移动互联网身份认证存在的问题与挑战移动互联网身份认证存在的问题与挑战
发布时间:2020-12-17 07:26:09|浏览次数:1120
移动互联网和物联网的发展使得网络实体的类型和数量快速增长,类型多样化和数量大幅增长的身份管理需求对认证技术提出了新的挑战。用户从使用传统的PC机发展到使用各种各样的终端设备,如智能手机和平板电脑,甚至包括各类传感器节点(如摄像头、红外线传感器、RFID标签等)。用户变得更为流动并且经常切换设备,应用也随之变得移动化。应用不再仅仅被一个个集中的数据中心所控制,它们可以分散在云端或者被不同的所有者控制,甚至可以保存在移动设备终端。在这种复杂的环境下,诸如企业云服务、移动网银和社交网络等应用的发展,线上信息量也得到爆发式增长。这些信息分散在多种账户中并互相关联,由此引发了新型的攻击,通过漏洞造成的损失也不断增长。即便应用在一个单独的环境中是相对安全的,但用户账号在不同环境中的相互关联也暴露出不可预知的安全问题。漏洞引发了多米诺效应,每一个漏洞都会继续引起其他问题。身份认证技术需要应对越来越复杂的环境。
传统身份认证方式已不能满足需求
用户名口令方式是一种最常见的传统身份认证方式。由于应用服务变得多样化,用户所需记忆的用户名和口令的数量也大大增加。用户可能试图使用通用口令或者某个易于记忆的口令来解决这个问题,但是这样的口令的安全性非常脆弱,很容易被破解。为此移动应用开发者要求用户增强口令的复杂性,如强制使用大写字母、特殊字符和数字等。这些要求增加了口令记忆的复杂性,并让其变得难以输入,尤其是在移动设备上键盘非常小输入非常不便的情况下。这促使了用户选择将同一个口令应用在不同的应用服务中(即“口令重用”),而由此引发了安全风险的恶性循环并影响了用户体验。不良的用户体验、持续的登录失败会降低用户的使用率及忠诚度。即使是传统的强身份认证方式也不能很好的解决问题。例如银行可能会要求用户购买U盾保护在线交易,但是用户体验不佳,用户不得不携带多个U盾,并需使用蓝牙或音频接口与移动设备连接,兼容性也存疑。
单一认证技术面临不断发展的安全威胁
一种认证技术自设计理念到具体实施,处处都可能面临着攻击技术的威胁和风险。认证技术采用的密码算法,其算法设计可能存在隐患。例如一直广泛应用于金融、电子商务、电子政务等领域的MD5和SHA-1杂凑算法,目前已被发现存在安全隐患。认证技术在实现时可能存在安全漏洞。例如SSL协议如果实现不谨慎,就会存在中间人攻击的威胁。认证技术在具体实施时也可能存在安全威胁,例如采用被动式的签名机制无法应对中间人攻击的风险。
集中式管理用户凭证存在安全风险
传统身份认证模型往往采用将用户凭证进行集中式管理的模式。用户凭证(口令、生物特征模板等)存储在服务端,一旦服务端遭受攻击,所有用户凭证都存在泄露的风险,容易形成大规模的攻击威胁。此外,如果服务端遭受攻击,还存在整个系统无法使用的风险,造成恶劣影响。
用户隐私信息存在被滥用现象
传统身份认证模型还存在用户隐私信息被滥用的风险。用户的秘密信息(包括口令、身份信息、生物特征模板等)可能被身份服务提供方或应用服务方滥用。与此同时,也存在应用服务方自身的业务运营数据被身份服务提供方滥用的风险。
身份认证存在“孤岛”问题
各种应用服务已经通过开发多种多样的身份认证方式来应对多样化的认证需求,每一种方式可以处理某一类应用问题。例如,支持人脸识别、虹膜识别、指纹识别、U盾、OTP、短信验证码等等方式,用于多样化的认证场景。但是这些认证方式是相互独立的,认证方式的数据库被分别开发和管理。不同认证方式的系统各自为政,类似于一个个“孤岛”(或“筒仓”),无法互操作。当用户应用数量成倍增加时,对应的认证方式数量也成倍增加,导致了认证体系变得更为复杂、难以管理并且价格昂贵。
