)者在進(jìn)行網(wǎng)絡(luò )搜索之后就輕松猜出正確答案來(lái)的尷尬情況出現的目標。
他解釋說(shuō),原因就在于這類(lèi)問(wèn)題使用的信息通常是來(lái)源于非公開(kāi)資料。這其中就可能會(huì )涉及到使用者每月按揭還款的具體數字,以及用來(lái)支付月度日常費用的銀行名稱(chēng),甚至在很多年之前居住過(guò)的街道。
不過(guò),按照網(wǎng)威公司(NetAuthority)首席執行官克里斯·布倫南的觀(guān)點(diǎn):基于知識的認證模式顯得有些復雜過(guò)度,因而會(huì )在用戶(hù)體驗以及消費者滿(mǎn)意度等方面帶來(lái)負面影響。他進(jìn)一步解釋說(shuō),由于此類(lèi)問(wèn)題答案的具體內容可能會(huì )相當模糊,因此用戶(hù)往往不太容易記得住。
對于布倫南的觀(guān)點(diǎn),市場(chǎng)營(yíng)銷(xiāo)方面的高管奧利維亞·朱就表示出贊同。并且,她還以自身為例進(jìn)行了詳細說(shuō)明;當被銀行問(wèn)及最近一筆業(yè)務(wù)是在什么時(shí)間進(jìn)行的時(shí),她就會(huì )發(fā)現自己往往不記得了。她進(jìn)一步解釋說(shuō):“盡管我也知道這與賬戶(hù)的安全狀況息息相關(guān),但依然需要絞盡腦汁去想才能記出來(lái),所以心里就會(huì )產(chǎn)生出非常厭煩的感覺(jué)來(lái)”。
斯坦伯格警告說(shuō),這些基于知識的認證問(wèn)題也并不屬于完全無(wú)懈可擊絕對不能被破解的類(lèi)型。他進(jìn)一步解釋說(shuō),舉例來(lái)說(shuō),抵押貸款方面的某些記錄就屬于可以公開(kāi)的類(lèi)型,有耐心的黑客也能夠憑借已經(jīng)獲得的部分資料猜測出正確的答案來(lái)。
賽門(mén)鐵克公司的吳發(fā)出呼吁,希望服務(wù)提供商選擇部署多層次認證模式,以達到確保安全性得到增強的目標;只有這樣,網(wǎng)絡(luò )以及站點(diǎn)才能夠保持安全運行,而客戶(hù)則可以獲得足夠的保障。
他指出,如果可以將基于設備的認證模式與基于知識的問(wèn)題驗證模式結合起來(lái)的話(huà),企業(yè)就能夠獲得更好的安全保障。他還補充說(shuō),對于身份驗證模式來(lái)說(shuō),系列問(wèn)題就應當屬于必備項目。
這位總監指出,這就意味著(zhù)所有策略在部署之前都需要考慮到用戶(hù)使用起來(lái)是否會(huì )感覺(jué)方便這一問(wèn)題。而需要這么做的根本原因就在于人們往往不太愿意在額外安全措施以及驗證方式上花費太多的時(shí)間。
吳還指出,用戶(hù)也可以選擇使用只有自己知道答案問(wèn)題的驗證方式,但這時(shí)就需要能夠確保相關(guān)信息不會(huì )被泄露或者共享到外部平臺之上。
