这家公司做四因子身份验证

简介: 本文讲的是这家公司做四因子身份验证,Trusona的系统涉及了App、加密狗、邮局和电影《逍遥法外》的原型

本文讲的是这家公司做四因子身份验证,Trusona的系统涉及了App、加密狗、邮局和电影《逍遥法外》的原型

初创公司Trusona发布100%准确的身份验证方案,瞄准公司高管、银行贵宾客户和IT管理员等对公司贵重资产享有非受限权限的人士。
image

该系统使用四因子身份验证以确保登录者身份相符,需要一个关联特定设备(手机、平板、笔记本电脑)、用户已有磁条卡、依刷卡方式自适应生物ID的加密狗。

该TruToken加密狗,是MagTek出品的ATM卡反克隆技术微缩版,不读取卡片磁条记录的数字信息,而是读取组成磁条的钡铁氧体微粒排列模式。这些微粒数量众多,排列随机,不可能出现微粒排列完全一样的磁条,也就无法真正克隆磁条。

要使用该身份验证系统,用户设备上的Trusona应用要连接上Trusona云。用户插入加密狗,如果加密狗ID和设备ID配对成功,用户会被要求刷取与自己匹配的磁条卡。磁条卡有可能是信用卡、驾照、借书卡等等。钡铁氧体粒子必须匹配。

卡片划过TruToken读卡器的方式,也是唯一的标识符。人类划卡的速率、角度和方向都是唯一且可读取的。

只有所有这些因素都满足条件,身份验证才会被用户试图登录的服务器确认。所有数据在离开加密狗之前都是加密的。

该系统包含了一种鉴别方法,可以确保与TruToken和卡片关联的人,不是在购买App和加密狗前盗取了别人手机和信用卡的小偷。网上注册并购买了设备后,该设备会通过美国邮政服务寄到客户的家中。美国邮政会在交付设备前核查买家的护照,确保收货人就是付款人。

或者,如果公司想要为多名员工设立账户,可以在用他们认为合适的任意方式确认员工身份后当面交接设备。

钡铁氧体和划卡方式读取有助于确认用户身份的同时,还能够防止攻击者从会话中捕获数据进行重放攻击。要通过用户身份验证,这些因子的匹配系数必须很高,但又不可能是完全相同的,因此,一旦完全相同的尝试发生,必然是被攻击了。

比如说,针对划卡方式,60%相匹配就可以确认卡片可信。在演示中,同一张卡,第一次划卡匹配度83%,第二次79%。而发给同一个人的两张合法驾照,匹配度仅4%。

该系统还收录了合法用户被威逼刷卡(比如被枪顶着)的叫停方式。用户可以注册所谓的胁迫卡,只要划过扫描器,就会触发该用户正被胁迫的信号,登录尝试就此终止。

除了99美元的加密狗购置费,Trusona还要对每笔交易征收1美元服务费。每位客户可在账号下注册3台设备、3个令牌和3张磁卡。该产品目标客户是权重人士,比如有权调用数十亿美元资金的银行客户,或手握关键数据的公司高管。

Trusona成立于2015年,其两位创始人艾森和弗兰克·阿巴内尔,一位曾司职美国运通公司欺诈检测,一位是电影《逍遥法外》神骗主人公的原型。当然,此君现在已改邪归正,是FBI欺诈和身份盗窃案件的顾问。他俩之前成立的欺诈预防公司 41st Parameter,已被益百利集团收购。

两位共同打磨Trusona架构。艾森会琢磨出可行的解决方案,而阿巴内尔则负责找出其中的漏洞。然后艾森再行修复,阿巴内尔再找漏洞。如此循环往复,直至该系统的诞生。

两位创始人称,打造该系统的动机,是出于想阻止通常与身份盗窃相关的罪案,比如贩毒、人口贩卖、儿童色情。艾森说:“我们想给下一代留个更好的网络。”

Trusona位于亚利桑那州斯科茨代尔,已获克莱纳、帕金斯、考菲尔德和拜尔斯的800万美元投资。

原文发布时间为:九月 23, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/19788.html

相关文章
|
安全 数据安全/隐私保护
黑客组织攻破苹果服务器 已公布部分用户密码
北京时间7月4日消息,据国外媒体报道,黑客组织Anonymous和Lulz Security周日在网站公布了一份文件,声称该文件中包含了来自一台苹果服务器的用户名和密码。 Anonymous和Lulz Security此前联合发起AntiSec(反网络安全,anti-security的缩写)攻击,将目标指向全球银行、政府机构和其它一些企业网站。
865 0
|
存储 安全 数据安全/隐私保护
|
存储 安全 数据安全/隐私保护
4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全
本文讲的是4位密码、明文存储、还不让用户修改,但这家美国百年企业说自己很安全,一般来说,像银行、金融服务或者其它类型的网站采用了有问题的密码策略,比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等,这样的网站我们大多不会去讲,因为实在说不过来,而且也有@PWTooStrong 这样专门讲账号安全策略的推特。
1379 0
|
存储 安全 算法
这家公司想用三明治取代RSA安全标准
本文讲的是这家公司想用三明治取代RSA安全标准,一家爱沙尼亚的安全公司Guardtime近日宣称,其无密钥认证签名技术将最终取代RSA认证和数字签名。
2060 0
|
安全 数据安全/隐私保护 芯片