AD
OpenSSL
漏洞遍及全球互联网公司,中国超过3万台主机受波及,以https开头的网站中,初步评估有不少于30%中招,其中包括购物、网银、社交、门户等知名网站。而在手机APP的网银客户端中,有至少50%存在风险。总体来看,这次的OpenSSL漏洞主要造成的风险是因为部分网站安全技术问题及漏洞对应升级不及时,以至身份信息泄漏,包括用户名、密码、证书、邮箱等,黑客利用这些信息可盗用用户身份,进行远程攻击,造成用户的经济或其他损失。
如何能在用户账户、密码、安全挑战问题等被盗用的情况下,继续保护用户身份不被盗用?通过双通道附加的安全认证成为最有效的方式。第二通道最佳的工具就是人人都已持有的移动终端,如手机、平板电脑等。自带设备已是安全领域发展的趋势,它符合移动互联对体验和安全兼顾的需求。而对移动终端的认证,短信验证码还是存在被短信木马、复制手机卡所攻击的风险,最佳方式是利用设备指纹的认证,实现用户的账户只能在自己的移动设备上授权后才能登陆和使用。比如,来谊电子的“小微封”APP,在手机上安装后,可以对手机的硬件、软件和行为特征进行识别认证,在与服务商(银行、第三方、互联网公司)合作后,使得用户账号只能在“小微封”APP认证的设备上才能使用。这就好比用户开一个柜子需要用两把钥匙,一把保存在服务商,一把保存在用户手机上。这样,即使类似OpenSSL漏洞事件造成服务商信息泄露,而另一把钥匙在用户手上,黑客就无法用其他设备进行账户登录实施攻击,因为这个账户被绑定在已经识别的手机上。
用户在互联网上享受各种各样的服务,而互联网服务商由于在技术、管理上的不同,造成对漏洞响应和分享有时间延迟。如2013年Adobe公司的用户信息泄漏,造成超过290万客户信息被盗,这些信息的披露延迟2个多月,逐渐波及金融和其他行业。
如何能快速有效地应对身份信息的泄漏风险?附加的第三方认证服务将是可行的方案。在不改变现有各自服务商(银行、互联网公司)安全体系的基础上,附加第三方的双通道安全认证方式,将第二通道的认证信息(时间、地理位置、设备识别等信息)和第一通道用户的基本信息(用户名、密码、证书、服务指令等)分开,用户的个人信息依然存储在各自的服务商(银行、互联网公司等服务器中),而设备识别认证信息存储在用户手机上,信息的分散存储将极大地提高安全性。如OpenSSL漏洞造成的用户信息泄漏,如果有用户手上的设备作为第二把钥匙的保护,黑客即使获取用户账号及密码,也无法用其他设备登陆用户的账户。同时,第三方的服务方式,在技术及反应时间上可以提供高效的安全保障,一处升级,全部修复,安全防范可以快速分享,不存在时间延迟风险。在服务商系统快速完成升级后,用户再对账户密码进行修改,即可达到全面的安全水准。
