本文讲的是这家公司做四因子身份验证,Trusona的系统涉及了App、加密狗、邮局和电影《逍遥法外》的原型
初创公司Trusona发布100%准确的身份验证方案,瞄准公司高管、银行贵宾客户和IT管理员等对公司贵重资产享有非受限权限的人士。
该系统使用四因子身份验证以确保登录者身份相符,需要一个关联特定设备(手机、平板、笔记本电脑)、用户已有磁条卡、依刷卡方式自适应生物ID的加密狗。
该TruToken加密狗,是MagTek出品的ATM卡反克隆技术微缩版,不读取卡片磁条记录的数字信息,而是读取组成磁条的钡铁氧体微粒排列模式。这些微粒数量众多,排列随机,不可能出现微粒排列完全一样的磁条,也就无法真正克隆磁条。
要使用该身份验证系统,用户设备上的Trusona应用要连接上Trusona云。用户插入加密狗,如果加密狗ID和设备ID配对成功,用户会被要求刷取与自己匹配的磁条卡。磁条卡有可能是信用卡、驾照、借书卡等等。钡铁氧体粒子必须匹配。
卡片划过TruToken读卡器的方式,也是唯一的标识符。人类划卡的速率、角度和方向都是唯一且可读取的。
只有所有这些因素都满足条件,身份验证才会被用户试图登录的服务器确认。所有数据在离开加密狗之前都是加密的。
该系统包含了一种鉴别方法,可以确保与TruToken和卡片关联的人,不是在购买App和加密狗前盗取了别人手机和信用卡的小偷。网上注册并购买了设备后,该设备会通过美国邮政服务寄到客户的家中。美国邮政会在交付设备前核查买家的护照,确保收货人就是付款人。
或者,如果公司想要为多名员工设立账户,可以在用他们认为合适的任意方式确认员工身份后当面交接设备。
钡铁氧体和划卡方式读取有助于确认用户身份的同时,还能够防止攻击者从会话中捕获数据进行重放攻击。要通过用户身份验证,这些因子的匹配系数必须很高,但又不可能是完全相同的,因此,一旦完全相同的尝试发生,必然是被攻击了。
比如说,针对划卡方式,60%相匹配就可以确认卡片可信。在演示中,同一张卡,第一次划卡匹配度83%,第二次79%。而发给同一个人的两张合法驾照,匹配度仅4%。
该系统还收录了合法用户被威逼刷卡(比如被枪顶着)的叫停方式。用户可以注册所谓的胁迫卡,只要划过扫描器,就会触发该用户正被胁迫的信号,登录尝试就此终止。
除了99美元的加密狗购置费,Trusona还要对每笔交易征收1美元服务费。每位客户可在账号下注册3台设备、3个令牌和3张磁卡。该产品目标客户是权重人士,比如有权调用数十亿美元资金的银行客户,或手握关键数据的公司高管。
Trusona成立于2015年,其两位创始人艾森和弗兰克·阿巴内尔,一位曾司职美国运通公司欺诈检测,一位是电影《逍遥法外》神骗主人公的原型。当然,此君现在已改邪归正,是FBI欺诈和身份盗窃案件的顾问。他俩之前成立的欺诈预防公司 41st Parameter,已被益百利集团收购。
两位共同打磨Trusona架构。艾森会琢磨出可行的解决方案,而阿巴内尔则负责找出其中的漏洞。然后艾森再行修复,阿巴内尔再找漏洞。如此循环往复,直至该系统的诞生。
两位创始人称,打造该系统的动机,是出于想阻止通常与身份盗窃相关的罪案,比如贩毒、人口贩卖、儿童色情。艾森说:“我们想给下一代留个更好的网络。”
Trusona位于亚利桑那州斯科茨代尔,已获克莱纳、帕金斯、考菲尔德和拜尔斯的800万美元投资。
原文发布时间为:九月 23, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/19788.html