电脑-中国网银安全分析之动态密码锁

电脑-中国网银安全分析之动态密码锁 要想知道什么样的网银系统是安全的，首先要知道哪些网银系统是不安全的。 我的观点是，所有不带有身份认证令牌硬件设备的网银系统都是不安全的。 这些系统包括各种“大众版”网银，以及一些所谓的数字证书“专业版”， 因为他们从本质上来讲，所有的运行代码都是在计算机内存中运行的，用户所有 的操作都有可能被木马所截获。理论上讲，黑客完全可以伪造用户执行 系统登录。只有脱离用户的计算机系统，运用独立的身份认证硬件设备，才能构造出安 全的网银系统。 目前有两种流行的身份认证硬件产品可以实现较为安全的网银系统登录。 第一种身份认证产品名叫“动态密码锁”。 动态密码(Dynamic Password)也称一次性密码，它指用户的密码按照时间或 运用次数不断动态变化，每个密码只运用一次。动态密码采用一种称之为动态令 牌的专用硬件，内置电源、密码生成芯片和显示屏。下图是这种产品的外观，其 中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确的 PIN码，都可以得到一个当前可用的一次性动态密码。 这种产品的密码生成芯片运行专门的密码算法，根据当前时间以及运用次数 生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密 码。由于每次运用的密码必须由动态令牌来产生，只有正当用户才持有该硬件， 所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次运 用的密码都不相同，即使黑客截获了一次密码，也不能运用 这个密码来仿冒正当用户的身份，因为下一次登录必须运用另外一个动态密码。 动态密码锁系统须要两个密码要素，一个要素是静态PIN码，由用户自行配置、保管。另一个要素是动态密码，由密码令牌动态生成，不可预测，并且与后 台服务器的接入控制保持同步，由后台服务器执行 检验。因此，用户必需输入 正确的静态PIN码和动态密码，才能通过身份认证。 动态密码锁本身须要输入PIN码才能运用，静态PIN码的安全要素在于，这个PIN码不是在计算机上输入的，而是在密码锁上输入的，这样，所有的黑客木 马程序从理论上讲都全部失效，因为这些木马根本不可能在另外一个硬件密码锁 上运行。 黑客要想破解用户密码，首先要从物理上获得用户的动态密码锁，其次还要 获得用户的PIN码，这样，黑客必须潜入用户家中(计算机黑客还须要学习普通窃贼的技能 )，偷取了动态密码锁，然后再破解PIN码。没有用户PIN码依旧不能运用，而通常情况下动态密码锁本身具有一定安全保卫功能，录入PIN码不正确 10次就会自动锁死而不能运用。这也保证了动态密码锁物理上的安全性。 动态密码技能可以完美处理客户端用户的安全性疑问，因为黑客无论运用什 么要领，也不能方便的窃取用户的密码，即使黑客窃取了一次密码也不能登录运 用。 从技能上将，动态密码技能是比较完美的方案，然而可惜的是，动态密码锁 的成本过高，大部分成本都高于100元，不太利于大规模运用。中国目前有一些银行图便宜，运用一种文字卡片类型的所谓的“动态密码卡”，也是用来实现较 为原始的动态密码技能。实际上，这种低成本的卡片具有的缺陷是非常明显的， 卡片内容极易被复制，且没有保卫 PIN码，别人偷盗或者复制这张卡片即可冒名登录，其安全性远不及真实的动态密码锁身份认证系统。 虽然动态密码锁的安全性的确不错，然而，动态密码技能也有一个安全隐患， 就是服务器端的安全性。动态密码的本质是单钥加密，密钥只有一个。在服务器 端的认证系统里，可以计算出所有动态密码，因此黑客如果将精力放在破解银行 认证服务器系统，那么还是有可能对银行系统造成一定安全威胁，另外这个系统 也依赖于网银的管理员，网银的管理员可以在服务器端修改动态密码锁的准则， 也具有一定的安全隐患。