论坛首页 Java企业应用论坛

浅析USB KEY 与动态口令牌两种认证方式

浏览 16032 次
该帖已经被评为隐藏帖
作者 正文
   发表时间:2010-02-19   最后修改:2010-03-04

比较项目

动态口令

USB KEY

维护性

 

客户端无需安装,系统集成方便。

客户端需要对应的USB-Key驱动,如果驱动安装失败,将导致用户无法使用系统。

移动办公

不需要跟电脑联接安装,可以很方便的实现移动办公。

有些企业信息化安全要求严格的,禁用电脑的USB口,很不方便。一些公共场所也不能使用,比如:网吧,酒店等。

安全性

口令60秒变一次

口令只能使用一次

口令随机产生,不可猜

 

 


使用完后,USB-Key如果忘记拨出电脑,有被人拾走盗用风险。

操作方便性

不需安装,对使用者无特别的电脑知识要求。

按一下即可获得密码。

大部分需要安装驱动,对于使用者需要有一定的电脑知识。

 


以上是笔者整理的将动态口令牌与USB KEY两种身份认证终端作的比较。

很多文章在讲述USB KEY容易被复制的问题,笔者并不认同,从理论来讲任何硬件产品都有被复制可能性,飞机还能被山寨~~ 只是在实际运用中基本不存在由于复制导致的不安全事件。


其实动态口令牌与USB key相比较的核心优势就是使用便捷,与平台无关性。

关于USB KEY使用的麻烦,想必使用网银的朋友深受感受,《Windows 7的IE8里网银USB KEY无法使用的问题的解决办法(农行、建行、工行、光大、广发、交行)》

从这篇文章可知大概,而动态口令牌根本不用考虑。

但是动态口令牌其硬件令牌形式也不是完美的,存在缺点是其使用寿命,由于它的电池一般维持在3-5年,在电池耗尽以后需更换令牌,这也是很多企业在选择时候一个顾虑点。

随着其市场越来越普及,动态口令牌的价格也会越来越低,更替成本对企业来说不会构成大的负担,从安全的角度思考,3-5年的更新对于安全性来说一个提高。

 

附动态口令牌原理:

动态口令牌其实无非就是认证服务器端和这个“动态口令牌”都使用同样的一套算法,可以自定义计算数组的时间间隔,每批次“动态口令牌”都拥有唯一的序列号,然后服务器端和“动态口令牌”执行相同的计算程序,在设定好的相同的更新时间计算出新的数组。

事实上,动态口令验证服务器跟动态口令牌没有直接联系,就是根据唯一的序列号,利用公式,各自计算,保证算出的数字都是一样且在同一时间更新。

 


动态口令牌 和 USB KEY都属于硬件产品,理论上来讲USB KEY不用电池寿命是终身,但是实际应用中受到制作工艺、使用习惯(需要插入USB口)、更新等方面的几个因素,一般USB KEY在使用3-5年左右也需要进行更替。

 

与网友之间的讨论:

xiaoyu 写道
USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼(這裡說的動態密碼是指每分鐘自動變化的密碼,而且不是那種發送到手機的密碼)強多了。

KEY 被使用的時候都需要再次輸入一次 KEY的密碼(這個密碼是加密KEY的) , 這樣就算被檢去了你也不能用。

相對來說動態密碼的安全性更差, 被別人撿去后,一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的(USB KEY 就沒有這個問題)(玩過魔獸世界的人應該知道)。一旦動態密碼算法被破解了, 一點辦法都沒有。 USB KEY被破解了,可以通過升級,更換證書,或者其他。

而且動態密碼的容錯性差。 假如服務器端的時間不對(或者其中一個因子誤差了),那麼影響的就是所有這些依賴這個的動態密碼(玩過網易的魔獸世界的都知道,多少次出現這個事情)。

動態密碼維護成本高, 因為要保證服務器端的正確性。一旦因子誤差, 那麼需要長時間的調整。(玩過魔獸世界的人都知道)

動態密碼的可擴展性差, USB KEY 容易升級。



这点您说的有点有失偏颇,USB KEY与动态口令牌的比较我上面写的相对比较客观,针对你提到的问题,做如下回应:

(1)针对 相對來說動態密碼的安全性更差, 被別人撿去后,一點保護都沒有,仔细想下你这话是有误导别人的作用。
一般使用动态口令牌的登录流程是,所谓双因子认证:
  输入 帐号 -> 静态密码 -> 动态密码

即使被别人"捡"去了,动态口令牌上面没有用户帐号信息,那么"捡"的人首先不知道该令牌的帐号,那么是恶意的“捡”,还有一层静态密码,如果3个东西同时被盗了.... 神也保证不了您的安全。

(2)针对動態密碼維護成本高: 主流的动态口令牌是基于时间令牌,其与认证服务器上面的时钟联系很紧密,解决方法是动态口令牌认证服务器会安装NTP标准的时间同步服务,每个一段时间检查时钟是否准确,再说了服务器本书时间不是那么容易跑偏吧....

USB KEY一般需要安装驱动(现在操作系统也不少吧)... 还要考虑浏览器兼容性,因为USB KEY说白了就是硬件的证书.
维护成本好像您说反了吧。

(3)可扩展性差.... 动态口令牌那个小东西就是用来生成密码滴~~ 扩展啥呢

USB KEY 您用起来方便么~~~ 我也是工商银行网银用户,其实自己也在用USB KEY,装驱动(现在操作系统也不少吧)... 浏览器兼容性~~~等等.... 其实并不方便 想必在USB KEY使用的便捷性上面大家都有同感吧?

 

---------------------------------------------------------------

www.ndkey.com.cn

----------------------------------------------------------------

 

   发表时间:2010-02-21  
动态口令牌原理是什么?优点你说了一堆,缺点呢?打广告也要让人明白所以然。
0 请登录后投票
   发表时间:2010-02-21  
楼主有点片面了,USBKey不仅仅是你说的作用,还包括一些传输安全,加密解密等,动态口令牌是不能达到的!
0 请登录后投票
   发表时间:2010-02-21  
被LZ欺骗了...鉴定完毕,!!  我还以为是技术探讨,,,想进来学习下喃..
0 请登录后投票
   发表时间:2010-02-21  
楼主是来写毕业论文的么
0 请登录后投票
   发表时间:2010-02-21  
楼主所说的基本没有什么有用的信息.
0 请登录后投票
   发表时间:2010-02-21   最后修改:2010-02-21
不好意思,我忘记写原理了~~
0 请登录后投票
   发表时间:2010-02-21   最后修改:2010-02-21
jayo 写道
楼主有点片面了,USBKey不仅仅是你说的作用,还包括一些传输安全,加密解密等,动态口令牌是不能达到的!


USB KEY与动态口令牌是两种完全不同的机理,动态口令牌用来保证密码的不断变化来保护身份认证安全,USB KEY是一种硬件证书,USB KEY一个比较重要的功能是给传送数据签名,防止篡改。

对于你说的传输安全、加密解密, 普通的应用程序在设计的时候也会考虑到,就单纯从登录来说,动态口令牌更加便捷和安全。 因为USB KEY说到底也还是静态密码。
0 请登录后投票
   发表时间:2010-02-21  
fight_bird 写道
动态口令牌原理是什么?优点你说了一堆,缺点呢?打广告也要让人明白所以然。

不好意思,我忘记写原理了:

动态口令牌其实无非就是认证服务器端和这个“动态口令牌”都使用同样的一套算法,可以自定义计算数组的时间间隔,每批次“动态口令牌”都拥有唯一的序列号,然后服务器端和“动态口令牌”执行相同的计算程序,在设定好的相同的更新时间计算出新的数组。

事实上,动态口令验证服务器跟动态口令牌没有直接联系,就是根据唯一的序列号,利用公式,各自计算,保证算出的数字都是一样且在同一时间更新。


关于这方面,欢迎继续探讨!
0 请登录后投票
   发表时间:2010-02-22  
USBKey就不需要电池,这一点就比动态口令牌强多了
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics