-
- 信息無障礙
-
保密觀
身份鑒別是指在信息系統中確認操作者身份的過程,即確定用戶的真實性,是構筑信息安全的第一道防線。身份鑒別信息是掌握在用戶手里的首要秘密,必須謹防泄露。例如,我們在平常工作生活中使用的計算機登錄、郵箱登錄、網站登錄和手機開機登錄的口令就是身份鑒別信息的關鍵部分,這些信息都應該保密。身份鑒別方法一般分為“用戶知道什么”“用戶有什么”和“用戶是什么”三大類,它們可以結合在一起使用。
用戶知道什么?
最為常用的口令認證是典型的“用戶知道什么”的方式。口令又可分為靜態口令和動態口令。靜態口令指用戶登錄系統的口令在使用過程中是固定不變的,除非用戶主動更改。例如:大家登錄郵箱、網站、App等通常需要輸入用戶名/口令就是典型的靜態口令登錄方式。動態口令是指用戶持有一個能生成強口令的令牌,令牌上顯示的口令隨時間或登錄次數而變化。例如:一些網絡銀行在用戶注冊時會發放一個動態令牌,在用戶登錄時需要輸入令牌上的新口令才能登錄。
用戶有什么?
“用戶有什么”,信息系統中可以通過用戶所持有的電子鑰匙或電子證書等認證令牌來進行身份鑒別,包括磁卡、智能卡、USB Key、PKI證書等。例如:大家在日常生活中使用的二代身份證、校園卡、銀行卡都屬于智能卡,登錄網絡銀行時使用的U盾是USB Key產品。
用戶是什么?
“用戶是什么”是根據用戶自身生物特征或行為特征來進行身份鑒別的方法,包括指紋識別、虹膜識別、人臉識別、聲音識別、擊鍵習慣等。例如:智能手機中普遍支持的刷臉登錄,支付App中廣泛使用的指紋支付、人臉支付等都是生物特征識別技術。但生物特征一般不可修改,且需采集用戶生物特征信息并存儲,可能帶來較大的隱私泄露和鑒別失效的風險。
溫馨提示
大家在上網和使用信息系統時,應特別注意保護身份鑒別中的信息和個人隱私的安全。在使用口令時,不要使用弱口令,應設置足夠強度的口令并定期更新,安全級別不同的設備或網站上應使用不同的登錄口令,防止“撞庫攻擊”(注:“撞庫”是黑客通過獲取用戶在A網站的賬戶和口令去嘗試登錄B網站的一種常見攻擊手段,一些用戶在不同網站使用相同的賬號和口令導致了撞庫攻擊有機可乘),在使用生物特征識別時,應注意保護個人特征信息,對于信任度不高的網站或系統,應避免生物特征識別信息的注冊和使用,防止個人隱私泄露。
