取消
温馨提示:
敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

号外:再等十五年 我们就不用记银行密码了

李闯 来源:中国电子银行网 2016-06-29 11:20:11 银行密码 身份认证 李闯
李闯     来源:中国电子银行网     2016-06-29 11:20:11

核心提示2015年全球网民数量达到31.74亿。这么多网民在互联网上有多少个帐号?每个帐号都得对应一个好记或不好记的密码?而这些密码又有相当一部分都存在被破解的风险!

号外:再等十五年  我们就不用记银行密码了

  前文提示:根据国际电信联盟(ITU)的最新统计数据,2015年全球网民数量达到31.74亿。这么多网民在互联网上有多少个帐号?每个帐号都得对应一个好记或不好记的密码?而这些密码又有相当一部分都存在被破解的风险!2014年的一份报告显示:受网络黑客攻击,全球每年损失4000多亿美元,仅美国的损失就超过1000亿美元。中国金融认证中心(CFCA)的技术专家李闯撰写此文,给我们勾画了一个没有密码烦恼的互联网伊甸园世界。读文此文,看这些技术专家们是怎么样帮助我们消灭密码的。

  作者:中国金融认证中心(CFCA)技术专家 李闯

  为什么是2030年?

  过去的2015年已是移动互联网百花齐放、欣欣向荣的一年,而物联网则刚刚燃起星星之火,比起移动互联网爆炸式的发展,物联网面临的将会是一条缓慢而影响深远的发展之路。在这路途中,千千万万的领域都将随之巨变,而身份认证的变化将会起到举足轻重的作用。笔者预测,15年后,物联网应该会发展到相对繁荣的阶段,我们不妨畅想一下在这不远的未来电子身份认证领域将面临什么样的挑战和变化。

  如下图所示,我们将互联网的发展大致分为3个发展阶段,传统互联网、移动互联网、物联网,当然它们之间并没有明确的分界线,这里只是以开始时间表示。

号外:再等十五年  我们就不用记银行密码了

  随着互联网的发展,线上和线下将大幅融合,互联网渗透到日常生活的方方面,电子身份认证的地位也将随之巨变。

  电子身份认证变得更重要

  传统互联网时代:线上和线下生活的界限还比较明显,可谓泾渭分明,直到后期电商的强势崛起才算是较多的影响和参与了我们的线下生活。借用一句玩笑,互联网时代你不知道对面屏幕前坐着的是一位美女还是一条狗,通常你也没必要知道,那只是一个账号而已。

  传统互联网是由千千万万个虚拟账号组成的,大部分服务几乎没有真实身份认证的需求,要求密码中包含大写字母已经是大部分网站所能做的,对你身份安全的最高保证。

  移动互联网时代:我们有幸正在经历的这个时代让人兴奋,人们开始真正体会到了“互联网改变生活”!日常生活和互联网大幅融合,并带给人们极大的便利,交通、餐饮、教育、医疗、社交……如滴滴打车一类的移动应用对传统行业的冲击让人震惊。

  新兴的服务尤其是O2O类对用户的身份真实性已经有了较高的要求,手机短信认证已经成为最基本的方式,各大网络公司都在竭力寻求更高安全级别的认证方案,尤其是移动金融领域,缺乏可靠的身份认证手段目前已经成为制约其发展的瓶颈。

  物联网时代:物联网的成熟也意味全面云计算时代的到来,在这个未来世界里,势必处处联网、时时联网!移动支付、智慧城市、车联网、智能家居等等普及之后,我们的日常生活将长期连网,线上线下几乎完全融合。

  而此时对用户的身份认证也将是随时随地的,重要的基础服务依赖于互联网,每个人的绝大部分资料也都将存储在云端,电子身份安全的重要性将是史无前例的,因为个人的电子身份很大程度上代表着现实身份。这种场景很像科幻小说里的样子,在更遥远的未来,窃取一个人的电子身份后就可冒名顶替此人的工作和生活并不是完全不可能的。

  可以说随着互联网的发展,电子身份认证的重要性将是鸿毛到泰山的变化。

  电子身份认证将成为国民基础设施

  电子身份安全重要性的提升,必将进一步促使身份认证服务的专业化。企业要提供安全性高、用户体验好、符合政策的身份认证手段需要常年的技术和经验积累,很显然,要求用户设置18位以上包含数字符号的密码并不是十分可靠的解决办法。尤其对中小型企业来说,不管在技术上还是财力上都很难保证向用户提供足够安全且易于接受的身份认证方式,如此,寻求第三方身份认证服务是大多数企业必然的选择。

  另一方面,那些实力雄厚的企业也许有能力自主解决身份认证问题,但也不可能全都各自为政,毕竟用户面对着成百上千的互联网服务,要记住或者随身携带十几种不同的身份认证方式足以让用户晕头转向,而且使用第三方身份认证如果能节省成本、分包责任又何乐而不为呢?正如现今的防火墙、杀毒软件、入侵检测系统等,有哪家企业会仅为了自身的需求去开发这些系统呢?

  未来的身份认证模式很可能是这样的:

蓝色的第三方身份认证服务商可能有1~3家
蓝色的第三方身份认证服务商可能有1~3家

  第三方身份认证服务兴起后,将很快促使身份认证服务的标准化,甚至会在现有互联网架构上形成独立的一层,如下图:当然,“身份认证层”是虚拟的,实际实现仍然会在“应用层”中工作。

号外:再等十五年  我们就不用记银行密码了

  这样的架构,对于用户而言,他只需要记住少数几个甚至一个账号,随身携带一把电子钥匙(如果高安全级别需要的话)就可以在互联网上畅通无阻,更便捷地享受生活;对于提供互联网服务的企业则不需要关注身份认证的细节,更加专注于自身的业务,节省大量时间和精力。

  如果你认为以上描述的场景还很远,稍做调研,你就会发现OAuth(开放身份认证协议)已经在互联网全面开花,FIDO(无密码强认证协议)也在快速成熟,你会不会改变想法呢?

  技术路线——未来的电子身份认证是生物识别吗?

  未来的电子身份认证方案,必须是随时随地、安全又便捷的,而如指纹识别、人脸识别此类的生物特征识别方案看起来天然的满足需求,尤其是苹果公司iPhone手机搭载指纹解锁之后,生物特征识别在IT领域也成为了一个热点,然而笔者认为基于生物特征识别的技术成为未来主要身份认证方案的可能性很小。

  因为生物特征归根结底要转换成可复制的电子信号,所以必须依赖可信认证终端,而未来身份认证将成为一种国民基础设施,要到达社会全面覆盖的程度,即使我们不考虑建设成本,也必须考虑一旦识别技术被破解,能在短时间内升级全部的认证设备吗?

  举个极端的例子:假设未来某公司推出一种活体检测的指纹认证设备,效果非常好,广受欢迎,家庭门锁、汽车、公交地铁、甚至商城POS收款机都采用这种认证方案,然而7年后突然有黑客无意中发现利用特殊加工的烤香肠可以制作能骗过检测的指模,获取一个人的指纹又是再简单不过的事情,提取制作假指模的成本不足百元,这将会造成一场社会灾难。也就是说,本质上生物特征识别是利用技术复杂性来保证安全的,作为全社会的一种普遍的主要认证方案,则是很冒险的行为。

  与生物特征识别技术相比,现在银行金融领域广泛使用的U盾数字签名技术,也可称为PKI(公钥基础设施)技术,更适合作为普遍的认证方案,因为PKI技术的安全性是依赖于数学难题的,通常认为几十年内被破解的可能性很小,即使极端情况下算法被破解,我们在已经部署的基础设施上升级加密、签名算法也是时间可控、成本可控的。

  这并不是否定生物特征识别技术的前景,因其随时随地、简单便捷的优势确实比较明显,笔者认为生物特征识别技术如果作为PKI技术的辅助认证手段,则很可能得以广泛应用,也是未来的一个发展方向。比如畅想一下,未来如果有一款智能手表集成了类似银行U盾的功能,背面又可检测静脉进行生物识别,两者的配合能让您告别所有烦人记不住的账号密码,带着手表登录所有网站自动进入,网银转账只需按个按钮,是不是一件特别享受的事情呢。

  统一认证和个人隐私

  如果未来我们在互联网真的要完全依赖于某个第三方身份认证厂商,会不会对我们的个人隐私造成严重威胁呢?其实这是一个很简单的问题,不过因为其重要性和普遍的误解,我们仍然要单独聊聊这件事儿。

  答案是:不会!并且由于身份信息由更专业更规范的机构集中管理,我们的个人隐私会得到更好的保护,接触过OAuth的朋友应该记得,当我们在某个论坛上选择使用第三方账号登录,在认证通过后,还会有个单独的授权页面,是否允许此论坛获取你的姓名、头像、身份证号等,如果你拒绝则这个论坛永远也不知道你是谁,只会得到一个随机的ID,从而得知你的每次登录都是同一个人,具体如下图所示:

号外:再等十五年  我们就不用记银行密码了

  附录-小李的科幻生活

  2030年的某个晚上,结束了一天忙碌的工作,小李走向他刚买的爱车,早已开启空调的智能汽车在小李靠近时自动打开车门迎接主人,虽然到家有一个小时的车程,但真正需要小李手握方向盘的却只有10多分钟,因为大部分时间会行驶在国家试点的全自动驾驶高速路上,小李完全可以合法的放开方向盘小睡一会,不过这时数字助理通知家里的智能冰箱自动下单购买了3天的蔬菜请确认,小李干脆打开前挡风玻璃的投射屏幕,利用7G网络登录自己的云计算机,首先检查家里的卫生,安排清扫机器人的工作,打开窗户通风,再选择一份菜谱让智能厨房开始准备,还有半个多小时的时间,小李准备进入到网络游戏带领部队攻城拔寨。

  一切都是如此的流畅自然,以至于人们注意不到身份认证在哪、是如何工作的,但是又根本不用担心安全问题。就像闲暇的周末路过咖啡厅,点上一杯咖啡,坐在窗前读读书享受一会惬意的阳光,然后就出门离开了,结账?支付?早已经在无声无息间完成了。

  (独家撰稿,转载请注明来源!文中内容仅为个人观点,不代表所在单位意见!)

责任编辑:王超

收藏

为你推荐

收藏成功

确定