专访RSA北亚区总监：谁为在线交易锁上放心锁

　　PConline广州消息[文/新闻主笔 黄约兴] 随着中国网络市场的壮大和成熟，越来越多的中小型企业以及个人用户投入到网络交易的大潮中，而各类企业对企业以及客户资料保密的意识也大为加强，针对这个越来越大的在线交易安全市场，有何新技术趋势能够让企业以及个人用户得到更大的安全保障，避免落入欺诈网站的陷阱？在纳斯达克上市的全球最大身份认证公司RSA看来，双因素认证已经是成为当今安全认证的发展趋势。近日，RSA北亚区总监David Fung接受了PConline新闻主笔黄约兴的专访，就身份认证、安全交易等问题作了形象

的阐述：

　　PConline新闻主笔黄约兴(以下简称黄)：近年来，网上交易成为web活动中一种越来越常见的活动，从技术角度来看，您觉得在线交易的安全性需要符合怎样的条件，才算相对较好？

　　RSA北亚区总监David Fung：(以下简称David)：我们从技术的角度来看，判断在线交易的安全性是否足够，从简单的角度来讲，就是看交易资料的加密如何。例如万一有黑客入侵database，能否窃取到客户的资料？跟像银行这样的联营商之间的数据交换是否够保密？以上每个环节中，客户资料都是否做到了“开得到，看不到”……而近年来，网上所出现的“钓鱼”活动，也为网上交易的风险评估提供了新挑战。这个时候，如何可以保证用户所去的网站是用户本来想去的网站，而不误入欺诈网站？就算误入钓鱼网站，如何不被Lock in?……我们这些简单的举例，可以说明在目前的网络环境下，安全问题是不断提出新的挑战的，因此有一套成熟的身份认证方案，可以大大降低减少网上交易的风险。

　　黄：很多个人用户认为，只要他们安装了防毒软体，所设定的密码足够复杂，就可以保障网上交易以及隐私活动的安全，这种想法您如何看？

　　David：其实RSA成立20多年以来，一直都专营“身份认证”，也就是用户每次登陆都不会被冒认，从而保障用户资料的隐私安全。传统的用户用记过静态密码去登陆系统，无非三种行为形式：第一就是这个用户无论多少系统都只用一套密码；第二就是有些用户针对不同系统设定了不同的密码，一个人拥有十来二十套密码；第三种就是系统自动要求你每月修改密码。

　　这三种形式都有其缺点：在第一种形式里面，如果用户密码被破解，那么他所登陆的所有系统都有危险；在第二种方式里，如果用户其中一个系统的密码，就会造成很大的困难和不便。有些用户为了图方便，把密码写在纸条上，贴在电脑旁或者放在钱包里面，这样密码的设定就形同虚设了；第三种方式里，用户会感觉到比较麻烦。我记得十多年前刚进行的时候，密码设定只需要4至6位，现在，系统已经要求用户设定8到10位的密码，而且希望英文跟符号混合起来……

　　正因为看到了在身份验证种的种种不便，RSA现在开发出的密码令牌，可以做到每分钟帮用户自动修改密码，省却了以上的麻烦。而且，以前RSA所服务的一般是大型的行业客户，现在，我们看到了个人中端用户对这个市场的需求同样是很大的，因此跟香港的伙伴合作成立了DynamiCode公司，针对最终用户的身份认证问题，提供适合个人用户使用的密码令牌。这个公司的理念很简单，就是“每人一令牌”。我们希望这个概念能够逐渐被大家接受，新的个人网上登陆形式可以逐渐流行起来。

　　黄：去年，香港金管局向香港的金融机构发出通知，称自2005年6月30日以后，当客户进行高风险活动时，需要通过双因素认证来进行。双因素认证对很多人来说还比较陌生，能否用最简单形象的话来介绍一下？双因素认证跟传统认证方法相比，其先进性体现在哪里？

　　David：其实双因素认证就是一个组合，把4位传统密码，也就是我们能说的Pin number，加上6位动态密码，也就是刚才说的每分钟不断改变的密码，组合起来使用。简单来说就是用户只需要自己记住4位数字的密码，然后拿着密码令牌，就可以安全登陆系统。

　　我们把4位传统密码形容为“something you know”，把6位动态密码形容为“something you have”。双因素认证的好处在于用户不怕传统密码被人破解了，因为没有密码令牌，是不能登陆的。同样，用户也不怕密码令牌丢了，因为没有静态密码，同样无法登陆系统。

　　我们采用的就是这种“帮你自动修改密码”的办法，RSA研发这种技术已经有20多年的历史，目前我们已经在全球的密码令牌市场占了70%左右的市场份额。而目前的全球100强企业以及50大银行的双因素认证也是采用RSA的解决方案。

　　黄：在大陆，目前双因素认证的市场进程到了什么阶段？

　　David：由于客户保密的原因，我不能透露具体客户的名单。不过可以告诉你的是，中国的各家大银行，大型的电信运营商，都是RSA的客户。而且，值得欣慰的是，我们看到了这个市场正以每年100%的速度在稳步增长。

　　黄：面对近年来日益猖獗的欺诈网站？RSA有什么应对措施保护？最近，RSA收购另一家著名的安全公司Cyota，这家公司在业界以防范打击钓鱼网站出名，在收购达成以后，用户可以从哪些方面感受到RSA提供了更安全有效的防止欺诈网站的方法？

　　David：我觉得“感受”这个词用得很好。我们可以把整个安全解决方案分为“active”(主动)以及“passive”(被动)两部分。我们RSA做的就是主动部分。也就是用户每登陆一次网站都需要做强登陆认证。这是客户必须要做的，他可以明显感觉得到。

　　而Cyota的强项就在于被动部分。简单来说，网上交易有高风险和低风险之分，例如，我要到电子银行里面去查查自己的帐户余额有多少，不需要提取很多钱，那么这个交易活动就属于低风险，如果低风险也需要用户进行强身份认证，那么就不够人性化了。但是如果某个用户以前都习惯用一个IP登陆进行交易，忽然换了另外一个IP提取巨额存款，这就是属于高风险了。银行方面会要求客户进行强身份认证。

　　怎么去厘定到底是高风险还是低风险？Cyota在这方面的引擎技术就能给出很好的判断。它可以不断记录客户交易的习惯行为，从而给出从0到1000的风险评判，通知银行方面进行相关的决策，看是否需要动态令牌或者智能电话确认。在这个过程中，用户是不需要去了解怎么运作的，这一切判断都在后台完成，Cyota就是“passive”做得最好的公司了。

　　此外，Cyota还跟各大银行，各大ISP等组成了一个策略性联盟，Cyota以主办单位的身份来主持，一起检查全球各地的黑客活动情况，分享有关资讯。这些都是Cyota的强项。

　　黄：面对中国大陆市场近年来所崛起的

　　David：这几年来RSA一直都很重视中国市场的发展，在今年年初，我们作了一个很大的决定，就是把RSA的北亚区，也就是负责中港台和韩国市场的总部，搬到上海。我个人也移居到上海来。我们都在加强RSA在北京、上海和广州三地的团队人数。此外，刚才也说到了，由于看好这个整个北亚地区的个人用户在身份认证市场上的需求，我们和我们的合作伙伴一起成立了Dynamiccode公司，把我们原来应用与大型企业的认证技术，转化到个人市场上来，为着“一人一个令牌”的愿景而努力。

　　黄：您预计今年整个身份认证行业的趋势是怎样的，这其中有什么亮点？

　　David：在身份认证这个技术行业，我觉得三个特点是不变的，第一个是名牌效应。也就是当客户认可你在安全领域的贡献以后，他们会首先推重这个品牌的产品。第二就是易用性。也就是说无论什么产品，都不要区改变用户的使用习惯。第三是成本控制，让消费者不要觉得他的消费资本上升了。我觉得这些就是今后在这个业界所发展的趋势吧。

　　附：RSA公司简介

　　RSA是保护用户网络身份和数字资产的专家，纳斯达克上市企业。作为互联网核心安全技术的发明者，RSA在加强身份认证及加密上领先，让数千万用户在进行网上交易时得到安全认证。在20年独创的安全身份认证技术上建立了良好的声誉，RSA现在为全球大约2万客户服务，与1000多家技术及整合合作伙伴保持联系。