電子認證 (商業用戶)
主頁 > 
電子認證 (商業用戶)
< 返回

電子認證 (商業用戶)

我的業務需要電子認證嗎?

電子認證

互聯網令提供資訊和服務的模式起了翻天覆地的變化。現時公司為保持競爭力,必須提供網上業務功能。為了將核心業務程序自動化,商戶更需讓客戶、供應商和員工等使用者隨時隨地接達公司資料及應用系統。

為防止未獲授權的使用者接達受保護的資源,需建立安全的認證系統,以確定使用者聲稱的身分。

涉及哪些程序?

電子認證是在電子交易中建立信任的重要一環,當中涉及兩大程序,包括:

1. 註冊程序

電子認證流程

註冊程序一般包括兩大部分,分別為註冊及註銷。

註冊旨在

確保聲稱的身分確實存在 ;
確保申請人聲稱的身分真確 ;
確保與身分相關的資料一致、準確及妥善記錄 ; 以及
發出憑證或記錄現有憑證的詳細資料。

註銷旨在

於持有人身故、辭職或遭解僱、更改名稱、終止業務或出現其他重大變動時,撤銷和在有需要時更換憑證;
撤銷和更換被竊/資料外泄的憑證;
於懷疑憑證資料外泄、被竊或出現重大變動時暫時吊銷憑證 ; 以及
應客戶要求撤銷憑證。

2. 認證程序

認證是用以識別和證實嘗試發送訊息或接達數據的使用者/人士的身分,旨在

檢查憑證在有關交易中是否有效 ; 以及
檢查所提交的憑證是否逾期、被註銷或撤銷。
有哪些常見的威脅?

註冊

一般而言,在註冊程序中有三類攻擊:

冒充身分

冒充身分
攻擊者以他人名義取得憑證,而有關人士可以是選定或非選定目標。

虛構用戶

虛構用戶
攻擊者使用一個不存在人士的身分以建立用戶關係。

註冊者惡意行為

註冊者惡意行為
在內部濫用可信賴的身分,以準用戶或不存在人士的身分建立或取得憑證。

認證

在認證程序中也有四大威脅來源:

竊聽者/中繼攻擊

竊聽者/中繼攻擊
竊聽者會觀察認證數據(在網絡之間)的執行情況,以便日後分析或截取真正使用者之間的訊息,然後以不當手法嘗試取得權標冒充合法使用者。這個方法經常與中繼攻擊一起使用,中繼攻擊以惡意或欺詐手段重複或延遲有效的數據傳輸。

密碼猜測

密碼猜測
字典式攻擊黑客嘗試取得你的密碼的最常用手法。在字典式攻擊中,攻擊者會逐一嘗試字典中的字詞和名稱,看看是否你的密碼。他們會利用程式進行,每秒可猜測數以百計或千計的字詞。

冒充檢查員

冒充檢查員
攻擊者冒充檢查員,然後誘使使用者透露其秘密權標。

騎劫者

騎劫者
攻擊者佔用已認證的對話,然後假扮真正的用戶或資訊科技系統,以取得敏感資料或輸入/輸出無效資料。

其他威脅來源

除了註冊和認證程序外,一些保安攻擊也可在電子認證中構成威脅。

仿冒詐騙/假冒網站
攻擊者使用看似由合法機構發出的虛假電郵訊息,要求受害者提供帳戶識別碼、密碼等敏感資料,或提供欺詐網站的連結,讓受害者輸入敏感資料。
黑客入侵
攻擊者利用電腦系統的漏洞,接達並偷取敏感個人資料、密碼等,以作進一步攻擊,例如冒充身分或控制帳戶。
跨網址程式編程
黑客在合法網站安裝惡意程式碼或指令碼,當受害者瀏覽網站時,惡意指令碼便會執行以偷取敏感資料,或將受害者轉至與合法網站相似的欺詐網站。