与许多人一样,华盛顿互惠银行的Dave Cullinane此前曾以为,零售银行顾客使用令牌或其他基于硬件的认证技术进行登录的时机也许已经成熟了。
根据FFIEC(美国联邦金融机构检查委员会)的要求,美国各家银行必须在2006年年底之前加强登录机制。而要满足这一要求,仅仅使用用户名和口令是远远不够的。用户名和口令的控制力度还不够强,多年来网络钓鱼者总是能避开它。
如果说欺诈带来的损失还不足以促使诸多银行及其他企业纷纷行动,那么FFIEC的法规也许会促使它们加大步伐。可以肯定的是,至少华盛顿互惠银行在西雅图总部的那些技术老道的员工们会乐意让自己的钥匙链上多一样加密设备。
不过,加强登录机制是件吃力不讨好的事情。在由美国各家银行聘请的、各地的专家小组中,有90%以上的专家表示,自己不想使用令牌通过网络或者电话来访问银行账户。不过,为了遵守新的银行法规、阻止网络钓鱼带来的损失,为顾客提供服务的许多银行和供应商正在匆忙实施多管齐下的战略。他们说,这些战略相当于“强”认证。
客户体验为先
Cullinane是华盛顿互惠银行的首席信息安全官,他说:“我们从顾客那里得到的答复是,‘别要求我必须携带设备才能访问我的账户,保护我的钱是你们的工作,如果你们没做好这一工作,我会另找愿意为之的商家。’从顾客那里得到这样的反馈,我们确实相当吃惊。”
顾客说他们不想添加麻烦。而对于银行来说,顾客总是对的。尽管令牌长期以来被商业银行所使用,但向消费者推广基于硬件的认证这项计划却基本上未能成功实现,这也正是原因所在。
现在,新出现的“强”认证一般包括以下几个步骤:先想方设法识别顾客的计算机;然后针对高风险行为,提出另外的质询问题;最后落实后端欺诈检测机制。不过,至于这几层安全机制其效果到底比传统的双因素认证来得好还是来得坏,仍是个未知数。
Howard Schmidt以前是美国白宫的网络安全顾问,他历来支持使用令牌。他说:“说到双因素认证,我不会漠视任何技术,因为我们现在处在逐步发展的阶段。所有这些新兴的认证方法都有望加高栅栏、阻挡骗子进入。这正是新兴解决方案与大力加强长远安全的解决方案的区别所在。当然,只有这些方法经过了全面审查,才知道效果到底如何。”
与此同时,网上银行顾客可能会看到哪些变化呢?不会看到很大的变化。而对银行来说,这正是问题的关键。如果它们不为顾客办理网上银行业务提供方便,竞争对手势必会提供这种方便。富国银行负责互联网渠道和产品的执行副总裁Jim Smith解释道:“如今我们正在努力做的,就是不要影响客户体验。”
保持易用性与可移植性
2005年10月,FFIEC发布了新的指导准则,要求各银行在2006年年底之前加强网上银行和电话银行的认证。一开始,外界普遍认为FFIEC的指导准则会引来网上消费者银行业务使用双因素认证这样一个新时代。可是观察人士仔细分析一下后特别指出,它实际上规定的是,在单因素认证不够安全的情况下,要求使用多因素认证、分层安全或者旨在缓解这些风险的其他控制机制。美国《CSO》杂志高级编辑Scott Berinato分析了指导准则的细节后表示:“这里面有足够大的活动余地。”
想了解认证的发展方向,只要看一下美国锡安山银行的状况就可以了。这家快速发展的地区银行,总部设在美国盐湖城,2005年的年收入为23.5亿美元。该银行的高级副总裁兼首席信息安全官Preston Wood 正在负责一个技术部署项目。一年前,该项目还被许多专家认为具有开创性,但如今它却成了《财富》1000强中的银行普遍采用的一种方案。
Wood现正在逐步部署名为“自适应认证(Adaptive Authentication)”的RSA套件。不过在该项目中,并没有包含RSA公司特有的SecurID令牌,只是包括以下几个主要部分。
设备认证。顾客第一次登录时,美国锡安山银行的网站会在该顾客的计算机上安置一个小小的Cookie或者Macromedia Flash对象(类似于Cookie,但存放在硬盘上的不同位置)。该网站还记录了计算机的详细信息,包括IP地址、所用浏览器的类型和时区设置等。以后只要该顾客登录,该网站就会将输入信息与记录信息进行比对。
相互认证。顾客也可选择一个图像,将来用于对该网站进行认证。美国锡安山银行认出这是该顾客的计算机后,图像就会出现,让顾客相信自己上的不是某个钓鱼网站。
质询/应答部分。首次访问网站的人还会被要求回答RSA提供的问题列表当中的几个问题。从理论上来说,这些问题对顾客来说很容易记住,但网络钓鱼者很难知道——通常是该顾客曾经上过的中学,或者他居住的街区。要是锡安山银行没认出这是该人使用的计算机,会向他提出一个或者多个质询问题。对方只有回答正确,才会被允许进入。
根据FFIEC(美国联邦金融机构检查委员会)的要求,美国各家银行必须在2006年年底之前加强登录机制。而要满足这一要求,仅仅使用用户名和口令是远远不够的。用户名和口令的控制力度还不够强,多年来网络钓鱼者总是能避开它。
如果说欺诈带来的损失还不足以促使诸多银行及其他企业纷纷行动,那么FFIEC的法规也许会促使它们加大步伐。可以肯定的是,至少华盛顿互惠银行在西雅图总部的那些技术老道的员工们会乐意让自己的钥匙链上多一样加密设备。
不过,加强登录机制是件吃力不讨好的事情。在由美国各家银行聘请的、各地的专家小组中,有90%以上的专家表示,自己不想使用令牌通过网络或者电话来访问银行账户。不过,为了遵守新的银行法规、阻止网络钓鱼带来的损失,为顾客提供服务的许多银行和供应商正在匆忙实施多管齐下的战略。他们说,这些战略相当于“强”认证。
客户体验为先
Cullinane是华盛顿互惠银行的首席信息安全官,他说:“我们从顾客那里得到的答复是,‘别要求我必须携带设备才能访问我的账户,保护我的钱是你们的工作,如果你们没做好这一工作,我会另找愿意为之的商家。’从顾客那里得到这样的反馈,我们确实相当吃惊。”
顾客说他们不想添加麻烦。而对于银行来说,顾客总是对的。尽管令牌长期以来被商业银行所使用,但向消费者推广基于硬件的认证这项计划却基本上未能成功实现,这也正是原因所在。
现在,新出现的“强”认证一般包括以下几个步骤:先想方设法识别顾客的计算机;然后针对高风险行为,提出另外的质询问题;最后落实后端欺诈检测机制。不过,至于这几层安全机制其效果到底比传统的双因素认证来得好还是来得坏,仍是个未知数。
Howard Schmidt以前是美国白宫的网络安全顾问,他历来支持使用令牌。他说:“说到双因素认证,我不会漠视任何技术,因为我们现在处在逐步发展的阶段。所有这些新兴的认证方法都有望加高栅栏、阻挡骗子进入。这正是新兴解决方案与大力加强长远安全的解决方案的区别所在。当然,只有这些方法经过了全面审查,才知道效果到底如何。”
与此同时,网上银行顾客可能会看到哪些变化呢?不会看到很大的变化。而对银行来说,这正是问题的关键。如果它们不为顾客办理网上银行业务提供方便,竞争对手势必会提供这种方便。富国银行负责互联网渠道和产品的执行副总裁Jim Smith解释道:“如今我们正在努力做的,就是不要影响客户体验。”
保持易用性与可移植性
2005年10月,FFIEC发布了新的指导准则,要求各银行在2006年年底之前加强网上银行和电话银行的认证。一开始,外界普遍认为FFIEC的指导准则会引来网上消费者银行业务使用双因素认证这样一个新时代。可是观察人士仔细分析一下后特别指出,它实际上规定的是,在单因素认证不够安全的情况下,要求使用多因素认证、分层安全或者旨在缓解这些风险的其他控制机制。美国《CSO》杂志高级编辑Scott Berinato分析了指导准则的细节后表示:“这里面有足够大的活动余地。”
想了解认证的发展方向,只要看一下美国锡安山银行的状况就可以了。这家快速发展的地区银行,总部设在美国盐湖城,2005年的年收入为23.5亿美元。该银行的高级副总裁兼首席信息安全官Preston Wood 正在负责一个技术部署项目。一年前,该项目还被许多专家认为具有开创性,但如今它却成了《财富》1000强中的银行普遍采用的一种方案。
Wood现正在逐步部署名为“自适应认证(Adaptive Authentication)”的RSA套件。不过在该项目中,并没有包含RSA公司特有的SecurID令牌,只是包括以下几个主要部分。
设备认证。顾客第一次登录时,美国锡安山银行的网站会在该顾客的计算机上安置一个小小的Cookie或者Macromedia Flash对象(类似于Cookie,但存放在硬盘上的不同位置)。该网站还记录了计算机的详细信息,包括IP地址、所用浏览器的类型和时区设置等。以后只要该顾客登录,该网站就会将输入信息与记录信息进行比对。
相互认证。顾客也可选择一个图像,将来用于对该网站进行认证。美国锡安山银行认出这是该顾客的计算机后,图像就会出现,让顾客相信自己上的不是某个钓鱼网站。
质询/应答部分。首次访问网站的人还会被要求回答RSA提供的问题列表当中的几个问题。从理论上来说,这些问题对顾客来说很容易记住,但网络钓鱼者很难知道——通常是该顾客曾经上过的中学,或者他居住的街区。要是锡安山银行没认出这是该人使用的计算机,会向他提出一个或者多个质询问题。对方只有回答正确,才会被允许进入。
| 第 [1] [2] 页 下一页 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)