来源:蜘蛛抓取(WebSpider)
时间:2017-02-04 04:53
标签:
如何提高云主机安全性
更多法律知识
核心内容:在使用网上银行的时候,一方面,要注意妥善保管U盾、USBKEY等安全认证措施,避免遗失、失窃、泄露;另一方面要为计算机安装最新的防火墙和杀毒软件,更新系统及下载补丁,以计算机环境的安全性。在使用过程中,要养成良好的操作习惯,不轻易打开或运行来历不明的文件、图片、邮件、软件及网站,定期关注交易记录,以下就由法律快车小编为你详细介绍。
一、妥善保管U盾、USBKEY等安全谁措施
1.妥善保管好您的USBKEY和网银密码等安全认证措施,任何一种安全认证措施的遗失、失窃等情况发生,均可能导致产生交易风险和资金损失。
2.不要使用有明显的规律性密码,如:等。不要使用与您个人信息关联性较高的密码,具有较为明显的客户信息针对性,如包含您的姓名、生日、银行卡号、账号、身份证件号、电话号码、手机号、车牌号、电子邮件、QQ号等信息。不要将多个不同种类的密码设置成统一的密码,不同的多重密码能更有效的保障您账户资金的安全。
3.定期更换您的密码。
4.在任何情况下,保护好您的网上银行登录名和密码,不透露给任何人(包括:银行员工)。任何国家机关部门、银行都无权向公众索要账号和密码。当您致电银行客服电话时,客服人员可能会向您询问一些个人基本信息以确认身份,请不要在电话中说出您的密码信息,桂林银行在任何情况下都不会对您提出上述要求。不要相信任何通过电子邮件、短信、电话等方式索要账号和密码的行为。若有任何怀疑,请立即致电银行客服热线核实。
二、提高计算机环境的安全性能
1、在计算机安装防火墙并及时更新,确保在接入互联网时,防火墙能够有效的进行监控和防止非法侵入。
2、在计算机安装杀毒软件,并定期更新、定期杀毒,以清除计算机及电子邮件中携带的病毒。
3、及时更新最新的系统及浏览器补丁。
【3个回复】
【11个回复】
【0个回复】
【1个回复】
【6个回复】
网站声明:法律快车网刊载各类法律性内容是以学习交流为目的,包括但不限于知识、案例、范本和法规等内容,并不意味着认同其观点或真实性。如涉及版权等问题,请将问题与链接反馈给我们,核实后会尽快给予处理。
频道热门知识排行
频道热门法规推荐
微信法律咨询
扫一扫 随时随地为您提供免费法律咨询
法律快车 版权所有 2005- 增值电信业务经营许可证(ICP证)粤B2-
客服QQ:(注:此客服QQ不进行法律咨询!)本帖子已过去太久远了,不再提供回复功能。网银身份认证设备安全性分析 - 中国一卡通网
文章搜索:
网银身份认证设备安全性分析
关键字:&&&&&&
摘&&&要:上银行应用系统中的安全控制的第一道防线是身份认证。
&&& 网银身份认证设备的发展历史&
&&& 网上银行应用系统中的安全控制的第一道防线是身份认证。目前,国内外网银的身份认证技术主要分3个层次,一是网银推广初期采用静态密码技术,二是动态口令技术,三是基于PKI体系的数字签名技术。
&&& 静态密码技术在度过了网银前期的推广期后逐渐被淘汰。
&&& 动态口令产品主要有三类:刮刮卡、手机OTP以及时钟令牌。
&&& 基于PKI体系的数字签名技术是目前较新较安全的身份认证技术,目前已经从第一代USBKEY逐渐向第二代液晶KEY、按键KEY过渡,同时也出现了第三代生物识别KEY、手机SDKEY等高新安全的KEY。&
网银身份认证设备的发展历史
&&& 网银身份认证设备的原理及安全性能分析
&&& 静态密码,就是不变的密码,这种简单的认证方式容易被黑客破解、窃取,国内银行已基本取消了静态密码的支付权限。
&&& 动态口令技术,也称为一次一密(OTP)技术,即用户的身份验证密码是变化的,密码在使用过一次后就无效,下次登录时的密码是完全不同的新密码。 其中刮刮卡是基于银行事先生成好的密码组,用户使用一次后自动作废,刮刮卡成本低廉,使用方法简单,国内银行在2005年左右开始试推广,目前已不是银行的主推产品。手机OTP原理与刮刮卡相同,比刮刮卡更绿色环保,易用性更高。 动态口令牌是一种内置电源、密码生成芯片和显示屏、按照专门的算法每隔一定时间自动更新动态口令的专用硬件,密码的生成是由用户专用硬件来完成,降低了动态密码泄露及管理风险。
&&& 动态口令技术,改变了静态认证的固定密码口令,通过随机变化的一次性密码口令,提升交易的安全性。不可否认OTP技术作为理论上不可破解的抵御外部被动攻击的密码系统,在网上银行防止木马破解攻击方面发挥了广泛应用。但是同样网络黑客很清楚在网上银行业务流程&用户&网上银行&银行数据库&三个环节中,突破后两者很困难,于是,薄弱的用户端便成了他们攻击的主要对象。随着计算机技术的发展,在木马钓鱼的作用下,黑客能够实现和用户电脑的同步,而OTP技术的密码口令有效时间,给黑客提供了足够的截获、登录、转账的操作时间。
&&& PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。基于PKI体系的数字签名技术,可有效保护用户私有信息(身份认证信息)的保密性、真实性、完整性及抗否认性。数字签名主要是消息摘要和非对称加密算法的组合。数字签名(Digital Signature)应用,从原理上讲,通过私有密钥用非对称算法对信息本身进行加密,即可实现数字签名功能。这是因为用私钥加密只能用公钥解密,因而接受者可以解密信息,但无法生成用公钥解密的密文,从而证明用公钥解密的密 文肯定是拥有私钥的用户所为,因而是不可否认的。实际实现时,由于非对称算法加/解密速度很慢,因而通常先计算信息摘要,再用非对称加密算法对信息摘要进行加密而获得数字签名。下图简要介绍了常用数字签名的过程。&
数字签名的形成与验证
&&& 目前网银应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备。它内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在国密安全芯片中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
&&& 第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。针对该隐患各银行在不断教育用户提高自身安全意识,安装杀毒软件,防木马软件的同时,也开始大力发展第二代USBKEY产品。
&&& 第二代USBKEY产品主要包括液晶KEY、按键KEY、语音KEY等产品,该类产品的特点是增加用户签名交易时与银行端的互动,如通过USB Key显示或报读的数据内容就是真正被签名的内容,实现&所见即所签&,用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。虽然在易用性及成本上增加了难度,但在安全性上该类产品是目前比较理想的安全认证终端。该类产品做到了安全的用户终端设备对银行终端设备的认证,可以有效降低基于网络诈骗行为的发生,然而对于抵御现实生活的有意盗窃,二代KEY在安全上还是显的有些力不能及。
&&& 第三代KEY产品,突破了现有KEY类产品USB接口的束缚,在易用性和安全性上取得了质的突破。作为在易用性突破的代表产品,手机SD KEY采用SDIO接口,将KEY的应用从电脑扩展到所有带SD卡槽的手持类设备,尤其在手机网银上的应用,随着手机实名制的普及及银联CUPMobile手机支付模式的大力推广,SD KEY突破理论基础实现了量产应用。同时基于无线KEY的需求将进一步丰富第三代KEY的产品线。
&&& 作为安全性突破的代表产品,指纹KEY采用生物识别技术,在技术上解决了PIN码输入的安全隐患,彻底实现所有的安全要素单独在安全芯片上运行。同时在应用上解决了PIN码遗忘、丢失等易用性问题。目前该类产品由于成本原因主要针对高端用户。但是随着国内IC设计企业晟元芯片的崛起,作为国内唯一一家同时拥有电子签名芯片和指纹芯片的IC设计公司推出的电子签名系列芯片之一AS602B,迅速的将指纹KEY的生产成本大幅度降低。同时随着市场应用环境的更加成熟、指纹识别技术的发展以及用户对安全保障需求的增加,指纹KEY势必将逐渐走向中端客户,从而迎来更大的发展。
新闻投稿合作邮箱:&&&&字体[
10/1209/1507/2806/1312/0611/2607/2301/0812/1912/07
推荐文章02/2202/1502/1501/2601/2501/2101/1901/1901/1701/13
产品分类:&&&&&& &&&&&&developerWorks 社区
身份验证是依赖于安全性的解决方案的重要组成部分。在为 UNIX® 系统设计的客户机-服务器模型中,分布式网络安全是极其重要的。为了满足客户机-服务器模型所需的严格的安全需求,现有的系统必须使用多层身份验证或多因素身份验证,或这两者的组合。本文讨论在多因素身份验证系统中使用同一种安全机制的风险,建议使用 GSS-API(大多数 UNIX 系统上都有的通用安全服务)通过多种安全机制实现多因素身份验证,从而增强为 UNIX 设计的解决方案的安全性。
, 软件工程师, IBM
Sandeep Ramesh Patil 是 IBM India Software Lab 的软件咨询工程师。他已在 IBM 工作了七年,着重研究分布式技术,包括 DCE、SARPC 以及安全产品,比如 IBM Network Authentication Services (IBM Kerberos)。目前,他正在开发新的特性,并在为 IBM Network Authentication Services 实现与安全有关的 RFC 及其产品支持。Sandeep 拥有 University of Pune,India 的计算机科学与工程学士学位。
简介安全性是软件工程的一个重要问题。在通过网络运行的软件或软件解决方案中,身份验证、授权、私密性、完整性和不可否认性是主要的安全组件。在这些组件中,身份验证是最重要的。身份验证的作用是证明用户的身份。在 UNIX 系统中,有多种身份验证方法,比如基于密码的身份验证、使用智能卡的身份验证、基于生物检测技术的身份验证等等。这些通过网络的身份验证方法使用不同的安全机制。SSL/TLS(Secure Socket Layer / Transport Layer Security Version 1.0,RFC 2246)和 Kerberos(Kerberos Network Authentication Service (V5),RFC 1510)是网络身份验证最常用的两种安全机制。AIX® 集成了对 Kerberos 的登录支持。针对金融、银行和保险业的解决方案和软件具有非常严格的安全需求。为了满足这些安全需求,必须使用多层身份验证或多因素身份验证,或这两者的组合。大多数实现多因素身份验证和多层身份验证的解决方案使用相同的底层网络安全机制。这会带来风险,在安全需求严格的环境中尤其如此。
本文讨论使用相同的网络安全机制实现多因素或多层身份验证的风险。本文指出解决方案需要构建使用多种安全机制的多因素身份验证。还介绍 AIX 和其他 UNIX 操作上都有的 Generic Security Service Application Programming Interface (GSS-API),建议使用它实现使用多种安全机制的多因素身份验证。
特殊行业需要更强的网络身份验证电子通信已经成为所有行业的基本部分,包括医疗保健、电信、制药、零售、金融等等。几乎所有这些行业都在全世界部署了它们自己的特制软件系统和解决方案,从而把它们的客户和业务伙伴连接在一起。安全对于所有这些系统都很重要,尤其是对于金融部门。 与其他行业的公司相比,金融机构面对的安全风险要高得多。金融机构的业务几乎全都涉及到资金,攻击它们可能获得更大的收获,所以它们总是受到持久的坚决的攻击。因此,银行、保险、资产管理和股票市场等领域的金融机构必须满足非常严格的安全需求,必须保护它们的应用程序处理的所有电子数据。它们必须设计和实现能够满足这些严格的安全需求的软件解决方案和应用程序。换句话说,系统需要确保很高的安全合法性。正如在 FFIEC (Federal Financial Institutions Examination Council) 致金融机构的信函(FIL-103- 年 10 月 12 日)“Authentication in an Internet Banking Environment” 中指出的:“在网上银行环境中,未经授权的或未正确识别的用户可能会进行欺诈、泄露客户信息、损坏数据或造成不可能实施的合约,从而给金融机构造成经济损失和名誉损失。” 这封信函强调了网络身份验证的重要性:“风险评估应该根据与网上客户可用的各种产品和服务相关的风险决定有效的身份验证战略”(详细信息见 )。因此,必须建立健壮的身份管理过程来实现身份验证和授权,这是成功实现安全的软件解决方案的关键因素之一。分布式解决方案的安全需求不仅对于金融机构很重要,对于电信、医疗保健、制药等行业也同样重要,它们也需要非常安全的解决方案。因此,为了满足对安全的 UNIX 系统日益增长的需求,大多数解决方案放弃了保护能力不足的单因素身份验证,转而采用多因素和多层(递增式)身份验证。
按照推荐的两因素身份验证系统设计,可以使用 Kerberos 实现第一因素身份验证,然后使用 Kerberos 基础结构(通过 GSS-API 接口)实现使用 One-Time Password (OTP) 令牌的第二因素身份验证。在按照这种方式实现的双因素身份验证系统中,Kerberos 协议扮演双重角色。
多因素和多层身份验证在多因素身份验证中,使用多种检验机制检查身份的真实性。两因素身份验证 (T-FA) 是常用的多因素身份验证形式之一。通常,两因素身份验证实现使用的一个因素是 “用户知道的某种信息” (比如密码),另一个因素是 “用户拥有的某种东西”(物理设备)或 “用户本身的某种特征”(比如指纹等生物学特征)。常见的一个 T-FA 示例是银行卡(信用卡,借记卡);卡片本身是 “用户拥有的物理物品”,个人识别号(PIN)是与它相关联的 “用户知道的信息”(密码)。 系统常常使用多因素身份验证提高安全性,减轻犯罪造成的风险。因此,金融和相关行业的解决方案一般采用这种技术。人们常常认为多层身份验证是多因素身份验证的同义词。但是,在多因素身份验证和多层身份验证之间有明确的差异。多因素身份验证本身可以分层。在多层身份验证中,身份验证层表示是否需要额外的身份验证才能访问受保护的对象。这意味着,如果需要访问限制更严格的资源,就需要额外的身份验证步骤。
多层身份验证与 IBM® Tivoli® Access Manager 为电子商务定义的递增式身份验证相似。在传统的多层身份验证中,系统分层为多个子组件;要想访问特定的子组件,就需要基本组件的有效身份验证信息,以及特定子组件专用的额外身份验证信息,通常使用相同的检验机制。例如,在实现多层身份验证的银行系统中,用户需要输入用户名和密码(用户知道的某种信息)以登录系统,这是系统的基本身份验证。基本身份验证允许用户执行基本任务,比如查看以前的事务。但是,如果用户希望执行某些事务(比如转账),那么除了基本身份验证之外,用户还需要输入 “事务密码”(与多因素身份验证不同,这也是 “用户知道的某种信息”),然后才能执行事务。
多因素身份验证和多层身份验证相结合能够提供比传统的单密码身份验证更安全的解决方案。
采用多种安全机制的多因素身份验证的现实需求尽管多因素身份验证和多层身份验证是有优势的,但是大多数解决方案使用相同的底层网络安全机制实现它们。这会造成问题,在安全需求严格的环境中尤其如此。例如,大多数基于 Web 的银行系统使用 SSL/TLS 或 HTTPS 协议(Secure HyperText Transfer Protocol,RFC 2660)作为底层网络安全机制实现基本的两因素身份验证。
为了成功地登录这种系统,最终用户通常需要:提交正确的密码(所需的身份验证信息是用户应该知道的某种信息)。这是第一个身份验证因素。提交用户的 ATM 卡号的最后四位(所需的身份验证信息是用户拥有的某种东西)。这是两因素身份验证的第二个因素,系统假设只有用户能够看到自己的 ATM 卡。在这些情况下,两因素身份验证能够提高系统的安全性;要想入侵系统,恶意用户不但必须猜出用户的密码,还必须获得 ATM 卡的号码。这听起来安全多了。但是要注意一点:对于两因素身份验证的两个因素,系统使用相同的底层安全机制 (SSL/TLS/HTTPS) 实现网络身份验证。这会带来几个问题:如果恶意用户攻破了底层安全机制本身,那么会怎么样?如果黑客在安全机制中发现了一个漏洞,让他可以破解身份验证,而不需要了解用户的身份验证信息,那么会怎么样?如果有人利用安全机制的某些未知的限制破解了它,那么会怎么样?因为两因素身份验证的两个因素使用相同的底层安全机制实现网络身份验证,双重身份验证的优势完全被抵消了。这会带来风险,对于需要非常安全的解决方案的系统,这可能是很严重的问题。
为了解决这个问题,这里推荐一种方法。实现多因素身份验证的系统应该对不同的因素使用不同的底层安全机制。这会显著降低风险。例如,如果两因素身份验证的第一个因素使用 Kerberos 作为底层网络安全机制,第二个因素使用 LIPKEY(一种使用 SPKM 的 Low Infrastructure Public Key Mechanism,RFC 2847)或 NTLM(NT LAN Manager,一种 Microsoft® 身份验证协议)作为底层网络安全机制,那么恶意用户必须破解两种完全不同的安全机制,这加大了入侵的难度,降低了风险。这种方法通过降低风险增强了系统的总体安全性。对于实现多层身份验证的系统,也是如此。
Generic Security Service Application Program InterfaceGeneric Security Service Application Program Interface(GSS-API,在 [RFC-2743] 中定义,见 )以一致的方式向调用者提供安全服务,可以支持多种底层机制和技术,因此为应用程序提供源代码级可移植性。它是一组编程接口,对身份验证、消息来源身份验证和完整性以及消息的机密性进行抽象。因此,使用 GSS-API 开发的安全应用程序可以使用不同的安全机制,不需要修改应用程序。在 GSS-API 中,相互通信的两个应用程序之间的安全连接通常由称为安全上下文的数据结构表示。建立安全连接的应用程序称为上下文发起者。接受安全连接的应用程序称为上下文接受者。在发起者和接受者之间建立上下文实际上是一个握手过程,此过程需要对双方进行身份验证。成功地建立 GSS-API 上下文之后,就可以认为已经成功地检验了通信双方的用户身份。 UNIX 分布式文件系统 Network File System Version 4 (NFS v4) 使用 GSS-API 作为网络安全机制(见 )。大多数 UNIX 操作系统(包括 AIX)都支持和提供 GSS-API。IBM Network Authentication Service for AIX Version 1.4 提供 GSS-API,可以用它为 AIX 实现安全解决方案。GSS-API 在市场上出现已经有相当长的时间了,它的大多数实现只支持密钥安全机制,即 Kerberos。由于有这个限制,往往不使用 GSS-API。但是,NFS v4 要求使用 SPKM (Simple Public Key Mechanism) 和 LIPKEY (Low Infrastructure Public Key Mechanism) 等比较新的机制,有望通过 GSS-API 在 UNIX 系统上使用这些机制。因此,应用程序程序员应该了解 GSS-API 的好处,考虑使用 GSS-API 实现应用程序的安全机制。一些 GSS-API 实现,比如 Microsoft 的 SSPI (Security Support Provider Interface),已经支持 NTLM、Kerberos 和 SSL 等多种安全机制。如果架构师需要让应用程序能够在多种安全基础结构环境中运行,就应该考虑使用 GSS-API 框架,而不是在应用程序中直接使用安全机制特有的 API。
可以使用 GSS-API 实现多因素身份验证,从而实现使用多种安全机制的多因素身份验证。这种技术组合可以降低使用相同底层安全机制实现多因素身份验证解决方案的风险。通过使用 GSS-API,系统可以对多因素身份验证的不同因素使用不同的底层安全机制。只需在 GSS-API 握手过程中指定适当的与机制相关的对象标识符 (OID),就可以显式地声明应用程序对于身份验证使用的底层安全机制。例如,在实现两因素身份验证的系统中,对于第一个身份验证因素,开发人员可以向 GSS-API 传递一个特定的安全机制 OID(例如 Kerberos);身份验证成功之后,再用另一个安全机制 OID(例如 LIPKEY)发起用于第二个身份验证因素的 GSS-API 身份验证握手。因为 Kerberos 机制(基于纯粹的对称密钥技术)和 LIPKEY 机制(基于对称和非对称密钥技术)很不一样,恶意用户很难同时破解这两种机制。因此,这种系统降低了使用单一安全机制实现两因素身份验证的风险。
图 1 说明如何使用 GSS-API 框架为两因素身份验证显式地指定两种不同的安全机制,从而为 UNIX 系统提供更安全的身份验证。要想入侵这样的系统,恶意用户必须破解两种完全不同的安全机制,而不是一种,因此提高了安全性。
图 1. 通过 GSS-API 采用多种安全机制实现多因素身份验证的处理流
关于 GSS-API 编程的更多信息,请参见产品附带的 IBM Network Authentication Service Version 1.4 for AIX Application Development Reference。可以在 AIX Expansion Pack CD 上找到 IBM Network Authentication Service Version 1.4 for AIX,也可以通过 IBM AIX Web Download Pack Programs 下载(见 )。
结束语本文讨论了安全性尤其是身份验证的重要性。还指出,尽管多因素身份验证更安全,但是如果用单一底层安全机制实现它,也会造成安全风险。本文强调应该使用多种安全机制实现多因素身份验证,从而提高安全性。最后,建议使用 GSS-API(在包括 AIX 在内的大多数 UNIX 操作系统上都有的 API)帮助纳入新的安全机制。
参考资料 :网上银行环境中的身份验证。
,Jaspan,B.;1995 Symposium on Network and Distributed System Security (SNDSS'95) 的会议记录。
:阅读这个白皮书,了解如何使用 Kerberos 作为 AIX 的备选身份验证机制。
关于 Generic Security Services Application Program Interface 的详细信息,请参见 IETF Request for Comments (RFC) 2743,。
,Woo,T.Y.C.;Lam,S.S.;Network Protocols,1994。会议记录,1994 International Conference。
,IETF RFC 4121。
:developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息,您可以利用它们来扩展自己的 UNIX 技能。:访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。:AIX and UNIX 专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容。:随时关注 developerWorks 技术活动和网络广播。
:从 IBM AIX Web Download Pack Programs 下载 IBM Network Authentication Service for AIX。
:下载 IBM Network Authentication Service for Linux,Solaris。
:体验这个用来执行与 IBM NAS 相关的管理任务的 GUI。从 IBM alphaWorks 下载。
:马上下载。
developerWorks: 登录
标有星(*)号的字段是必填字段。
保持登录。
单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件。
在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。
所有提交的信息确保安全。
选择您的昵称
当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。昵称长度在 3 至 31 个字符之间。
您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。
标有星(*)号的字段是必填字段。
(昵称长度在 3 至 31 个字符之间)
单击提交则表示您同意developerWorks 的条款和条件。 .
所有提交的信息确保安全。
文章、教程、演示,帮助您构建、部署和管理云应用。
立即加入来自 IBM 的专业 IT 社交网络。
免费下载、试用软件产品,构建应用并提升技能。
static.content.url=/developerworks/js/artrating/SITE_ID=10Zone=AIX and UNIX, SecurityArticleID=388895ArticleTitle=采用多种安全机制实现多因素身份验证
publish-date=聚焦身份证安全隐患:如何降低遗失身份证带来的风险
记者&杨文明&李亚楠&张&洋
日08:39&&&来源:
原标题:丢了身份证,安全咋保障(倾听?转型中国)
核心阅读
当你遗失并补办了身份证,你是否想到被别人捡到的旧证可能还可以使用?目前使用的二代身份证在技术上并未实现对挂失证件“消磁”,挂失后仍可读取信息。那么,如何降低仍可使用的旧证给自己带来的风险呢?公安部门是否可以从技术上堵住这一漏洞呢?
在北京工作的小朱近日从苏州乘高铁返京。在自动售票机上取票、上车前实名验证,她用身份证一刷就能通过。不过她使用的是旧身份证。小朱几年前办新身份证时,没有将旧证上交。这张旧证,多年来她用于乘火车、坐飞机、逛博物馆等场合,畅通无阻。
“这就意味着办新证之后,旧证并没有失效。如果身份证遗失了,被别人用了就很不安全了。”小朱说。
挂失的旧证仍可使用,一人多证频现
身份证如果丢失,居民应去公安机关办理新证,但由于目前使用的二代身份证在技术上并未实现对挂失证件“消磁”,因此,在补办新身份证后,原来的身份证也都可以正常使用。
这是否会对失主的生活造成影响?昆明市五华区公安分局某派出所户籍民警李晶告诉记者:“由于机票和火车票近年来采取了实名购买的举措,机票和火车票票务售卖部门的审查机制相对严格,所以由于失窃而导致的票务方面的损失很少。”
不过李晶坦言,网吧等地对证件管理就要松得多,不少不满18周岁的青少年随便拿一张身份证就可以上网,工作人员一般也不会仔细查看是否是本人持有。
乌鲁木齐市公安局高新技术开发区分局人口大队负责户证业务的工作人员王文群告诉记者,目前在身份证交易黑市上,每张身份证能卖到200多元。部分不法分子借由虚假身份信息去银行开卡掩盖黑色收入,甚至通过他人信息办理银行卡进行金融诈骗等。王文群说,部分吸毒、卖淫等违法犯罪分子也会冒用他人身份证,因为根据有无前科,公安机关对此类违法犯罪有不同的处罚力度。若被冒用进行违法犯罪行为,本人还有可能被追究法律责任。
那么,如何降低遗失身份证带来的风险呢?王文群建议市民登报声明,一旦出现法律纠纷,此声明可以证明自己没有过错,借此维护自身合法权益;市民也可以到属地派出所登记,并领取报警回执单,但这在日之后都不再是强制措施,仅凭市民自愿。
针对此现状,公安部相关负责人多次强调,相关单位办理业务时,要主动进行人、证合一的核实。
过期后仍可读取数据,有效期仅凭肉眼甄别
今年1月起,首批10年有效期的二代身份证将陆续到期。2015年,仅北京就约有92.4万居民持有的10年有效期居民身份证将陆续到达使用期限。近日,记者走访发现,不少居民已到派出所换发新的二代身份证。
据李晶介绍,到期后身份证信息仍然可以通过读卡器读出相关数据,但如果不及时更换,身份证在银行开户、签订合同过程中将不再有效。但是否过期仅凭肉眼甄别,尚无法自动识别。不少地区要求上交原证才能换发新证,该所为了便利群众,采取换证不收原证,只对原证剪角作废的方式处理。“这样原证芯片将被破坏,不能再刷卡使用;如果居民需要出示此前办理某些业务的身份证明时,也有据可查。”李晶说。
不过各地对换发新证后是否需要上交原证、原件如何处理的执行并不一致。一些大学生因升学迁移户口而办理了新身份证,而原籍的身份证仍然保留在自己手中。
增加指纹信息可提高安全性
《居民身份证法》规定,从日起,公民申请领取、换领、补领居民身份证,应当登记指纹信息。
虽然新的二代身份证在外观上和旧版一模一样,但芯片中增加了指纹信息。“我又没犯事,干吗要录入指纹?” 部分群众对办理身份证时录入指纹有所疑虑。
王文群说,更换二代身份证时录入指纹,是为了提高识别度,公安机关可根据指纹确定是否为本人,防止外表相似的人冒用时,仅凭照片判断发生失误。
不过目前还处于指纹库的积累过程,只能作为公安机关的甄别依据,“比如流浪人员和醉酒人员,指纹识别将为识别这类人员的身份节省更多时间。”目前,市民在日常生活中使用身份证还很少体验到指纹的作用。
但这样的应用也并不遥远,李晶表示,如果相关票务系统也接入了指纹识别信息,带指纹识别功能的二代身份证可以为机票、火车票等票务购买和办理带来便捷,今后有望刷指纹即可实现检票。实际上,广东省、北京市等已实现居民办理电子港澳通行证时录入指纹后,即可刷指纹过关进入港澳。
但增加指纹信息并不能完全解决身份证无法彻底“挂失”所带来的安全隐患。身份证安全性的提高,还任重而道远。
使用微信“扫一扫”功能添加“党员学习微平台”
(责编:万鹏、谢磊)
热点关键词
热门点击排行榜
12345678910
