众所周知,用户身份验证一直是政府最大的安全漏洞之一。去年,国家网络空间安全强化委员会呼吁美国政府在2021年的时候不再出现大的数据泄露事件,因为在这类事件中,身份信息是最主要的攻击向量,特别是盗窃密码。
安全厂商Thales和451 Research发布报告表明,去年有三分之一的受访者遭遇过一次数据泄露,65%的受访者表示曾经遭遇过数据泄露。几乎所有的受访者(96%)认为自己的身份信息很脆弱。
密码和双因素验证的挑战
技术领导者们几年来一直预言,传统密码将会终结,因为它并不安全。用双因素验证(通常是辅以短信验证码)提升安全性的尝试也不成功。这就导致美国国家标准和技术研究所不再支持基于短信息的双因素验证。
双因素和多因素认证带来的不便通常导致人们弃用这两种验证方式。谷歌身份验证系统经理里舍(Mark Risher)称,用户在认为自己安全时,不会再接受更多安全验证方式。
一种新的方案:直接自动认证
为了寻找既能保护政府和公民的敏感数据,且能让人们接受并使用的验证方式,方案供应商开始从设备身上下功夫,而不是将以用户输入的内容作为信任源。纵观整个政府,用户每天都要用他们的CAC卡或PIV卡验证雇员身份。如果现在告诉你可以直接用移动设备验证,无需再使用读卡器呢?
直接自动认证(DAA)利用智能手机和平板进行身份安全验证,可以无缝接入已验证过用户的超安全实体,即移动运营商,这样的认证方式可每天完成用户的即时验证,以便准确对待每位客户。
网络安全方案供应商Averon开发了直接自动认证,可以通过移动运营商的实时信号和智能移动设备中的SIM卡对用户进行身份认证。一张SIM卡就相当于一个更微型的PIV或CAC卡。直接自动认证是一种有专利的新型用户认证方式,它是自动完成认证,不需要用户有什么操作。它依靠移动运营商已经拥有的数据,这些数据不会被黑客攻击,拦截或破坏,因为用户的信息没有被传输。
将直接自动认证(DAA)应用于公民服务
Averon最近参加了Dcode加速计划,将DAA技术推广到政府。使用这一技术,政府机构可以更加流畅且安全地认证公民身份,因此会简化公民访问公共服务的过程,帮助执法部门打击犯罪,协助选民进行身份认证等。是时候跳过密码和双因素认证,以及其他脆弱过时的认证方式了。
马洪(Aaron Mahone)是Averon公司现任财务和运营总监,他以前是毕马威(KPMG)的管理顾问,也曾是绿光能源集团的业务发展总监,还曾任纽约州卫生局的审计师。
本文由安全内参翻译自fedscoop
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
