Colección de citas famosas - Colección de consignas - En cuanto a la autenticación de identidad en el comercio electrónico, ¿cómo prevenir a los piratas informáticos y otros intrusos?

En cuanto a la autenticación de identidad en el comercio electrónico, ¿cómo prevenir a los piratas informáticos y otros intrusos?

El comercio electrónico se originó en la electrónica británica.

Negocios se refiere al uso de métodos de comunicación electrónica simples, rápidos y de bajo costo para realizar diversas actividades comerciales sin reunirse en persona. Con la popularidad del comercio electrónico, la gente se ha acostumbrado a las compras online y a las compras online.

Tanto la banca como los pagos electrónicos son cosas nuevas, pero la seguridad de la red siempre ha sido un cuello de botella importante que restringe el desarrollo del comercio electrónico.

1. Autenticación de identidad en comercio electrónico

Existencia

En las actividades de comercio electrónico, ya que toda la información personal y de transacciones está en una red abierta ((como Internet), por lo que necesitamos tecnología de autenticación de identidad para verificar la identidad del cliente. Autenticación de identidad

Generalmente, se basa en lo que tiene el cliente (como tokens, tarjetas inteligentes o tarjetas de identificación), lo que sabe (como contraseñas estáticas) y las características que tiene (como como huellas dactilares, iris, ondas cerebrales). Los paquetes de tecnología de autenticación comúnmente utilizados en el país y en el extranjero

incluyen: método de nombre de usuario/contraseña, autenticación de tarjeta IC, autenticación de clave USB y autenticación biométrica, etc. Con el desarrollo de las redes y la tecnología de piratería, se ha demostrado que la autenticación de nombre de usuario y contraseña es insegura. Dado que los esquemas de contraseñas estáticas no son resistentes a los ataques de repetición, los ataques de diccionario son intensivos.

Las contraseñas son fáciles de olvidar,

por lo que su seguridad es muy baja y no pueden cumplir con los requisitos de autenticación de identidad en el comercio electrónico. En la actualidad, algunas tecnologías maduras de autenticación de identidad en el país y en el extranjero se implementan básicamente mediante hardware (como tarjetas IC, USB)

tecnología de autenticación de claves, etc. ).

2. Comparación de varias tecnologías de autenticación de identidad

1.

Esquemas estáticos de nombre de usuario y contraseña. Entre los muchos esquemas de autenticación, el esquema estático de nombre de usuario y contraseña sigue siendo el más utilizado, especialmente para aquellas aplicaciones con bajos requisitos de seguridad, como altares, BBS y buzones de correo. Actualmente, la principal causa de los ciberataques a empresas y particulares son las políticas de contraseñas estáticas mal gestionadas. La mayoría de los usuarios utilizan contraseñas que son palabras, nombres u otras abreviaturas comunes que se encuentran en un diccionario.

Contraseña única. El 86% de los usuarios utiliza la misma contraseña o un número limitado de contraseñas en todos los sitios web. El incidente de seguridad nacional más reciente ocurrió en junio de 2011. En ese momento, el sistema de seguridad de CSDN

fue atacado por piratas informáticos y se filtraron los nombres de inicio de sesión, contraseñas y direcciones de correo electrónico de 6 millones de usuarios. Después de obtener el nombre de usuario y la contraseña de inicio de sesión de CSDN, el hacker intentó utilizar esta contraseña para iniciar sesión en la dirección de correo electrónico registrada. Muy útil si tiene éxito.

Función de recuperación de contraseña comúnmente utilizada por muchos sitios web para obtener el número de cuenta del usuario y la contraseña de otros sitios web relacionados. En resumen, las ventajas del esquema de autenticación de contraseña estática son el bajo costo de implementación, la ausencia de necesidad de comprar equipos especiales y una buena experiencia de usuario.

Buen rendimiento, pero baja seguridad.

2.

Solución u-shield con certificado de cliente. Desde un punto de vista técnico, el certificado de cliente USBKey es una herramienta de firma electrónica y autenticación digital de banca online. Procesador de tarjeta microinteligente integrado, que utiliza 1024.

Un algoritmo de clave un poco asimétrica cifra, descifra y firma digitalmente datos en línea para garantizar la confidencialidad, autenticidad, integridad y no repudio de las transacciones en línea. Actualmente, existen varios bancos comerciales importantes en China, como el Banco Industrial y Comercial de China y el Banco Agrícola de China.

Tanto China Banking Corporation como Bank of Communications han adoptado la solución USBKey. Incluso si el pirata informático conoce la contraseña de inicio de sesión y la contraseña de pago del cliente, no puede transferir ni un solo punto de su cuenta sin una unidad flash USB.

Dinero. Por lo tanto, este método de autenticación de identidad puede evitar posibles riesgos como el robo de cuentas y contraseñas. La ventaja de la solución USBKey es su gran seguridad, pero debido a que implica hardware, el costo es mayor y es necesario instalar el controlador antes de usar la USBKey. Para algunos clientes que viajan con frecuencia o necesitan usar USBKey en diferentes máquinas, debido a varios sistemas operativos de computadora (como Windows y Linux) y hardware (diferentes marcas de máquinas), pueden encontrar algunos problemas durante Los problemas de compatibilidad reducen en gran medida la satisfacción de la experiencia del usuario.

3.

Solución de autenticación de SMS. En la actualidad, algunos sitios web importantes de comercio electrónico suelen adoptar la solución "contraseña estática + autenticación por SMS".

Este sistema utiliza fuentes de ruido físico digitales para generar contraseñas dinámicas (autenticación) que cambian completamente al azar, y las contraseñas dinámicas se envían al terminal de comunicación inalámbrica del usuario (buscapersonas o teléfono móvil, etc.). ) a través de comunicación por cable.

Vamos. Por ejemplo, el sitio web de Alipay solo requiere que los usuarios ingresen la contraseña de pago cuando realizan pagos pequeños, pero si el monto excede una cierta cantidad (como 200 yuanes), el sitio web de Alipay enviará un cheque (el número registrado durante el registro) al teléfono móvil del usuario.

SMS del certificado, y luego el usuario podrá completar el pago ingresando el código de verificación de 6 dígitos del teléfono móvil y la contraseña de pago en el sitio web. La ventaja de utilizar este método de autenticación de identidad es que no solo garantiza la velocidad de los pagos de pequeñas cantidades, sino que también garantiza la seguridad de los pagos de grandes cantidades.

Holístico. Sin embargo, el rendimiento y la estabilidad en tiempo real del sistema de autenticación dependen en gran medida del estado de la red de comunicación inalámbrica. Cuando la red está congestionada, la transmisión de contraseñas de autenticación puede retrasarse o incluso ser incorrecta en el sistema.

El proceso de autenticación de identidad a menudo se completa y, dado que el envío de mensajes de texto generará una gran cantidad de tarifas por mensajes de texto, sigue siendo un gasto considerable para los sitios web de comercio electrónico pequeños y medianos.

4.

Esquema de autenticación de contraseña dinámica. La contraseña dinámica, también conocida como OTP (contraseña de un solo uso), se caracteriza por la entrada del usuario en función del número mostrado del token de contraseña dinámica proporcionado por el proveedor de servicios.

Contraseña dinámica, y la contraseña solo se usa una vez cada vez que inicia sesión en el servidor, por lo que el espía no puede usar la contraseña de inicio de sesión escuchada para el siguiente inicio de sesión y usa una función hash unidireccional (como como

algoritmo Sha-1, etc.) evitan que los espías infieran la siguiente contraseña de inicio de sesión a partir de la contraseña de inicio de sesión escuchada. El Banco de China adopta un esquema de autenticación de contraseña dinámica. El programa es fácil de usar y no requiere del usuario.

Al instalar cualquier controlador, simplemente ingrese la contraseña dinámica de 6 dígitos que se muestra actualmente. Su desventaja es que su seguridad no es tan sólida como la de USBKey. Por ejemplo, en el primer semestre de 2011, los bancos chinos se trasladaron por todo el país.

Incidente de seguridad de filtración de contraseñas a nivel nacional. Los piratas informáticos primero diseñaron múltiples sitios web de phishing y luego atrajeron a los usuarios del Banco de China para que ingresaran contraseñas de inicio de sesión y contraseñas dinámicas. Aunque la contraseña dinámica es de un solo uso, se puede reutilizar en 60 segundos.

Sí. Por lo tanto, después de que el pirata informático obtiene la contraseña de inicio de sesión y la contraseña dinámica del usuario, puede completar la operación de robo de fondos del usuario, como la transferencia de dinero, siempre que inicie sesión en el sistema real del Banco de China en 1 minuto.

Consulta /view/6f 54036925 c 52 cc 58 BD 6 be 2f html y lo sabrás por completo.

En la actualidad, la CA y los certificados digitales son las tecnologías más utilizadas.

上篇: No podría ser mejor. te conocí por casualidad 下篇: Poemas del rocío de otoño