如何保障 Web 应用程序验证机制的安全
保障Web应用程序验证机制的安全措施有以下这些:
网络安全生物识别技术:“生物识别”字面意思是“测量生命”。生物识别技术指使用用户的已知和记录的物理属性来认证其身份。这是比较保险的,因为没有两个人会拥有完全相同的身体特征。常见的生物识别认证方法包括指纹识别,语音识别,视网膜和虹膜扫描以及面部扫描识别。这种方法的缺点是它需要专门的扫描设备,这对某些行业来说不是特别现实。
令牌认证:令牌是用于访问安全系统的物料设备。常见形式包括加密狗,卡或加密芯片。令牌使得黑客更难以访问帐户,因为他们必须拥有长凭证和有形设备本身,这对于黑客来说更难盗取。
交易认证:在将有关用户的已知数据与当前事务的详细信息进行比较时,事务认证会找出合理的错误。如果一个人住在国内,但是从海外的IP地址登录时就会出现数据错乱或提示认证身份。但这个方法的不便之处是需要更多步骤,以确保购买是合法的,并且用户不是网络犯罪的受害者。
多重身份认证:多重身份认证需要两种或更多种独立方式来验证身份。比如包括用户拥有的诸如电话或其他物理令牌之类的东西,诸如生物特征之类的固有因素或诸如密码之类的已知因素。这样网络黑客即使破解了密码,只要他得不到第二重验证(手机里的验证码),保密数据就还是安全的。
带外认证:带外认证使用完全独立的通道(如移动设备)来验证源自计算机的方法。任何需要从一个地方到另一个地方存款的交易,如大额汇款,都会在应用程序上生成电话,短信通知,要求完成交易需要更多的身份认证。通过两个或更多个必要的保密认证渠道,黑客窃取资金就会困难得多。
静态口令:口令又称身份识别码或通信短语,通过输入口令进行认证的方法便称为基于口令的认证方法。静态口令是指用户自己设定或改变口令,口令在一定时期内是不变的。认证过程中,以用户名和口令为身份标识,只要输入正确的口令,计算机就认为操作者就是合法用户,这就是常用的用户名/口令认证方式,是一种单一因素的认证。实际上,由于许多用户为了防止忘记口令,经常采用诸如生日、电话号码等容易被猜测的字符串作为口令,或者把口令抄在纸上放在一个自认为安全的地方,这样很容易造成口令泄露。即使口令不被泄露,由于口令是静态的数据,在验证过程中需要在计算机内存中和传输,也可能会被木马程序或网络监听工具截获。因此,静态口令方法从安全性上讲是不安全的身份认证。