物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

身份證書管理中的危機

作者:henly 編譯
來源:IT168
日期:2007-03-04 11:42:45
摘要:作為一名技術(shù)經(jīng)理或首席信息官,如果身份證書管理還沒有列入你的首要議程之一,那么,你就聽聽Tatum Partners的首席信息官、Update專欄作家Dan Gingras的分析吧
作為一名技術(shù)經(jīng)理或首席信息官,如果身份證書管理還沒有列入你的首要議程之一,那么,你就聽聽Tatum Partners的首席信息官、Update專欄作家Dan Gingras的分析吧:

  如果你試圖管理幾十個、甚至幾百個密碼,或如果有人給你發(fā)送電子郵件試圖騙取你的身份證書,你恐怕也會有像我一樣存在身份證書管理的危機感!

  身份證書及身份證書管理問題正在成為IT中最熱門的話題之一,身份證書管理問題也逐漸列入首席信息官的議事日程。

  如果你開始考慮身份證書及身份證書管理問題,過不了多久,你就會感到精疲力竭,因為,這個問題過于龐雜。

  一、危機隨處可見

  首先,我來給你講述幾種情況,恐怕會讓你徹夜難眠。

  密碼并不是唯一的,雖然密碼或許是如今應用最主要的認證方式之一,但由于密碼易于泄露,因此已成為當前借以攻擊系統(tǒng)的主要方法。

  首先,密碼并不能真正確認使用者,有了密碼就可以進入系統(tǒng)。我可以把密碼給你,你也可以?;ㄕ邪盐业拿艽a騙到手,但系統(tǒng)卻不能區(qū)分你和我。

  當你考慮身份證書相關問題時,需要掌握幾條基本規(guī)則。雖然這些不是指導性原則,但可用來對現(xiàn)有的身份證書問題進行詳細探討。為了及早考慮身份證書和身份證書管理問題,你應該了解這些規(guī)則對身份證書管理的重大意義。

  為什么應該關心這個問題?我們正不斷面對個人的或職業(yè)的身份證書問題。我們越是進入在線商務時代,我們就越面臨經(jīng)濟犯罪。因此,類似“誰在敲開我們數(shù)字時代的大門”這樣一個重要問題則更加緊迫地擺在了技術(shù)經(jīng)理們的面前。

  二、身份證書管理需要考慮的因素

  1、身份證書要有關聯(lián)性。就像算式A+B = B+A一樣,身份證書也是有關聯(lián)的。我去當?shù)氐某匈徺I商品,想要簽支票結(jié)賬,但店員并不認識我;他們要求看一下我的駕駛執(zhí)照;他們實際上不相信我,但他們非常相信州政府;當我出示駕駛執(zhí)照時,他們知道新罕布什爾州相信我,因此他們也就相信了我,至少相信我所說的身份。

  如果我出示的是護照,其關聯(lián)性也同樣適用,因為他們也相信聯(lián)邦政府。

  2、身份證書要限制為特定的應用來使用。如果我給超市的支票包含了有關我的許多信息,如我的社會保險號碼、收入、健康記錄等,那么有關我業(yè)務的一些信息就有可能被他泄露給我的競爭對手,這將把我置于危險的境地。

  其實,超市只需要知道我是誰就足夠了,因為一旦財務文件(支票)有誤,他們需要有一種與我取得聯(lián)系的途徑。他們不需要了解我的其他任何情況,換句話說,他們只需要知道我的住址或聯(lián)系電話,以便財務文件有誤時能找到我。向他們提供我的保險號碼、收入、健康記錄或其他任何信息都將把我置于危險的狀態(tài)。

  3、用戶需要控制好自己的身份證書。以前,我的鑰匙鏈裝有無線頻率證明(RFID),這樣我就可以在某些加油站購買汽油。不幸的是,任何人都可以未經(jīng)我的同意使用RFID讀卡器閱讀我的無線頻率證明。

  然而,如果現(xiàn)在有人讀取我的鑰匙鏈信息,便無法知道我是誰,因為他們必須先訪問一個數(shù)據(jù)庫,其中我的鑰匙鏈的ID與我的真實身份證書相關聯(lián)。但坦率地講,即便如此,我還是很緊張,因為他們可以蒙騙讀卡器,以我的鑰匙鏈的ID進行加油。

  以目前的油價來看,這種盜竊RFID證書行為完全可以大發(fā)橫財,因此,用戶必須有權(quán)批準是否將身份證書傳輸給申請方。

  4、身份證書的驗證需要對等進行。你每天可能會收到來自Paypal、銀行等單位的各類電子郵件不少于5個,它們都要求你打開你的賬戶或確認身份。我們應該知道,有些恐怕是試圖竊取你的身份證書。但這同時也表明,與交換身份證書相關聯(lián)的信任需要對等完成。如果你要求我的身份證書,我就絕對需要確切地知道你是誰。

  只有通過具有資質(zhì)的機構(gòu)使用其網(wǎng)站來完成確認過程,而這個機構(gòu)又必須有誠信。但現(xiàn)在的情況是,有些騙取身份證書的行為獲得了成功,因此可以說,當前有些機構(gòu)存在信任危機。

  5、身份證書應該以加密的方式一次性傳輸。當我將自己的身份證書信息發(fā)送給一個網(wǎng)站時,應該按照兩因子確認方式進行,且這一加密傳輸過程應該具有有限的生命周期;傳輸線路應該具有偵聽功能,以防今后再使用同一傳輸路徑;目前使用的兩因子確認技術(shù)頗像RSA實驗室中安全身份證書的操作方式。

  6、身份證書應該是通用的。我的鑰匙鏈上有十幾個條形碼,從超市卡到West Marine應有盡有。這實在是滑稽,我所打交道的每一家公司都有確認我身份的唯一方式。

  我們所需要的是完全電子化的單一身份介質(zhì),它包含所有相關信息。允許我們分割使用身份證書,這樣,當我需要簽支票時,它就會告訴超市或銀行我是誰;當我向醫(yī)生出示身份證書時,它就會告訴醫(yī)生有關我健康的全部信息。

  身份證書通過分割使用,便可以訪問專門信息。理想的結(jié)果應該是身份證書捆綁某些生物數(shù)據(jù),用以證明我的真實身份。例如,在超市或在線簽支票,或者銀行在線查驗身份時,它應該可以用來顯示外貌特征等。

  顯然,身份證書已經(jīng)成為技術(shù)人員處理日常工作生活中最重要的工作之一。然而,我們才剛剛涉及這些問題,我們需要考慮的事情和需要完成的工作還很多。