(一)、什么是動(dòng)態(tài)口令?
動(dòng)態(tài)口令是根據(jù)專(zhuān)門(mén)的算法每隔60秒生成一個(gè)與時(shí)間相關(guān)的、不可預(yù)測(cè)的隨機(jī)數(shù)字組合(One-time Password),每個(gè)口令只能使用一次,每天可以產(chǎn)生43200個(gè)密碼。
用戶(hù)進(jìn)行認(rèn)證時(shí)候,除輸入賬號(hào)和靜態(tài)密碼之外,必須要求輸入動(dòng)態(tài)密碼,只有通過(guò)系統(tǒng)驗(yàn)證,才可以正常登錄或者交易,從而有效保證用戶(hù)身份的合法性和唯一性。動(dòng)態(tài)口令最大的優(yōu)點(diǎn)在于,用戶(hù)每次使用的口令都不相同,使得不法分子無(wú)法仿冒合法用戶(hù)的身份。
動(dòng)態(tài)口令認(rèn)證技術(shù)被認(rèn)為是目前能夠最有效解決用戶(hù)的身份認(rèn)證方式之一,可以有效防范黑客木馬盜竊用戶(hù)賬戶(hù)口令、假網(wǎng)站等多種網(wǎng)絡(luò)問(wèn)題,導(dǎo)致用戶(hù)的財(cái)產(chǎn)或者資料的損失。
(二)、傳統(tǒng)的靜態(tài)密碼有何缺點(diǎn)?
靜態(tài)密碼主要是指用戶(hù)的賬戶(hù)密碼、查詢(xún)密碼等基本固定的數(shù)字密碼。使用靜態(tài)密碼在使用過(guò)程中通常存在以下安全隱患:
?。?)為了便于記憶,用戶(hù)多選擇生日、電話(huà)號(hào)碼等作為密碼,不法分子可以通過(guò)機(jī)器人程序不斷嘗試并且很容易破譯密碼;
?。?)一個(gè)密碼多次使用,容易被不法分子采用截取/重放的方式,對(duì)經(jīng)過(guò)簡(jiǎn)單加密后傳輸?shù)恼J(rèn)證信息進(jìn)行分辨,推算出用戶(hù)的密碼,造成無(wú)意泄露;
?。?)由于當(dāng)前通過(guò)網(wǎng)絡(luò)傳輸?shù)恼J(rèn)證信息多數(shù)是未經(jīng)加密的明文,不法分子可以竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流,分辨出認(rèn)證信息,從網(wǎng)上或電話(huà)線(xiàn)上截獲密碼,輕易獲得用戶(hù)的關(guān)鍵信息;
?。?)不法分子常常利用窺探、誘騙等手段獲取用戶(hù)的密碼。
(三)、目前解決靜態(tài)密碼安全問(wèn)題的手段有哪些?除了動(dòng)態(tài)口令以外,其他手段有何優(yōu)缺點(diǎn)?
目前主要有動(dòng)態(tài)口令、數(shù)字證書(shū)、USB移動(dòng)證書(shū)等方式。
(1)數(shù)字證書(shū):數(shù)字證書(shū)認(rèn)證技術(shù)采用加密傳輸和數(shù)字簽名技術(shù),可以較好的保障網(wǎng)上信息安全。數(shù)字證書(shū)的局限是只能在己安裝證書(shū)的電腦上進(jìn)行操作,使用不方便。
(2)USB移動(dòng)證書(shū):將用戶(hù)的密鑰或數(shù)字證書(shū)存儲(chǔ)在USB Key硬件設(shè)備中,利用USB Key 內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。USB Key的局限是只能在己安裝相應(yīng)驅(qū)動(dòng)程序的電腦上進(jìn)行操作,在其他沒(méi)有 USB 插口的設(shè)備上則無(wú)法使用,使用范圍相對(duì)狹窄。另外由于必須連接電腦,在已經(jīng)出現(xiàn)相應(yīng)的木馬病毒的情況下,仍然存在安全隱患。
(四)、產(chǎn)品介紹
?。?)鑰匙牌
動(dòng)態(tài)口令長(zhǎng)度 6~8位數(shù)字
動(dòng)態(tài)口令有效期 1次性有效,1分鐘變一次。
電池壽命 3年—5年
時(shí)間偏差 <=1分鐘/年
體積 長(zhǎng)5.5厘米,寬2.5厘米,厚1厘米
產(chǎn)品特點(diǎn) 防水,防摔,防壓。
(五)、動(dòng)態(tài)口令相比USB KEY的優(yōu)勢(shì)
比較項(xiàng)目 動(dòng)態(tài)令牌 USB KEY
物理隔絕 無(wú)需任何通信 插在電腦上
移動(dòng)辦公 動(dòng)態(tài)令牌體積小,不需要跟電腦聯(lián)接安裝,可以很方便的實(shí)現(xiàn)移動(dòng)辦公。 有些企業(yè)安全要求嚴(yán)格的,禁用電腦的USB口。一些公共場(chǎng)所也不能使用,如:網(wǎng)吧,酒店。
系統(tǒng)擴(kuò)展性 非常容易擴(kuò)展,使用范圍廣。
一個(gè)認(rèn)證系統(tǒng)可以使用在VPN,Windows域管理,OA,ERP等,多個(gè)系統(tǒng)可以共用一個(gè)動(dòng)態(tài)令牌。 擴(kuò)展性一般。
只能用在指定的系統(tǒng)。
產(chǎn)品安全性 非常高
60秒口令變化一次
口令長(zhǎng)度達(dá)到8位
口令隨機(jī)不可猜測(cè)
比較高
USB-Key里只是保存一個(gè)證書(shū)的標(biāo)識(shí)字符串,一些廠(chǎng)家的底端的USB-Key產(chǎn)品,可以被復(fù)制。
USB-key里的標(biāo)識(shí)串不會(huì)改變,如果在網(wǎng)絡(luò)傳輸入過(guò)程中,被人盜取的話(huà),有機(jī)能該標(biāo)識(shí)串會(huì)被破解。
使用完后,USB-Key如果忘記撥出電腦,有被人拾走盜用風(fēng)險(xiǎn)。
易用性 非常方便
不需安裝,對(duì)使用者無(wú)特別的電腦知識(shí)要求。
產(chǎn)品小巧,方便攜帶。 不太方便
需要安裝,對(duì)于使用者需要有一定的電腦知識(shí)。
每次使用都需要插入電腦,現(xiàn)在好多電腦的USB口都在主機(jī)后面,不方便操作,用完后還容易忘記撥出。
(六)、產(chǎn)品應(yīng)用
應(yīng)用環(huán)境 詳細(xì)描述
VPN登錄認(rèn)證 支持標(biāo)準(zhǔn)的RADIUS協(xié)議的VPN設(shè)備,都可使用動(dòng)態(tài)口令。
VPN設(shè)備廠(chǎng)家主要有Cisco 、3COM、Juniper 、Netgear、Watchguard、深信服、賽藍(lán)、天融信等
OA(HR,CRM) 用友、金蝶、藍(lán)凌、金和、協(xié)達(dá)等
ERP SAP、Oracle、金蝶、用友
操作系統(tǒng) 開(kāi)機(jī)密碼 開(kāi)機(jī)密碼
電子商務(wù),網(wǎng)上支付 應(yīng)用于B2B,B2C的賬號(hào)的密碼安全管理
網(wǎng)絡(luò)游戲 應(yīng)用于網(wǎng)絡(luò)游戲登錄、道具交易
網(wǎng)絡(luò)銀行(網(wǎng)銀) 應(yīng)用于網(wǎng)上銀行賬戶(hù)登錄、支付認(rèn)證
客戶(hù)定制開(kāi)發(fā) 根據(jù)客戶(hù)的應(yīng)用環(huán)境不同,需求差異化進(jìn)行方案定制
(七)、市場(chǎng)分析
動(dòng)態(tài)口令的市場(chǎng)非常廣闊,金融行業(yè)只是它的應(yīng)用領(lǐng)域之一,目前中國(guó)銀行在終端客戶(hù)進(jìn)行大面積的使用。
?。?) 高端市場(chǎng),例如:政府、軍隊(duì)、國(guó)家機(jī)要部門(mén),他們采用這種技術(shù)不考慮成本,安全是第一位的,非常強(qiáng)調(diào)產(chǎn)品的安全性、可控性、穩(wěn)定性。
?。?) 大企業(yè)內(nèi)部管理。一個(gè)員工可以采用動(dòng)態(tài)口令技術(shù)進(jìn)入公司的內(nèi)部網(wǎng)絡(luò),進(jìn)行合法操作。此外,對(duì)于金融或證券機(jī)構(gòu)的內(nèi)部人員,他們通過(guò)動(dòng)態(tài)口令來(lái)確認(rèn)用戶(hù)的身份與訪(fǎng)問(wèn)權(quán)限,這樣就可以防止內(nèi)部用戶(hù)盜用其他人的密碼,以其他人的身份進(jìn)行非法操作。據(jù)了解,全球500 強(qiáng)企業(yè)80 %以上,采用了動(dòng)態(tài)口令身份認(rèn)證技術(shù),以保護(hù)企業(yè)信息資產(chǎn)安全。
(3) 大眾市場(chǎng)。主要是指金融、證券、網(wǎng)絡(luò)游戲,例如:銀行可以給其儲(chǔ)戶(hù)提供動(dòng)態(tài)令牌,提高網(wǎng)上銀行、網(wǎng)上證券、電子商務(wù)的安全性,目前在中國(guó)銀行和興業(yè)銀行應(yīng)用;瑞士銀行、花旗、匯豐、荷蘭等境外金融機(jī)構(gòu),都采用動(dòng)態(tài)口令身份認(rèn)證技術(shù)保護(hù)賬戶(hù)信息及資金安全。國(guó)內(nèi)主流網(wǎng)游公司如盛大、網(wǎng)易、巨人、九城等都是用了動(dòng)態(tài)令牌保護(hù)玩家賬號(hào)以及虛擬財(cái)產(chǎn)的安全。
信息系統(tǒng)的安全問(wèn)題已經(jīng)擺上了很多公司的議事日程,國(guó)內(nèi)證券行業(yè)、金融行業(yè)的很多公司已經(jīng)進(jìn)入了相關(guān)系統(tǒng)的調(diào)研實(shí)施階段。
