目前,网路上:“不仅账户的信息被随意更改,而且,收到和自己毫无相关的付款通知单”;“积分被随便盗用”,ID和密码被盗、密码被非法利用的被害人充斥网络。
无论是消费者还是企业,依靠ID和密码的身份认证其可靠性已到极限。密码泄漏和公司内部信息泄漏事件频发,传统的身份验证已无法保护企业和消费者的资产。
通常,一个人使用的密码最多也就3~4个。但是由于利用云计算服务急速发展,每年要求各自独立的ID和密码的系统和服务持续增加。这就不可避免地出现轮番使用相同ID和密码的现象。一旦因某个服务泄漏密码,利用的其他服务也会发生ID被盗用问题。安全咨询HASH的德丸总经理说:“很多夺取ID网络攻击通常利用从其他网站泄漏的ID和密码。若干%的网络攻击会成功地登录。”
身份认证易于泄漏的问题,企业的业务系统也并不例外。由于企业密码管理混乱不断出现企业内部人犯罪。一旦企业内部的PC受到病毒感染,紧接着病毒波及域名相同的PC,以致重要的系统ID和密码被窃取。Luck公司的高管西本逸郎警告:本来,宽带连接会招致危险但公司内部网络系统则安全的想法不过是一种天真的幻想而已。
由于虚拟专用网络VPN(Virtual Private Network)、移动设备管理MDM(Mobile Device Management)等认证系统,系统的重要度和身份认证的安全强度不相称也是一个值得关注的问题。比如,对从公司外部利用出勤管理系统时需要IC卡认证,而充满机密信息的网络邮件系统则通过互联网使用ID和密码即可登录等。
接近理想的认证
从根本上解决上述问题,就有必要同时改革消费者的系统和业务系统,使认证系统成为安全且便利的“理想型”认证系统。其关键有两点,一是随着智能手机和平板电脑以及云计算日益普及,认证框架设于网络上,以便何时何地都可以访问。无论企业还是消费者,在宽带连接基础上采用高安全强度的身份认证。
另一个是,将辨别终端的“终端认证”和辨别用户自身的“用户认证”组合在一起,防止密码泄漏和因终端的远程操作遭受病毒感染。终端认证有电子证明书,用户认证则除了密码外,有安全强度更高的一次性密码 (One Time Password, OTP) 和生物认证(biometrics authentication)技术。
如果是企业的业务系统,认证运用不分公司内部或公司外部,在网络上准备单点登录( Single Sign-On,SSO)认证架构。
目前,很多商务人士利用网络上的云计算服务处理业务资料,携带自备移动终端登录业务系统。因此,区分公司内外的必要性日趋淡薄。日本商品期货清算公司(Japan Commodity Clearing House,JCCH)安全解决方案营业本部的齐藤立树说:“说的极端点,公司只提供无线网络设备,而员工通过认证架构在任何地方能够登录业务系统和外部的云计算服务,这种方式合乎道理。”实际上,采用上述方式的风险企业和大学等学术机构的网络不在少数。
针对消费者的系统基本想法相同,为接近“理想型”改变只用ID和密码认证方式,使用基于风险的认证方法和一次性登录,防止ID被占用。如果采用生物认证等强大的认证技术,同时可以省略密码。
实际上,面向消费者的IT服务运营商,正在相继强化认证,逐步接近“理想型”。比如,2012年8月,日本的雅虎公司和美国运营网络在线存储“Dropbox”的DropBox公司宣布使用一次性登录的认证技术。