身份鉴别是指在信息系统中确认操作者身份的过程,即确定用户的真实性,是构筑信息安全的第一道防线。身份鉴别信息是掌握在用户手里的首要秘密,必须谨防泄露。例如,我们在平常工作生活中使用的计算机登录、邮箱登录、网站登录和手机开机登录的口令就是身份鉴别信息的关键部分,这些信息都应该保密。身份鉴别方法一般分为“用户知道什么”“用户有什么”和“用户是什么”三大类,它们可以结合在一起使用。
用户知道什么?
最为常用的口令认证是典型的“用户知道什么”的方式。口令又可分为静态口令和动态口令。静态口令指用户登录系统的口令在使用过程中是固定不变的,除非用户主动更改。例如:大家登录邮箱、网站、App等通常需要输入用户名/口令就是典型的静态口令登录方式。动态口令是指用户持有一个能生成强口令的令牌,令牌上显示的口令随时间或登录次数而变化。例如:一些网络银行在用户注册时会发放一个动态令牌,在用户登录时需要输入令牌上的新口令才能登录。
用户有什么?
“用户有什么”,信息系统中可以通过用户所持有的电子钥匙或电子证书等认证令牌来进行身份鉴别,包括磁卡、智能卡、USB Key、PKI证书等。例如:大家在日常生活中使用的二代身份证、校园卡、银行卡都属于智能卡,登录网络银行时使用的U盾是USB Key产品。
用户是什么?
“用户是什么”是根据用户自身生物特征或行为特征来进行身份鉴别的方法,包括指纹识别、虹膜识别、人脸识别、声音识别、击键习惯等。例如:智能手机中普遍支持的刷脸登录,支付App中广泛使用的指纹支付、人脸支付等都是生物特征识别技术。但生物特征一般不可修改,且需采集用户生物特征信息并存储,可能带来较大的隐私泄露和鉴别失效的风险。
温馨提示
大家在上网和使用信息系统时,应特别注意保护身份鉴别中的信息和个人隐私的安全。在使用口令时,不要使用弱口令,应设置足够强度的口令并定期更新,安全级别不同的设备或网站上应使用不同的登录口令,防止“撞库攻击”(注:“撞库”是黑客通过获取用户在A网站的账户和口令去尝试登录B网站的一种常见攻击手段,一些用户在不同网站使用相同的账号和口令导致了撞库攻击有机可乘),在使用生物特征识别时,应注意保护个人特征信息,对于信任度不高的网站或系统,应避免生物特征识别信息的注册和使用,防止个人隐私泄露。