超级会员免费看
移动电话网络认证的安全级别
1. 引言
如今,大多数人在互联网上拥有多个账户和身份,用于各种日常事务。常用的数字身份验证方式是用户名/密码对,但这种方式存在诸多风险。用户可能会写下密码或多个网站使用相同密码,增加身份被盗的风险;而且倾向于选择简单密码,容易在在线猜测攻击中被破解。
硬件设备可用于强身份验证,如智能卡、USB 密钥等,但这些设备需要额外的设备,携带不便,尤其对于在不同地点使用多台计算机的移动用户。而移动电话是用户通常随身携带的设备,无需额外分发,具有独特的安全认证优势。以下是一些使用移动电话的认证解决方案示例:
- 2 - clickAuth:用于身份提供者的光学认证解决方案。
- 基于移动电话的强认证:使用 SIM 卡的认证解决方案。
- SWA:专门为不可信计算机适配的认证方案。
然而,移动电话的认证解决方案差异很大,数据传输和通信方式选择众多,难以确定解决方案的安全性,也难以设计具有特定安全级别的新认证解决方案。因此,我们提出一种评估和设计使用移动电话作为安全硬件设备的认证解决方案的方法,该方法考虑了可用性、易用性、经济性和安全性等方面,同时使用了 NIST 电子认证指南中的安全级别概念,并对该指南进行了补充。
2. 移动电话在网络认证中的应用
移动电话与其他认证硬件设备的区别在于其多样的通信和输入通道。这些通道允许大量数据的传输,无需耗时的手动输入,并且手机可以通过远程通道直接连接到远程服务器。但用户的位置会影响通道的可用性和使用成本,认证解决方案的可用性取决于通信通道是否可以在无需额外设备和成本的情况下使用。
一个可用且达到所需安全级别的认证解决方案还应易于使用,
订阅专栏 解锁全文
扫一扫
3847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
