電子認證 (商業用戶)
我的業務需要電子認證嗎?
互聯網令提供資訊和服務的模式起了翻天覆地的變化。現時公司為保持競爭力,必須提供網上業務功能。為了將核心業務程序自動化,商戶更需讓客戶、供應商和員工等使用者隨時隨地接達公司資料及應用系統。
為防止未獲授權的使用者接達受保護的資源,需建立安全的認證系統,以確定使用者聲稱的身分。
涉及哪些程序?
電子認證是在電子交易中建立信任的重要一環,當中涉及兩大程序,包括:
1. 註冊程序
註冊程序一般包括兩大部分,分別為註冊及註銷。
註冊旨在
確保聲稱的身分確實存在 ;
確保申請人聲稱的身分真確 ;
確保與身分相關的資料一致、準確及妥善記錄 ; 以及
發出憑證或記錄現有憑證的詳細資料。
註銷旨在
於持有人身故、辭職或遭解僱、更改名稱、終止業務或出現其他重大變動時,撤銷和在有需要時更換憑證;
撤銷和更換被竊/資料外泄的憑證;
於懷疑憑證資料外泄、被竊或出現重大變動時暫時吊銷憑證 ; 以及
應客戶要求撤銷憑證。
2. 認證程序
認證是用以識別和證實嘗試發送訊息或接達數據的使用者/人士的身分,旨在
檢查憑證在有關交易中是否有效 ; 以及
檢查所提交的憑證是否逾期、被註銷或撤銷。
有哪些常見的威脅?
註冊
一般而言,在註冊程序中有三類攻擊:
冒充身分
攻擊者以他人名義取得憑證,而有關人士可以是選定或非選定目標。
攻擊者以他人名義取得憑證,而有關人士可以是選定或非選定目標。
虛構用戶
攻擊者使用一個不存在人士的身分以建立用戶關係。
攻擊者使用一個不存在人士的身分以建立用戶關係。
註冊者惡意行為
在內部濫用可信賴的身分,以準用戶或不存在人士的身分建立或取得憑證。
在內部濫用可信賴的身分,以準用戶或不存在人士的身分建立或取得憑證。
認證
在認證程序中也有四大威脅來源:
竊聽者/中繼攻擊
竊聽者會觀察認證數據(在網絡之間)的執行情況,以便日後分析或截取真正使用者之間的訊息,然後以不當手法嘗試取得權標冒充合法使用者。這個方法經常與中繼攻擊一起使用,中繼攻擊以惡意或欺詐手段重複或延遲有效的數據傳輸。
竊聽者會觀察認證數據(在網絡之間)的執行情況,以便日後分析或截取真正使用者之間的訊息,然後以不當手法嘗試取得權標冒充合法使用者。這個方法經常與中繼攻擊一起使用,中繼攻擊以惡意或欺詐手段重複或延遲有效的數據傳輸。
密碼猜測
字典式攻擊是黑客嘗試取得你的密碼的最常用手法。在字典式攻擊中,攻擊者會逐一嘗試字典中的字詞和名稱,看看是否你的密碼。他們會利用程式進行,每秒可猜測數以百計或千計的字詞。
字典式攻擊是黑客嘗試取得你的密碼的最常用手法。在字典式攻擊中,攻擊者會逐一嘗試字典中的字詞和名稱,看看是否你的密碼。他們會利用程式進行,每秒可猜測數以百計或千計的字詞。
冒充檢查員
攻擊者冒充檢查員,然後誘使使用者透露其秘密權標。
攻擊者冒充檢查員,然後誘使使用者透露其秘密權標。
騎劫者
攻擊者佔用已認證的對話,然後假扮真正的用戶或資訊科技系統,以取得敏感資料或輸入/輸出無效資料。
攻擊者佔用已認證的對話,然後假扮真正的用戶或資訊科技系統,以取得敏感資料或輸入/輸出無效資料。
其他威脅來源
除了註冊和認證程序外,一些保安攻擊也可在電子認證中構成威脅。
仿冒詐騙/假冒網站
攻擊者使用看似由合法機構發出的虛假電郵訊息,要求受害者提供帳戶識別碼、密碼等敏感資料,或提供欺詐網站的連結,讓受害者輸入敏感資料。
攻擊者使用看似由合法機構發出的虛假電郵訊息,要求受害者提供帳戶識別碼、密碼等敏感資料,或提供欺詐網站的連結,讓受害者輸入敏感資料。
黑客入侵
攻擊者利用電腦系統的漏洞,接達並偷取敏感個人資料、密碼等,以作進一步攻擊,例如冒充身分或控制帳戶。
攻擊者利用電腦系統的漏洞,接達並偷取敏感個人資料、密碼等,以作進一步攻擊,例如冒充身分或控制帳戶。
跨網址程式編程
黑客在合法網站安裝惡意程式碼或指令碼,當受害者瀏覽網站時,惡意指令碼便會執行以偷取敏感資料,或將受害者轉至與合法網站相似的欺詐網站。
黑客在合法網站安裝惡意程式碼或指令碼,當受害者瀏覽網站時,惡意指令碼便會執行以偷取敏感資料,或將受害者轉至與合法網站相似的欺詐網站。
