电子认证 (商业用户)
我的业务需要电子认证吗?
互联网令提供资讯和服务的模式起了翻天覆地的变化。现时公司为保持竞争力,必须提供网上业务功能。为了将核心业务程序自动化,商户更需让客户、供应商和员工等使用者随时随地接达公司资料及应用系统。
为防止未获授权的使用者接达受保护的资源,需建立安全的认证系统,以确定使用者声称的身分。
涉及哪些程序?
电子认证是在电子交易中建立信任的重要一环,当中涉及两大程序,包括:
1. 註册程序
註册程序一般包括两大部分,分别为註册及註销。
註册旨在
确保声称的身分确实存在 ;
确保申请人声称的身分真确 ;
确保与身分相关的资料一致、準确及妥善记录 ; 以及
发出凭证或记录现有凭证的详细资料。
註销旨在
于持有人身故、辞职或遭解僱、更改名称、终止业务或出现其他重大变动时,撤销和在有需要时更换凭证;
撤销和更换被窃/资料外泄的凭证;
于怀疑凭证资料外泄、被窃或出现重大变动时暂时吊销凭证 ; 以及
应客户要求撤销凭证。
2. 认证程序
认证是用以识别和证实尝试发送讯息或接达数据的使用者/人士的身分,旨在
检查凭证在有关交易中是否有效 ; 以及
检查所提交的凭证是否逾期、被註销或撤销。
有哪些常见的威胁?
註册
一般而言,在註册程序中有叁类攻击:
认证
在认证程序中也有四大威胁来源:
其他威胁来源
除了註册和认证程序外,一些保安攻击也可在电子认证中构成威胁。
仿冒诈骗/假冒网站
攻击者使用看似由合法机构发出的虚假电邮讯息,要求受害者提供帐户识别码、密码等敏感资料,或提供欺诈网站的连结,让受害者输入敏感资料。
攻击者使用看似由合法机构发出的虚假电邮讯息,要求受害者提供帐户识别码、密码等敏感资料,或提供欺诈网站的连结,让受害者输入敏感资料。
黑客入侵
攻击者利用电脑系统的漏洞,接达并偷取敏感个人资料、密码等,以作进一步攻击,例如冒充身分或控制帐户。
攻击者利用电脑系统的漏洞,接达并偷取敏感个人资料、密码等,以作进一步攻击,例如冒充身分或控制帐户。
跨网址程式编程
黑客在合法网站安装恶意程式码或指令码,当受害者浏览网站时,恶意指令码便会执行以偷取敏感资料,或将受害者转至与合法网站相似的欺诈网站。
黑客在合法网站安装恶意程式码或指令码,当受害者浏览网站时,恶意指令码便会执行以偷取敏感资料,或将受害者转至与合法网站相似的欺诈网站。