浅析USB KEY 与动态口令牌两种认证方式

比较项目	动态口令	USB KEY
维护性	客户端无需安装，系统集成方便。	客户端需要对应的USB-Key驱动，如果驱动安装失败，将导致用户无法使用系统。
移动办公	不需要跟电脑联接安装，可以很方便的实现移动办公。	有些企业信息化安全要求严格的，禁用电脑的USB口，很不方便。一些公共场所也不能使用，比如：网吧，酒店等。
安全性	口令60秒变一次 口令只能使用一次 口令随机产生，不可猜	使用完后，USB-Key如果忘记拨出电脑，有被人拾走盗用风险。
操作方便性	不需安装，对使用者无特别的电脑知识要求。 按一下即可获得密码。	大部分需要安装驱动，对于使用者需要有一定的电脑知识。

以上是笔者整理的将动态口令牌与USB KEY两种身份认证终端作的比较。

很多文章在讲述USB KEY容易被复制的问题，笔者并不认同，从理论来讲任何硬件产品都有被复制可能性，飞机还能被山寨～～ 只是在实际运用中基本不存在由于复制导致的不安全事件。


其实动态口令牌与USB key相比较的核心优势就是使用便捷，与平台无关性。

关于USB KEY使用的麻烦，想必使用网银的朋友深受感受，《Windows 7的IE8里网银USB KEY无法使用的问题的解决办法（农行、建行、工行、光大、广发、交行）》

从这篇文章可知大概，而动态口令牌根本不用考虑。

但是动态口令牌其硬件令牌形式也不是完美的，存在缺点是其使用寿命，由于它的电池一般维持在3-5年，在电池耗尽以后需更换令牌，这也是很多企业在选择时候一个顾虑点。

随着其市场越来越普及，动态口令牌的价格也会越来越低，更替成本对企业来说不会构成大的负担，从安全的角度思考，3-5年的更新对于安全性来说一个提高。

 

附动态口令牌原理：

动态口令牌其实无非就是认证服务器端和这个“动态口令牌”都使用同样的一套算法，可以自定义计算数组的时间间隔，每批次“动态口令牌”都拥有唯一的序列号，然后服务器端和“动态口令牌”执行相同的计算程序，在设定好的相同的更新时间计算出新的数组。

事实上，动态口令验证服务器跟动态口令牌没有直接联系，就是根据唯一的序列号，利用公式，各自计算，保证算出的数字都是一样且在同一时间更新。

 

动态口令牌 和 USB KEY都属于硬件产品，理论上来讲USB KEY不用电池寿命是终身，但是实际应用中受到制作工艺、使用习惯（需要插入USB口）、更新等方面的几个因素，一般USB KEY在使用3-5年左右也需要进行更替。

 

与网友之间的讨论：

xiaoyu 写道

USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼（這裡說的動態密碼是指每分鐘自動變化的密碼，而且不是那種發送到手機的密碼）強多了。

KEY 被使用的時候都需要再次輸入一次 KEY的密碼（這個密碼是加密KEY的） ， 這樣就算被檢去了你也不能用。

相對來說動態密碼的安全性更差， 被別人撿去后，一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的（USB KEY 就沒有這個問題）（玩過魔獸世界的人應該知道）。一旦動態密碼算法被破解了， 一點辦法都沒有。 USB KEY被破解了，可以通過升級，更換證書，或者其他。

而且動態密碼的容錯性差。 假如服務器端的時間不對（或者其中一個因子誤差了），那麼影響的就是所有這些依賴這個的動態密碼（玩過網易的魔獸世界的都知道，多少次出現這個事情）。

動態密碼維護成本高， 因為要保證服務器端的正確性。一旦因子誤差， 那麼需要長時間的調整。（玩過魔獸世界的人都知道）

動態密碼的可擴展性差， USB KEY 容易升級。

这点您说的有点有失偏颇，USB KEY与动态口令牌的比较我上面写的相对比较客观，针对你提到的问题，做如下回应：

（1）针对 相對來說動態密碼的安全性更差， 被別人撿去后，一點保護都沒有，仔细想下你这话是有误导别人的作用。
一般使用动态口令牌的登录流程是，所谓双因子认证:
  输入 帐号 -> 静态密码 -> 动态密码

即使被别人"捡"去了，动态口令牌上面没有用户帐号信息，那么"捡"的人首先不知道该令牌的帐号，那么是恶意的“捡”，还有一层静态密码，如果3个东西同时被盗了.... 神也保证不了您的安全。

（2）针对動態密碼維護成本高： 主流的动态口令牌是基于时间令牌，其与认证服务器上面的时钟联系很紧密，解决方法是动态口令牌认证服务器会安装NTP标准的时间同步服务，每个一段时间检查时钟是否准确，再说了服务器本书时间不是那么容易跑偏吧....

USB KEY一般需要安装驱动（现在操作系统也不少吧）... 还要考虑浏览器兼容性，因为USB KEY说白了就是硬件的证书.
维护成本好像您说反了吧。

（3）可扩展性差.... 动态口令牌那个小东西就是用来生成密码滴～～ 扩展啥呢

USB KEY 您用起来方便么～～～ 我也是工商银行网银用户，其实自己也在用USB KEY，装驱动（现在操作系统也不少吧）... 浏览器兼容性～～～等等.... 其实并不方便 想必在USB KEY使用的便捷性上面大家都有同感吧？

 

---------------------------------------------------------------

www.ndkey.com.cn

----------------------------------------------------------------

 

评论

19 楼 xiaoyu 2010-02-24  

哈哈， 我也比较喜欢这样讨论。

希望其他人也能加入就好了。

18 楼 ningdun 2010-02-23  

xiaoyu 写道

楼主，你靠的是直觉？

你没有看到魔兽玩家的埋怨？ 去年都不知道发生几回跑偏的问题 （哪次的恢复不都是花了大半天的时间）。 很多人还人工计算延时， 才上去的。

现在盗什么东西基本都是针对性的。 看看魔兽世界的模拟窗口盗号法。（其实我没有什么好误导，只是你前面说了会丢的问题。 而且双因子验证，在USB KEY一样存在。你这不是反驳自己全面所说的吗？）

驱动问题不是太多问题。 浏览器也不是什么问题 （主要是扩展性好， 很多东西都好说，只是他们愿不愿意）。每个东西都有适应的地方，也不适合的地方。

我上面还有几个问题呢。 的确存在。

当然我没说动态密码要不得。 其实很好的优点，就是方便性。

针对时间跑偏：

     动态口令机制，令牌里内置了时间发生器，采用的是世界标准时间，走时比较准确，而动态口令牌验证服务器采用的系统主机时间，问题在这个地方。
     当一个令牌中的时间与服务器的时间偏差大于3分钟时，用户认证时就会产生错误，因此当令牌经常使用时，服务器会自动计算令牌和服务器的偏差，并记录在服务器中
现象：新加入的令牌，就需要进行时间同步。操作是连续向服务器输入连续两次CODE（间隔一分钟）
问题：服务器根据这两个CODE怎么算出时间差的？

分析：密钥在令牌上是事先写入的。服务器上是通过密钥文件导入的。因此服务器、令牌都知道密钥。服务器收到CODE后通过后台的密钥逆向算出令牌的时间，需要两次CODE才能。

对策：
1. 服务器要做NTP，这样就不会出现服务器时间偏差比较大的问题了。
2. 时间偏差可以定义，普遍是3分钟，这样也有一个容忍。
3. 验证CODE时，服务器会根据种子，当前时间和定义的偏差值计算出一个CODE区间。只要提交的CODE落在这个区间中，那么验证就通过，否则失败。
4. 所以，新令牌加入不是同步时间，是同步服务器计算CODE的起点。以后如果出现偏差的同步也是同样的方式。

动态口令牌与USB KEY都是双因素身份认证工具。

其实USB KEY在有数据传输的时候做校验有优势，因为它有数字签名功能，防止传输数据被串改，如网银划账。
动态口令牌在单纯密码验证会好，确保安全同时也享受到便捷，比如各种系统登录，ERP/VPN/ Windows域认证。
如果您到企业做个实施，您大概认同我的观点，以上都是我在做实施中的经验，不是乱说的。

我喜欢和您展开这样的探讨，希望继续沟通，任何产品无法一棍子打死，各有千秋。

17 楼 xiaoyu 2010-02-23  

楼主，你靠的是直觉？

你没有看到魔兽玩家的埋怨？ 去年都不知道发生几回跑偏的问题 （哪次的恢复不都是花了大半天的时间）。 很多人还人工计算延时， 才上去的。

现在盗什么东西基本都是针对性的。 看看魔兽世界的模拟窗口盗号法。（其实我没有什么好误导，只是你前面说了会丢的问题。 而且双因子验证，在USB KEY一样存在。你这不是反驳自己全面所说的吗？）

驱动问题不是太多问题。 浏览器也不是什么问题 （主要是扩展性好， 很多东西都好说，只是他们愿不愿意）。每个东西都有适应的地方，也不适合的地方。

我上面还有几个问题呢。 的确存在。

当然我没说动态密码要不得。 其实很好的优点，就是方便性。

16 楼 ningdun 2010-02-23  

hanfeng 写道

动态令牌和服务器的时间如何同步？

如果管理员调整了服务器时间，是否全部令牌都会失效？

     主流的动态口令牌是基于时间令牌，其与认证服务器上面的时钟联系很紧密，一但管理员调整了服务器的时间失序了，动态口令牌认证服务器上都会安装NTP标准的时间同步服务，它每隔一段时间检查时钟是否准确，再说了服务器本书时间不是那么容易跑偏

15 楼 ningdun 2010-02-23  

xiaoyu 写道

USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼（這裡說的動態密碼是指每分鐘自動變化的密碼，而且不是那種發送到手機的密碼）強多了。

KEY 被使用的時候都需要再次輸入一次 KEY的密碼（這個密碼是加密KEY的） ， 這樣就算被檢去了你也不能用。

相對來說動態密碼的安全性更差， 被別人撿去后，一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的（USB KEY 就沒有這個問題）（玩過魔獸世界的人應該知道）。一旦動態密碼算法被破解了， 一點辦法都沒有。 USB KEY被破解了，可以通過升級，更換證書，或者其他。

而且動態密碼的容錯性差。 假如服務器端的時間不對（或者其中一個因子誤差了），那麼影響的就是所有這些依賴這個的動態密碼（玩過網易的魔獸世界的都知道，多少次出現這個事情）。

動態密碼維護成本高， 因為要保證服務器端的正確性。一旦因子誤差， 那麼需要長時間的調整。（玩過魔獸世界的人都知道）

動態密碼的可擴展性差， USB KEY 容易升級。

这点您说的有点有失偏颇，USB KEY与动态口令牌的比较我上面写的相对比较客观，针对你提到的问题，做如下回应：

（1）针对 相對來說動態密碼的安全性更差， 被別人撿去后，一點保護都沒有，仔细想下你这话是有误导别人的作用。
一般使用动态口令牌的登录流程是，所谓双因子认证:
  输入 帐号 -> 静态密码 -> 动态密码

即使被别人"捡"去了，动态口令牌上面没有用户帐号信息，那么"捡"的人首先不知道该令牌的帐号，那么是恶意的“捡”，还有一层静态密码，如果3个东西同时被盗了.... 神也保证不了您的安全。

（2）针对動態密碼維護成本高： 主流的动态口令牌是基于时间令牌，其与认证服务器上面的时钟联系很紧密，解决方法是动态口令牌认证服务器会安装NTP标准的时间同步服务，每个一段时间检查时钟是否准确，再说了服务器本书时间不是那么容易跑偏吧....

USB KEY一般需要安装驱动（现在操作系统也不少吧）... 还要考虑浏览器兼容性，因为USB KEY说白了就是硬件的证书.
维护成本好像您说反了吧。

（3）可扩展性差.... 动态口令牌那个小东西就是用来生成密码滴～～ 扩展啥呢

USB KEY 您用起来方便么～～～ 我也是工商银行网银用户，其实自己也在用USB KEY，装驱动（现在操作系统也不少吧）... 浏览器兼容性～～～等等.... 其实并不方便 想必在USB KEY使用的便捷性上面大家都有同感吧？

14 楼 y14 2010-02-23  

USB KEY 在银行业能被广泛使用,是因为很多地区都立法通过了数字签名与传统签名具有一样的法律效应。这点等于是银行的免责条款。

13 楼 xiaoyu 2010-02-22  

USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼（這裡說的動態密碼是指每分鐘自動變化的密碼，而且不是那種發送到手機的密碼）強多了。

KEY 被使用的時候都需要再次輸入一次 KEY的密碼（這個密碼是加密KEY的） ， 這樣就算被檢去了你也不能用。

相對來說動態密碼的安全性更差， 被別人撿去后，一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的（USB KEY 就沒有這個問題）（玩過魔獸世界的人應該知道）。一旦動態密碼算法被破解了， 一點辦法都沒有。 USB KEY被破解了，可以通過升級，更換證書，或者其他。

而且動態密碼的容錯性差。 假如服務器端的時間不對（或者其中一個因子誤差了），那麼影響的就是所有這些依賴這個的動態密碼（玩過網易的魔獸世界的都知道，多少次出現這個事情）。

動態密碼維護成本高， 因為要保證服務器端的正確性。一旦因子誤差， 那麼需要長時間的調整。（玩過魔獸世界的人都知道）

動態密碼的可擴展性差， USB KEY 容易升級。

12 楼 littleJava 2010-02-22  

动态口令的电池 可以更换的

11 楼 hanfeng 2010-02-22  

动态令牌和服务器的时间如何同步？

如果管理员调整了服务器时间，是否全部令牌都会失效？

10 楼 amonlei 2010-02-22  

看了半天，楼主还没说到关键：用户如何持有。

9 楼 typedata 2010-02-22  

USBKey就不需要电池，这一点就比动态口令牌强多了

8 楼 ningdun 2010-02-21  

fight_bird 写道

动态口令牌原理是什么？优点你说了一堆，缺点呢？打广告也要让人明白所以然。

不好意思，我忘记写原理了：

动态口令牌其实无非就是认证服务器端和这个“动态口令牌”都使用同样的一套算法，可以自定义计算数组的时间间隔，每批次“动态口令牌”都拥有唯一的序列号，然后服务器端和“动态口令牌”执行相同的计算程序，在设定好的相同的更新时间计算出新的数组。

事实上，动态口令验证服务器跟动态口令牌没有直接联系，就是根据唯一的序列号，利用公式，各自计算，保证算出的数字都是一样且在同一时间更新。


关于这方面，欢迎继续探讨！

7 楼 ningdun 2010-02-21  

jayo 写道

楼主有点片面了，USBKey不仅仅是你说的作用，还包括一些传输安全，加密解密等，动态口令牌是不能达到的！

USB KEY与动态口令牌是两种完全不同的机理，动态口令牌用来保证密码的不断变化来保护身份认证安全，USB KEY是一种硬件证书，USB KEY一个比较重要的功能是给传送数据签名，防止篡改。

对于你说的传输安全、加密解密， 普通的应用程序在设计的时候也会考虑到，就单纯从登录来说，动态口令牌更加便捷和安全。 因为USB KEY说到底也还是静态密码。

6 楼 ningdun 2010-02-21  

不好意思，我忘记写原理了～～

5 楼 luoyahu 2010-02-21  

楼主所说的基本没有什么有用的信息.

4 楼 sunwenran 2010-02-21  

楼主是来写毕业论文的么

3 楼 zhouweijava 2010-02-21  

被LZ欺骗了...鉴定完毕,!!  我还以为是技术探讨,,,想进来学习下喃..

2 楼 jayo 2010-02-21  

楼主有点片面了，USBKey不仅仅是你说的作用，还包括一些传输安全，加密解密等，动态口令牌是不能达到的！

1 楼 fight_bird 2010-02-21  

动态口令牌原理是什么？优点你说了一堆，缺点呢？打广告也要让人明白所以然。