确保网上银行安全的多重身份认证方案

今年夏天，法院首次开庭受理了印第安纳州花旗金融银行的一位客户的案件，该客户控告其网上银行保障措施中缺少足够的多重身份认证。这起案件的法官指出，在2007年该客户帐户被盗的时候，银行只提供了单重身份认证保护，这很明显违反了美国联邦金管会FFIEC 2005的规定，该规定指出金融机构要采取多重身份认证来确保网上银行的安全。

随着网上金融交易的增长，网上银行欺诈行为也逐渐增多，用户要求银行能够提供更高级别的保护措施，包括FFIEC要求的多重身份认证。把这些控制工作做到位，是减少金融数据盗窃以及虚假帐户活动的关键一步，这样做还可以让银行避免因网上欺诈而要担负的潜在赔偿责任。

按照多重身份认证的要求，在进行用户认证时，须同时提交下面的两个身份验证：一是你知道什么（比如密码）；二是你持有什么（比如一个动态的PIN码或令牌码），或者你个人独有什么（比如指纹）。让我们来看看几种银行已经实施的、比较常用的多身份认证系统，以及一些比较新的、确保网上银行安全以及符合FFIEC规则要求的选择。

其中，最常用的一种方法是使用传统的、带动态PIN生成器的硬件令牌（hardware token）。这些硬件令牌效果明显且容易扩展，但是部署困难，价格也很昂贵。对于许多大公司来说，这显然不是一个可行的方案。在某些情况下，金融机构倾向于使用“软件令牌（soft tokens）”，或者使用基于软件的PIN生成工具，用户能够进行下载然后安装在手机上。经过一个简单的注册过程以后，用户可以在他们的移动设备上生成PIN密码，其实质上把它们变成了个人的硬件令牌。这种方法性价比更高，而作为硬件令牌的替代方案，这种 “软件令牌”也迅速得到了人们的认可。

另外一种传统的办法是使用一次性密码(OTP)，有时也把它叫做交易认证数字（TAN）。在这种系统中，金融机构会发给每个用户一张特别的卡片，上面印有一次性密码或者密码短语列表。用户每次进行身份认证时，需要使用其中的一个密码或者短语（按顺序），然后把使用过的密码从表格中划掉。金融机构建立并维护着一个用户数据库及其相应的密码列表，还能追踪哪个OTP正在被使用。这个系统的性能很好，维护费用也不贵，因为它只需要利用软件就可以使服务器端和用户端的密码列表同步。唯一的缺点是，当用户丢失他们的密码列表或者双方列表不同步的时候，维护成本会增加。

还有一种与此类似的系统是使用特殊的“宾果卡（bingo cards，类似填字图）”。这些卡片由Entrust Inc. (IdentityGuard)和TriCipher Inc.这样的公司提供，它们上面有一个网格，网格的一个轴上印有数字，另外一个轴上印有字母，在网格内部还印有一些数据。当用户要登陆银行应用程序时，首先需要输入用户名和密码，然后根据提示输入一系列在网格上的数据（举个例子，D2）进行认证。每个卡片都是独一无二的（像OTP一样），如果卡片丢失，进行替换也很方便，而且价格便宜。除了用户丢失卡片时不能提供技术支持外，这种系统几乎没有缺点。其他的系统能够生成OTP，并且把它们通过带外(OOB)的方法（比如SMS、电子邮件和电话等）发送给用户。

另外一种传统的、实施多重身份认证的另类方案是利用用户登陆时使用的电脑作为多认证的一个因素。通过在系统中放置一个已经成功注册的cookie，用户就能通过输入用户名和密码进行登陆，通常还需要回答一些在注册时事先设定好的“个人”问题。当用户试图用不包含这些cookie的电脑进行登陆的时候，他们或者会被拒绝登陆，或者需要回答更多的、更严厉的、事先设定好的一系列问题才能通过认证。

基于cookie认证方案主要的问题是cookie容易损坏或者丢失。另外，如果cookie难以获得或者一个系统无法被识别的话，这种方案就会退化成一些安全系数不高的方案，需要用户回答一系列个人问题。大多数情况下，这些cookie是加密的，即使被人通过跨站点脚本攻击以及其他的方式获得的话，也没有多大的用处。

一些银行正倾向于使用另外一种技术，在普通多重身份认证方案的基础上添加一个新的认证因素：基于位置的因素。尽管在一定程度上跟“你持有什么”的方案相关，但是这个较新的双因素模型（有时也被称作设备指纹（device fingerprinting））依靠的是把地理位置的IP地址、ISP连接以及其他位置信息跟提前设置好的用户总体信息联系起来。提供这个技术的厂商包括41st Parameter Inc.、ThreatMetrix Inc.和Iovation Inc等公司。尽管这个方法越来越流行，但是因为大家对将它用于实际的多重身份认证方案还缺乏信心，所以它并没有被广泛采用。许多金融结构和用户认为，这个方法与其他的方法相比缺少移动性和灵活性，如果终端机器被恶意软件感染的话，安全还会受到威胁。

最后，我们将介绍另一种方法，尽管被金融机构使用的非常少：生物辨别系统（biometrics）。然而，由于高成本和维护的复杂性（包括需要给用户提供指纹阅读器或者类似的东西），这种方案在大规模部署操作时不太现实。

总而言之，银行和其他金融机构需要采取行动，实现安全的多重身份认证系统，这对保护用户的账户安全是至关重要的。市面上有许多不同的方案可供选择，即使最大的金融机构也能够添加额外的认证因素，从而验证使用网络银行和其他应用的用户是否合法。如果不采取这些措施，银行将面临因不遵守相关规定而被惩罚的风险，并需承担相应的赔偿责任，同时这还会使得消费者对他们的网上银行缺乏信心。

【编辑推荐】