电子认证 (商业用户)
我的业务需要电子认证吗?
互联网令提供资讯和服务的模式起了翻天覆地的变化。现时公司为保持竞争力,必须提供网上业务功能。为了将核心业务程序自动化,商户更需让客户、供应商和员工等使用者随时随地接达公司资料及应用系统。
为防止未获授权的使用者接达受保护的资源,需建立安全的认证系统,以确定使用者声称的身分。
涉及哪些程序?
电子认证是在电子交易中建立信任的重要一环,当中涉及两大程序,包括:
1. 註册程序
註册程序一般包括两大部分,分别为註册及註销。
註册旨在
确保声称的身分确实存在 ;
确保申请人声称的身分真确 ;
确保与身分相关的资料一致、準确及妥善记录 ; 以及
发出凭证或记录现有凭证的详细资料。
註销旨在
于持有人身故、辞职或遭解僱、更改名称、终止业务或出现其他重大变动时,撤销和在有需要时更换凭证;
撤销和更换被窃/资料外泄的凭证;
于怀疑凭证资料外泄、被窃或出现重大变动时暂时吊销凭证 ; 以及
应客户要求撤销凭证。
2. 认证程序
认证是用以识别和证实尝试发送讯息或接达数据的使用者/人士的身分,旨在
检查凭证在有关交易中是否有效 ; 以及
检查所提交的凭证是否逾期、被註销或撤销。
有哪些常见的威胁?
註册
一般而言,在註册程序中有叁类攻击:
冒充身分
攻击者以他人名义取得凭证,而有关人士可以是选定或非选定目标。
攻击者以他人名义取得凭证,而有关人士可以是选定或非选定目标。
虚构用户
攻击者使用一个不存在人士的身分以建立用户关系。
攻击者使用一个不存在人士的身分以建立用户关系。
註册者恶意行为
在内部滥用可信赖的身分,以準用户或不存在人士的身分建立或取得凭证。
在内部滥用可信赖的身分,以準用户或不存在人士的身分建立或取得凭证。
认证
在认证程序中也有四大威胁来源:
窃听者/中继攻击
窃听者会观察认证数据(在网络之间)的执行情况,以便日后分析或截取真正使用者之间的讯息,然后以不当手法尝试取得权标冒充合法使用者。这个方法经常与中继攻击一起使用,中继攻击以恶意或欺诈手段重複或延迟有效的数据传输。
窃听者会观察认证数据(在网络之间)的执行情况,以便日后分析或截取真正使用者之间的讯息,然后以不当手法尝试取得权标冒充合法使用者。这个方法经常与中继攻击一起使用,中继攻击以恶意或欺诈手段重複或延迟有效的数据传输。
密码猜测
字典式攻击是黑客尝试取得你的密码的最常用手法。在字典式攻击中,攻击者会逐一尝试字典中的字词和名称,看看是否你的密码。他们会利用程式进行,每秒可猜测数以百计或千计的字词。
字典式攻击是黑客尝试取得你的密码的最常用手法。在字典式攻击中,攻击者会逐一尝试字典中的字词和名称,看看是否你的密码。他们会利用程式进行,每秒可猜测数以百计或千计的字词。
冒充检查员
攻击者冒充检查员,然后诱使使用者透露其秘密权标。
攻击者冒充检查员,然后诱使使用者透露其秘密权标。
骑劫者
攻击者占用已认证的对话,然后假扮真正的用户或资讯科技系统,以取得敏感资料或输入/输出无效资料。
攻击者占用已认证的对话,然后假扮真正的用户或资讯科技系统,以取得敏感资料或输入/输出无效资料。
其他威胁来源
除了註册和认证程序外,一些保安攻击也可在电子认证中构成威胁。
仿冒诈骗/假冒网站
攻击者使用看似由合法机构发出的虚假电邮讯息,要求受害者提供帐户识别码、密码等敏感资料,或提供欺诈网站的连结,让受害者输入敏感资料。
攻击者使用看似由合法机构发出的虚假电邮讯息,要求受害者提供帐户识别码、密码等敏感资料,或提供欺诈网站的连结,让受害者输入敏感资料。
黑客入侵
攻击者利用电脑系统的漏洞,接达并偷取敏感个人资料、密码等,以作进一步攻击,例如冒充身分或控制帐户。
攻击者利用电脑系统的漏洞,接达并偷取敏感个人资料、密码等,以作进一步攻击,例如冒充身分或控制帐户。
跨网址程式编程
黑客在合法网站安装恶意程式码或指令码,当受害者浏览网站时,恶意指令码便会执行以偷取敏感资料,或将受害者转至与合法网站相似的欺诈网站。
黑客在合法网站安装恶意程式码或指令码,当受害者浏览网站时,恶意指令码便会执行以偷取敏感资料,或将受害者转至与合法网站相似的欺诈网站。
