什么是动态密码?激活帐号时的动态
身份认证的秘技——动态密码
对网上银行安全性感到怀疑已经不是个别现象,中国金融认证中心(CFCA)联合全国10多家商业银行共同发起的“2005年CFCA网上银行调查”显示,网上银行的安全性是公众最关心的问题之一,有65。 8%的被访者选择“安全性”作为考虑网上银行服务的首要因素。而安全性的基础是信息传递双方身份的真实性,在安全与效率的平衡之间,动态密码(Dynamic Password)技术成为身份认证领域的热门话题。
静态密码漏洞多
将密码写在报事帖上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重...全部
身份认证的秘技——动态密码
对网上银行安全性感到怀疑已经不是个别现象,中国金融认证中心(CFCA)联合全国10多家商业银行共同发起的“2005年CFCA网上银行调查”显示,网上银行的安全性是公众最关心的问题之一,有65。
8%的被访者选择“安全性”作为考虑网上银行服务的首要因素。而安全性的基础是信息传递双方身份的真实性,在安全与效率的平衡之间,动态密码(Dynamic Password)技术成为身份认证领域的热门话题。
静态密码漏洞多
将密码写在报事帖上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。
为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。亚略特生物识别技术公司技术平台负责人黄振杭说:“传统的账号加密码的形式,密码容易被猜中,容易忘记,也容易被盗。
据统计,一个人平均下来要记15到20个密码。”静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。
为了解决静态密码的安全问题,目前银行普遍提供了USB移动证书。
USB Key采用软硬件相结合一次一密的强双因子认证模式,是一种 USB 接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用 USB Key 内置的密码学算法实现对用户身份的认证。
但是USB Key只能在己安装相应驱动程序的电脑上进行操作,在其他没有 USB 插口的设备上则无法使用,使用范围相对狭窄。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在安全隐患。
双因子 双保险
“目前网上客户对网上交易使用的密码的安全性没有信心。因为这些信息基本上是不改动的,很容易被网络犯罪分子劫取。比如通过网上钓鱼的方式就很容易获取一些疏于防范的客户的账户信息。
有些银行系统如果薄弱的话,就会受到这些网上罪犯的攻击。” RSA信息安全公司国际营销副总裁蒂姆·皮卡德(Tim Pickard)表示。为解决静态信息容易被破解的问题,动态密码开始大规模应用。Dynamicode有限公司首席执行官(CEO)范定国说:“动态密码最开始的时候主要是在公司内部使用,尤其是世界500强公司,这些公司架构比较大,对安全相对比较重视,员工人数也非常多,对于员工流动时出现的安全问题,需要有比较好的解决办法。
”
动态密码也称一次性密码(One-time Password),它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,大小相当于一张闪存盘,显示方式类似于电子手表,它内置电源、密码生成芯片和显示屏。
密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。
而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
那么如果动态令牌丢失了,拾到者岂不是可以冒充合法用户?将密码设置为“静态+动态”就没有那么容易了。
群柏数码科技有限公司产品市场总监王慧说:“这是双保险,缺一不可。”即使合法用户忘带了动态令牌,同样有方法获得动态密码。RSA信息安全公司最新开发了一个工具栏功能,合法用户如果忘了带令牌,可以在工具栏那里下载令牌软件,由其产生密码。
另外,动态密码还具有移动性,可以用在任何设备中,比如手机、PDA等移动设备。RSA信息安全公司国际营销副总裁皮卡德说:“网上的证券交易、在线商务等方面的用户都越来越需要这种服务。”
应用兴起
目前,这种动态密码技术已经在国内的网上银行、网络游戏等等许多行业开始应用。
2005年7月,上海浦东发展银行(下称“浦发银行”)的网上银行在国内率先采用了动态密码。采用动态密码的客户在登陆网上银行时,浦发银行的计算机系统随机产生一个6位数字密码发到客户指定的手机,然后由客户卡号、查询密码、动态密码三者组成支付确认,即使有人知道了卡号和查询密码也不能从账户中划转资金。
动态密码和数字证书等技术的使用,使得浦发银行的网上银行业务发展迅猛。在2005年11月举办的“放心用网银、安全中国行”上海站巡展上,浦发银行副行长张耀麟透露:“2005年1到10月,浦发银行的网上银行开户量比往年提高了近8倍,个人网上银行的开户数与2004年末相比增长了717%,个人网上银行的交易笔数和交易量也分别比去年的同期增长了235%和635%。
”
除了对账户信息极其敏感的金融业,网络游戏也是动态密码技术在中国应用的热门行业。提供大话西游、梦幻西游等网络游戏的广州网易互动娱乐有限公司推出了名为“将军令”的电子令牌。“将军令”采用60秒产生一个全新动态密码、数秒钟后会自动消失的方法,与公司各款游戏相绑定。
上海盛大网络发展有限公司(下称“盛大公司”)也推出了盛大密宝,不同型号的密宝绑定盛大公司旗下传奇世界、起点中文网、泡泡堂、梦幻国度等不同产品,采用60秒生成一个6位或8位动态密码的方式。盛大公司还将盛大密宝的应用推广到了同花顺、金银岛、中商网、 51Piao 和智买道等等其他电子商务的网站上。
问题犹存
基于身份认证的服务领域越来越广,RSA信息安全公司国际营销副总裁皮卡德说:“身份认证和管理是非常关键的,今后的市场增长会非常迅猛。10到15年前,我们对于企业可以有一个很轻松的界定,包括他的商业模式、员工、专注领域等。
现在的全球企业越来越组织化,可能有外包的、它们是为其他组织服务的,但是承担了这家公司的工作,所以如何对这些人的身份和权限有一个很好的管理,就非常重要。”
虽然动态密码的应用前景广阔,但仍然有些技术问题有待解决。
首先是时间漂移问题,电子令牌和认证服务器的时间不一定能完全同步,有可能造成用户无法登陆系统。针对这个问题,金鹰科技有限公司技术副总经理李聪说:“现在的产品在认证服务器一端一般都会有自动的时间校正,会记录误差特征,算出时间曲线。
因此,只要密码一直在使用状态,就没有什么问题。”其次,为了保证安全性,电子令牌一般被设计为不可拆卸的,这样的设计就意味着无法更换电池,导致电子令牌的使用寿命非常有限。
参考资料: 。收起
