當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

中國網(wǎng)銀安全分析之動(dòng)態(tài)密碼鎖

http://www.yibo1263.com　2009-9-1 9:22:36 　來源:網(wǎng)絡(luò)整理　編輯:葉子

　　要想知道什么樣的網(wǎng)銀系統(tǒng)是安全的，首先要知道哪些網(wǎng)銀系統(tǒng)是不安全的。

　　我的觀點(diǎn)是，所有不帶有身份認(rèn)證令牌硬件設(shè)備的網(wǎng)銀系統(tǒng)都是不安全的。

　　這些系統(tǒng)包括各種“大眾版”網(wǎng)銀，以及一些所謂的數(shù)字證書“專業(yè)版”，因?yàn)樗麄儚谋举|(zhì)上來講，所有的運(yùn)行代碼都是在電腦內(nèi)存中運(yùn)行的，用戶所有的操作都有可能被木馬所截獲。理論上講，黑客完全可以偽造用戶進(jìn)行系統(tǒng)登錄。只有脫離用戶的電腦系統(tǒng)，使用獨(dú)立的身份認(rèn)證硬件設(shè)備，才能構(gòu)造出安全的網(wǎng)銀系統(tǒng)。

　　目前有兩種流行的身份認(rèn)證硬件產(chǎn)品可以實(shí)現(xiàn)較為安全的網(wǎng)銀系統(tǒng)登錄。

　　第一種身份認(rèn)證產(chǎn)品名叫“動(dòng)態(tài)密碼鎖”。

　　動(dòng)態(tài)密碼(Dynamic Password)也稱一次性密碼，它指用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次。動(dòng)態(tài)密碼采用一種稱之為動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏。下圖是這種產(chǎn)品的外觀，其中數(shù)字鍵用于輸入用戶PIN碼，顯示屏用于顯示一次性密碼。每次輸入正確的PIN碼，都可以得到一個(gè)當(dāng)前可用的一次性動(dòng)態(tài)密碼。

　　這種產(chǎn)品的密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間以及使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。由于每次使用的密碼必須由動(dòng)態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗(yàn)證通過，系統(tǒng)就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個(gè)密碼來仿冒合法用戶的身份，因?yàn)橄乱淮蔚卿洷仨毷褂昧硗庖粋€(gè)動(dòng)態(tài)密碼。

　　動(dòng)態(tài)密碼鎖系統(tǒng)需要兩個(gè)密碼要素，一個(gè)要素是靜態(tài)PIN碼，由用戶自行設(shè)置、保管。另一個(gè)要素是動(dòng)態(tài)密碼，由密碼令牌動(dòng)態(tài)生成，不可預(yù)測(cè)，并且與后臺(tái)服務(wù)器的接入控制保持同步，由后臺(tái)服務(wù)器進(jìn)行檢驗(yàn)。因此，用戶必需輸入正確的靜態(tài)PIN碼和動(dòng)態(tài)密碼，才能通過身份認(rèn)證。

　　動(dòng)態(tài)密碼鎖本身需要輸入PIN碼才能使用，靜態(tài)PIN碼的安全要素在于，這個(gè)PIN碼不是在電腦上輸入的，而是在密碼鎖上輸入的，這樣，所有的黑客木馬程序從理論上講都全部失效，因?yàn)檫@些木馬根本不可能在另外一個(gè)硬件密碼鎖上運(yùn)行。

　　黑客要想破解用戶密碼，首先要從物理上獲得用戶的動(dòng)態(tài)密碼鎖，其次還要獲得用戶的PIN碼，這樣，黑客必須潛入用戶家中(電腦黑客還需要學(xué)習(xí)普通竊賊的技術(shù))，偷取了動(dòng)態(tài)密碼鎖，然后再破解PIN碼。沒有用戶PIN碼依舊無法使用，而通常情況下動(dòng)態(tài)密碼鎖本身具有一定安全保護(hù)功能，錄入PIN碼錯(cuò)誤10次就會(huì)自動(dòng)鎖死而無法使用。這也保證了動(dòng)態(tài)密碼鎖物理上的安全性。

　　動(dòng)態(tài)密碼技術(shù)可以完美解決客戶端用戶的安全性問題，因?yàn)楹诳蜔o論使用什么方法，也無法方便的竊取用戶的密碼，即使黑客竊取了一次密碼也無法登錄使用。

　　從技術(shù)上將，動(dòng)態(tài)密碼技術(shù)是比較完美的方案，然而可惜的是，動(dòng)態(tài)密碼鎖的成本過高，大部分成本都高于100元，不太利于大規(guī)模使用。中國目前有一些銀行圖便宜，使用一種文字卡片類型的所謂的“動(dòng)態(tài)密碼卡”，也是用來實(shí)現(xiàn)較為原始的動(dòng)態(tài)密碼技術(shù)。實(shí)際上，這種低成本的卡片具有的缺陷是非常明顯的，卡片內(nèi)容極易被復(fù)制，且沒有保護(hù)PIN碼，別人偷盜或者復(fù)制這張卡片即可冒名登錄，其安全性遠(yuǎn)不及真正的動(dòng)態(tài)密碼鎖身份認(rèn)證系統(tǒng)。

　　雖然動(dòng)態(tài)密碼鎖的安全性的確不錯(cuò)，然而，動(dòng)態(tài)密碼技術(shù)也有一個(gè)安全隱患，就是服務(wù)器端的安全性。動(dòng)態(tài)密碼的本質(zhì)是單鑰加密，密鑰只有一個(gè)。在服務(wù)器端的認(rèn)證系統(tǒng)里，可以計(jì)算出所有動(dòng)態(tài)密碼，因此黑客如果將精力放在破解銀行認(rèn)證服務(wù)器系統(tǒng)，那么還是有可能對(duì)銀行系統(tǒng)造成一定安全威脅，另外這個(gè)系統(tǒng)也依賴于網(wǎng)銀的管理員，網(wǎng)銀的管理員可以在服務(wù)器端修改動(dòng)態(tài)密碼鎖的規(guī)則，也具有一定的安全隱患。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·網(wǎng)銀安全：認(rèn)識(shí)銀行交易系統(tǒng)安全性

·當(dāng)前網(wǎng)銀安全存在四大問題

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费