当身份窃取猖獗的时候,有力地用户认证、客户认证和合作伙伴认证是至关重要的措施。有了用户名和密码就足够了吗?双因素认证是有效的方法吗?还是无力应对新出现的威胁呢?本专题将提供全面的信息,帮助理解目前的认证方式和面临的挑战,并且介绍如何采用安全的认证系统。
什么是认证呢?认证包括决定是否是用户,实际是,他或者她想要成为谁。认证可以通过使用登录密码、单点登录(SSO)系统,生物认证、数字认证和PKI(public key infrastructure)进行。那么使用认证要考虑哪些因素呢?
用户ID和密码系统是最古老的数字认证方式。这种类型的认证系统可以简单的提示用户输入她或他的ID和密码以获得对系统的访问,这是实行和使用都很简单的方式,但是他们也有很大的安全风险。密码的最大问题之一就是他们可以被共享、猜到或者滥用……
生物认证是使用指纹或者面部扫描和虹膜或者声音识别辨认用户的认证方法。生物扫描设备可以提取用户的生物数据,例如虹膜类型或者指纹扫描,并转化成电脑可以解读并验证的数字信息。因为恶意黑客很难获得一个人的生物数据,而用户也不太可能把他或她的生物数据放错位置或者滥用,这种形式的技术比起其他的认证方法可以更强大……
单点登录(SSO)是一种可以简化用户和IT管理员登录过程的技术形式。通过SSO,用户可以一次输入她或他的用户名和密码访问多个应用。用户被授予了访问特别应用的权限,当他们输入了他们的认证后就可以访问所有的这些应用,这就减少了连续的提示。SSO还减少了管理IT员工的无数密码的成本……
公钥基础设施(PKI)是可以处理数字证书的公共密钥的创建的一组服务器。PKI系统可以维护数字证书,根据需要创建和删除证书。这种系统允许用户在公共网络上通过公共和私有的密码键安全地交换信息,而这些密码键的获取和访问是通过认证授权(CA)实现的……
智能卡是一张小小的塑料卡片,和信用卡大小差不多,包含的内置微芯片可以存储特定用户的认证信息。智能卡的芯片可以存储特定用户的多种认证因素(例如密码和指纹)。当用户在智能卡读卡器上刷卡的时候,智能卡就可以进行多因素认证,使得智能卡系统可以进行双因素或者多因素认证……
专家答疑
技巧
在WEB应用程序完成构建之际,我们应当使用哪些安全设备来保护它的正常运行呢?TT安全专家认为,首先将WEB应用程序所要使用到的数据进行分类是非常重要的……
将社会安全号码作为网站访问必填项的要求合适吗?在这方面有什么类似“设置用户账户的最佳实践”的专门文献可供参考?听听TT安全专家Randall Gamby的建议吧……
软件外包可降低劳动力,然而把外包业务交给发展中国家进行会有什么主要的业务风险,安全风险管理在减轻业务风险方面又能发挥什么样的作用呢?
本周
本月