RSA 2018： HTTPS加密与身份认证相关4大议题

4月16-20日，长达5天的RSA 2018大会在旧金山圆满落幕，今年的RSA大会主题是“Now Matters(现在很重要)，意味着“立即行动起来”，号召安全行业及所有企业应对网络安全威胁和挑战，不容拖延。作为安全科技领域的权威盛会，RSA大会涉及各个安全领域的热点议题，是快速了解全球安全趋势的风向标。本文筛选了SSL/HTTPS加密与身份认证相关的几个安全议题，洞悉业界最新发展趋势。

议题1：数百万APP正通过第三方SDK泄露用户数据

卡巴斯基实验室的安全研究员Roman Unuchek在演讲议题中表明，400万款流行的移动应用程序因为使用了不安全的第三方软件开发工具包（SDK），导致用户数据以未加密的形式泄露，可能被泄露的数据包括姓名、性别、年龄、收入、电子邮件地址、设备信息、GPS数据、通话记录以及短信和电话号码等敏感信息。

在他用于分析的应用程序中，部分应用程序仍在通过HTTP传输未加密的用户数据。这些数据可能会因为未受保护的Wi-Fi网络、互联网服务提供商或家用路由器上的恶意软件而遭到攻击者的拦截和修改。

从2016年下半年开始，越来越多的应用程序开始从HTTP切换到HTTPS，因为后者更安全。截至到2018年1月，63％的应用程序已经开始使用HTTPS。但事实上，它们其中大多数（几乎90%）仍然同时在使用HTTP，并且许多应用程序都在传输未加密的敏感数据。

建议开发人员停止使用HTTP，并为前端开启301重定向到HTTPS。另外，开发人员还应加密数据，始终使用最新版本的SDK，并在发布前检查应用程序的网络通信。

议题链接：Leaking Ads—Is User Data Truly Secure?

议题2：加密互联网的秘密：全球密码趋势

演讲基于了对数千万互联网主机（包括Alexa和OpenDNS Top 100万中的每个主机）HTTPS应用情况的扫描，主要调查选择的协议、前向保密、HSTS及公钥钉的使用情况。扫描结果显示：

• 使用TLS 1.2以上版本的比例已达89%，而2014年Q3才36%；
• 支持SSL 3.0的比例下降至11%；
• 前向加密的采用率上升至88%；
• HSTS在各主机类型中的百分比在2014年小于1%，目前达到10%；
• 公钥钉已经死亡，除了在APP中。

演讲者建议：

• 在2018年，加密所有连接，让HTTPS无处不在；
• 停止使用自签名证书；
• 停止使用公钥钉（Pinning）；
• 开启OCSP stapling；
• 去censys.io检查你的组织证书以及证书是否错误签发。

议题链接：SECRETS OF THE ENCRYPTED INTERNET:WORLDWIDE CRYPTOGRAPHIC TRENDS

议题3：GDPR要点（研讨会）

GDPR是二十多年来欧盟隐私监管的第一次重大变革，对涉及任何欧盟公民数据的全球组织都具有深远影响。换句话说，基本上每个大中型公司都受到影响。GDPR即将在2018年5月25日上线，许多人正在努力做好准备，并想知道会有什么后果以及处罚的速度会有多快。

GDPR研讨会深入讨论了GDPR，探索政策基调诸如客户分析允许哪些内容、如何处理72小时强制违规通知以及安全要求，为避免陷阱提供切实指导。

GDPR于2016年4月通过，将在2018年5月25日生效，影响范围包括所有处理欧盟公民数据的欧盟公司和外国公司，原则是统一国家数据保护制度、让公民重获个人数据的掌控权，违反GDPR将面临高达2千万欧元或全球年营业额4%的巨额罚款。

议题链接：GDPR Essentials

议题4：密码、指纹、脸部识别-新旧认证方式的对比

所有数据泄露事件中，63%涉及脆弱的、默认的或被盗的口令密码。部分技术升级希望能够对此有所“帮助”，例如密码钱包、短信令牌等等，但是可用性并没有变得更好。随着苹果最新的iPhone版本及其TouchID和FaceID技术的出现，我们将开始看到一些生物识别方法更广泛被接受，如指纹和面部扫描。该议题评估了这些方法与经过验证的真实密码相比的安全性。