新武器来阻止身份盗窃者 - 彭博社

编写病毒和发起其他计算机攻击的人的动机不明确。但网络钓鱼者的目标，即那些诱使你访问虚假金融网站以窃取密码和账户信息的人，纯粹是盗窃。他们主要通过欺骗毫无防备的受害者来实现这一目标，而不是利用软件中的漏洞。

这可能解释了为什么尽管软件出版商努力使其变得更加困难，网络钓鱼事件仍在不断增加。这也是为什么现在是从根本上解决问题的时候：密码的不足。对于潜在损失较大的网站，例如在线银行网站，密码无论多么巧妙构造，单独使用都变得太危险。

问题在于身份验证——证明你在网上所声称的身份。最强的密码也可能被网络钓鱼窃取。因此，为了真正的安全，密码应该辅以生物识别技术，例如指纹，或一个代码。在大多数情况下，后者是一个电子密码，每次登录时都会更改，并由你携带的设备生成。

生物识别技术在企业网络上效果良好，因为初始注册可以亲自完成，但对于仅在线交易则存在问题。代码设备可能更具吸引力。最著名的是来自RSA Security的SecurID（RSAS ），它看起来像一个打开汽车门的钥匙扣，但有一个小窗口，每分钟显示一个不同的六位数字。要登录到受SecurID保护的系统，你需要输入用户名、常规密码和你钥匙扣上的数字。如果它与系统预期的数字匹配，你就可以进入。

主要缺点 SecurID 的成本，包括钥匙扣和维持设备与登录服务器之间紧密时间同步所需的技术。迄今为止，它主要用于企业账户，但美国在线（TWX）为希望在在线交易中获得更大安全性的会员提供了一种名为 PassCode 的版本。该服务每年收费约 33 美元。

一些欧洲银行已经开始提供一种低技术替代方案。它们向客户邮寄一张卡或一张包含一系列刮刮乐号码的纸，类似于彩票。要开始交易，客户刮掉下一个可用号码并在登录屏幕上输入。如果与系统预期的号码匹配，客户就可以进入系统。当号码用完时，客户会收到一张新卡。每年 10 美元的费用，比 SecurID 便宜——但对于大规模使用来说仍可能太贵。

Entrust（ENTU），一家加拿大安全公司，提出了一种非常巧妙的解决方案。IdentityGuard 是一个网格，每五行标记一个数字，每十列标记一个字母，每个单元格中都有一个数字。这允许生成许多万亿个数组，几乎没有两个相同的概率。

当您登录到受 IdentityGuard 保护的系统时，系统会要求您输入用户名、密码和出现在三个或四个单元格中的数字。您查看打印在 ATM 或信用卡上的数组信息，并输入以登录。

尽管这很简单，但仍然存在严重的限制。人们不会为他们访问的每个网站携带一张单独的卡片。在我们获得一个通用的登录系统之前——类似于微软（MSFT）失败的护照，但需要广泛的行业支持——使用IdentityGuard类型的方法将仅限于敏感账户，如金融机构和健康记录。

一些金融机构正在加强他们的在线安全，以保护客户和他们自己。例如，美国银行（BAC）已与VeriSign签约，开发一种补充密码的方式——可能是一种代码设备——用于在线交易。这将使在线业务变得稍微不那么方便，但这是一个必要的恶。这个额外的步骤远比在身份盗窃后进行清理要轻松得多。

要查看过去专栏和仅在线的技术产品评论，请点击这里

作者 斯蒂芬·H·怀尔德斯特罗姆