-
-
专家建议停止依靠个人信息进行认证
-
发表于: 2015-6-17 12:17 988
-
周,美国国税局(IRS)更新了纳税记录请求网站被攻击带来的损失评估——网络窃贼用这些记录实施了退税欺诈,目的 […]
222.jpg
上周,美国国税局(IRS)更新了纳税记录请求网站被攻击带来的损失评估——网络窃贼用这些记录实施了退税欺诈,目的是骗取高达3900万美元的退税。
但是更令人不安的是,黑客尝试20万次进入该系统就成功了10万次。
这是因为IRS使用一系列个人问题进行身份认证。不幸的是,目前黑客比我们更了解自己的个人详情——有人确实还记得搬家5次之前居住的街道吗?
还有很多其他证据能证明网络罪犯知道我们的很多信息。例如,在管理新Apple Pay用户时,某些银行会使用个人问题进行认证,使得罪犯能够在偷取信用卡号码后进行购物。
并且,这种信息中,许多是不具有期限的。
“虽然你能换一个新的信用卡号码,但你不能换一个新的社会保障号码或者某些其他用户身份敏感信息,” Secure Channels的CEO兼共同创始人Richard Blench说道。
而且,信息每泄露一次,就会有更多的信息会落入坏人之手。
安全提供商Accellion的产品高级副总裁Vidhya Ranganathan说,现在是时候让公司和其他机构将个人信息认证的方式换成其他更加安全的方法了。
“两天前,我的信用卡公司打过电话给我,就因为我到欧洲旅行并用它在伦敦付了一杯咖啡的钱,”她说,“他们打电话让我确认这是一次合法的交易并且是我自己完成的。”
她说,这是一次很好的举措。实事上,她能拿到账户记录在案的电话就已经可以很好地表明她是谁了。“但是后来打电话的人问,是否可以问我一些问题来确认我是谁?我说:‘不行。’我非常害怕把个人的身份信息给别人。谁能保证打电话的人不是想套取我的个人信息并将它用于其他事情的人呢?”
罪犯是有可能攻入移动电话的。但是同一犯罪组织窃取到信用卡号码的同时成功黑入手机的可能性是很低的。
一个电话、一条文本信息或短信在不依靠个人身份信息前提下对安全有很大的帮助。
Ranganathan说,许多银行现在开始记录客户经常登录使用的电脑和移动设备了。
“而且,它们会问,‘我们从未见你用台电脑登录过’,然后要求进行附加的认证,”她说,“我希望这种方式应当更加广泛地应用。”
Ranganathan说,许多公司正探索让生物信息认证变得容易和可靠,但是目前,仅指纹识别得到了广泛的应用。
她说:“但是,在这方面已经开展了许多研究和投入。”
各厂商正在研究各种不同的方法,包括声音识别、面部识别、手签识别、掌纹识别、耳纹识别、虹膜识别和视网膜识别。
当然,黑客也同样有可能窃取生物信息。同时,虽然用户可以修改密码,但换一个眼球却是更加困难的。
她说,重要的是需要保护生物信息的安全。然而,虽然某特定生物信息读取设备被攻陷,其他设备读取相同特征的方式可能会不同,而且还可以采取许多不同的生物信息措施。
她说,安全的生物信息认证,尤其与其他因素结合使用时,可以非常有效。
她说:“我希望这不久能成为标准。”
电子邮件本身不是最安全的渠道,但它可以结合其他机制来确认身份或允许用户审查特殊的交易。
此外,邮件可以用来授权用户登录他们的账户或其他安全在线空间,从而接受文档或确认交易。
当IRS记录系统被攻陷之后,IRS就关闭了在线功能——但允许用户请求记录的邮件副本。
文件会通过IRS已经记录在案的电子邮箱地址投递。
而且,虽然身份信息窃贼可能偶尔会监视邮箱并窃取邮件,但这种方法不太可能会扩大损害的程度。
其他组织也可以考虑回归用传统的邮箱方式来满足最重要但非时效性的身份认证要求。
“在某些场合,采用这种方式是合适的,”她说,“但我尚未看到邮箱的大量回归。”
Ranganathan说,底线是使用多种认证方法,并按照安全的要求增加不同的认证机制。
文章摘自:http://www.seehand.com/
222.jpg
上周,美国国税局(IRS)更新了纳税记录请求网站被攻击带来的损失评估——网络窃贼用这些记录实施了退税欺诈,目的是骗取高达3900万美元的退税。
但是更令人不安的是,黑客尝试20万次进入该系统就成功了10万次。
这是因为IRS使用一系列个人问题进行身份认证。不幸的是,目前黑客比我们更了解自己的个人详情——有人确实还记得搬家5次之前居住的街道吗?
还有很多其他证据能证明网络罪犯知道我们的很多信息。例如,在管理新Apple Pay用户时,某些银行会使用个人问题进行认证,使得罪犯能够在偷取信用卡号码后进行购物。
并且,这种信息中,许多是不具有期限的。
“虽然你能换一个新的信用卡号码,但你不能换一个新的社会保障号码或者某些其他用户身份敏感信息,” Secure Channels的CEO兼共同创始人Richard Blench说道。
而且,信息每泄露一次,就会有更多的信息会落入坏人之手。
安全提供商Accellion的产品高级副总裁Vidhya Ranganathan说,现在是时候让公司和其他机构将个人信息认证的方式换成其他更加安全的方法了。
“两天前,我的信用卡公司打过电话给我,就因为我到欧洲旅行并用它在伦敦付了一杯咖啡的钱,”她说,“他们打电话让我确认这是一次合法的交易并且是我自己完成的。”
她说,这是一次很好的举措。实事上,她能拿到账户记录在案的电话就已经可以很好地表明她是谁了。“但是后来打电话的人问,是否可以问我一些问题来确认我是谁?我说:‘不行。’我非常害怕把个人的身份信息给别人。谁能保证打电话的人不是想套取我的个人信息并将它用于其他事情的人呢?”
罪犯是有可能攻入移动电话的。但是同一犯罪组织窃取到信用卡号码的同时成功黑入手机的可能性是很低的。
一个电话、一条文本信息或短信在不依靠个人身份信息前提下对安全有很大的帮助。
Ranganathan说,许多银行现在开始记录客户经常登录使用的电脑和移动设备了。
“而且,它们会问,‘我们从未见你用台电脑登录过’,然后要求进行附加的认证,”她说,“我希望这种方式应当更加广泛地应用。”
Ranganathan说,许多公司正探索让生物信息认证变得容易和可靠,但是目前,仅指纹识别得到了广泛的应用。
她说:“但是,在这方面已经开展了许多研究和投入。”
各厂商正在研究各种不同的方法,包括声音识别、面部识别、手签识别、掌纹识别、耳纹识别、虹膜识别和视网膜识别。
当然,黑客也同样有可能窃取生物信息。同时,虽然用户可以修改密码,但换一个眼球却是更加困难的。
她说,重要的是需要保护生物信息的安全。然而,虽然某特定生物信息读取设备被攻陷,其他设备读取相同特征的方式可能会不同,而且还可以采取许多不同的生物信息措施。
她说,安全的生物信息认证,尤其与其他因素结合使用时,可以非常有效。
她说:“我希望这不久能成为标准。”
电子邮件本身不是最安全的渠道,但它可以结合其他机制来确认身份或允许用户审查特殊的交易。
此外,邮件可以用来授权用户登录他们的账户或其他安全在线空间,从而接受文档或确认交易。
当IRS记录系统被攻陷之后,IRS就关闭了在线功能——但允许用户请求记录的邮件副本。
文件会通过IRS已经记录在案的电子邮箱地址投递。
而且,虽然身份信息窃贼可能偶尔会监视邮箱并窃取邮件,但这种方法不太可能会扩大损害的程度。
其他组织也可以考虑回归用传统的邮箱方式来满足最重要但非时效性的身份认证要求。
“在某些场合,采用这种方式是合适的,”她说,“但我尚未看到邮箱的大量回归。”
Ranganathan说,底线是使用多种认证方法,并按照安全的要求增加不同的认证机制。
文章摘自:http://www.seehand.com/
赞赏
看原图
赞赏
雪币:
留言: