password
目前,网路上:“不仅账户的信息被随意更改,而且,收到和自己毫无相关的付款通知单”;“积分被随便盗用”,ID和密码被盗、密码被非法利用的被害人充斥网络。
无论是消费者还是企业,依靠ID和密码的身份认证其可靠性已到极限。密码泄漏和公司内部信息泄漏事件频发,传统的身份验证已无法保护企业和消费者的资产。
通常,一个人使用的密码最多也就3~4个。但是由于利用云计算服务急速发展,每年要求各自独立的ID和密码的系统和服务持续增加。这就不可避免地出现轮番使用相同ID和密码的现象。一旦因某个服务泄漏密码,利用的其他服务也会发生ID被盗用问题。安全咨询HASH的德丸总经理说:“很多夺取ID网络攻击通常利用从其他网站泄漏的ID和密码。若干%的网络攻击会成功地登录。”
身份认证易于泄漏的问题,企业的业务系统也并不例外。由于企业密码管理混乱不断出现企业内部人犯罪。一旦企业内部的PC受到病毒感染,紧接着病毒波及域名相同的PC,以致重要的系统ID和密码被窃取。Luck公司的高管西本逸郎警告:本来,宽带连接会招致危险但公司内部网络系统则安全的想法不过是一种天真的幻想而已。
由于虚拟专用网络VPN(Virtual Private Network)、移动设备管理MDM(Mobile Device Management)等认证系统,系统的重要度和身份认证的安全强度不相称也是一个值得关注的问题。比如,对从公司外部利用出勤管理系统时需要IC卡认证,而充满机密信息的网络邮件系统则通过互联网使用ID和密码即可登录等。

接近理想的认证

从根本上解决上述问题,就有必要同时改革消费者的系统和业务系统,使认证系统成为安全且便利的“理想型”认证系统。其关键有两点,一是随着智能手机和平板电脑以及云计算日益普及,认证框架设于网络上,以便何时何地都可以访问。无论企业还是消费者,在宽带连接基础上采用高安全强度的身份认证。
另一个是,将辨别终端的“终端认证”和辨别用户自身的“用户认证”组合在一起,防止密码泄漏和因终端的远程操作遭受病毒感染。终端认证有电子证明书,用户认证则除了密码外,有安全强度更高的一次性密码 (One Time Password, OTP) 和生物认证(biometrics authentication)技术。
如果是企业的业务系统,认证运用不分公司内部或公司外部,在网络上准备单点登录( Single Sign-On,SSO)认证架构。
目前,很多商务人士利用网络上的云计算服务处理业务资料,携带自备移动终端登录业务系统。因此,区分公司内外的必要性日趋淡薄。日本商品期货清算公司(Japan Commodity Clearing House,JCCH)安全解决方案营业本部的齐藤立树说:“说的极端点,公司只提供无线网络设备,而员工通过认证架构在任何地方能够登录业务系统和外部的云计算服务,这种方式合乎道理。”实际上,采用上述方式的风险企业和大学等学术机构的网络不在少数。
针对消费者的系统基本想法相同,为接近“理想型”改变只用ID和密码认证方式,使用基于风险的认证方法和一次性登录,防止ID被占用。如果采用生物认证等强大的认证技术,同时可以省略密码。
实际上,面向消费者的IT服务运营商,正在相继强化认证,逐步接近“理想型”。比如,2012年8月,日本的雅虎公司和美国运营网络在线存储“Dropbox”的DropBox公司宣布使用一次性登录的认证技术。

既便于使用,又保证安全

目前,认证技术和运用出现两个变化,以便接近“理想型”认证,即同时实现高安全性和使用方便。
第一,由于智能手机的普及,出现使用智能手机和平板电脑终端的认证技术。例如,如果笔记本电脑和智能手机内装相机,就可进行脸部认证和静脉认证等简易的生物认证。如果随身携带的智能手机安装可以显示一次性登录的应用软件,就无需携带专用的密码发行设备。
2012年7月,苹果公司宣布收购指纹认证设备厂商美国authentec公司。预计指纹认证功能将代替密码输入用于iPhone电子结算。
另一个是叫做“保证水平(Level of Assurance)”的思考方式,即安全强度会根据系统的重要性而灵活变化的解决方法正急速扩大。这是美国国家标准与技术研究所(National Institute of Standards and Technology, NIST)等各国政府机关所采用的方法,依据认证的安全强度,设定保证水平(一般分4个等级),根据用途区别使用。
例如,最高等级的IC卡具有抗干扰功能(tamper resistant),可防止加密密锁(cipher key )被盗;第三等级是通常的密码的基础上使用一次性登录两个认证功能;密码根据文字数量分为第二或第一等级等。如此通过划分等级,便可防止对不涉及机密信息的过度认证,以免浪费。

认证联合创造新商务

2013年,预计随着面向消费者的IT服务认证水平的日益提高,“认证联合”即使用某个服务的ID登录其他的服务的认证方式将不断发展。
虽然,目前的认证联合还只停留在认证Facebook和Twitter等社交网络媒体巨头的账户,但今后,不仅是社交网络媒体,而且在经使用者同意的前提下,服务运营商亦可通过相互交换所拥有的使用者信息的方式创造出新的服务。
随着上述认证联合的逐步扩大,针对消费者的IT服务高水平的认证得以普及,那么,使用消费者服务的ID也可登录企业的业务系统。通过云计算提供高安全强度的认证架构,针对消费者的服务和业务系统均可登录。
如果消费者IT 服务认证的保证水平高于公司内部的认证架构且便于使用,那么就没有必要继续使用公司内部的认证架构,而IT部门也可以从发行电子证明书和再发行密码等业务中解放出来。