|
该帖已经被评为隐藏帖
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2010-02-22
看了半天,楼主还没说到关键:用户如何持有。
|
| 返回顶楼 | |
|
发表时间:2010-02-22
动态令牌和服务器的时间如何同步?
如果管理员调整了服务器时间,是否全部令牌都会失效? |
| 返回顶楼 | |
|
发表时间:2010-02-22
动态口令的电池 可以更换的
|
| 返回顶楼 | |
|
发表时间:2010-02-22
最后修改:2010-02-22
USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼(這裡說的動態密碼是指每分鐘自動變化的密碼,而且不是那種發送到手機的密碼)強多了。
KEY 被使用的時候都需要再次輸入一次 KEY的密碼(這個密碼是加密KEY的) , 這樣就算被檢去了你也不能用。 相對來說動態密碼的安全性更差, 被別人撿去后,一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的(USB KEY 就沒有這個問題)(玩過魔獸世界的人應該知道)。一旦動態密碼算法被破解了, 一點辦法都沒有。 USB KEY被破解了,可以通過升級,更換證書,或者其他。 而且動態密碼的容錯性差。 假如服務器端的時間不對(或者其中一個因子誤差了),那麼影響的就是所有這些依賴這個的動態密碼(玩過網易的魔獸世界的都知道,多少次出現這個事情)。 動態密碼維護成本高, 因為要保證服務器端的正確性。一旦因子誤差, 那麼需要長時間的調整。(玩過魔獸世界的人都知道) 動態密碼的可擴展性差, USB KEY 容易升級。 |
| 返回顶楼 | |
|
发表时间:2010-02-23
USB KEY 在银行业能被广泛使用,是因为很多地区都立法通过了数字签名与传统签名具有一样的法律效应。这点等于是银行的免责条款。
|
| 返回顶楼 | |
|
发表时间:2010-02-23
最后修改:2010-02-23
xiaoyu 写道 USB KEY 根本就沒有樓主的說得那麼多缺點。 而且安全性比動態密碼(這裡說的動態密碼是指每分鐘自動變化的密碼,而且不是那種發送到手機的密碼)強多了。
KEY 被使用的時候都需要再次輸入一次 KEY的密碼(這個密碼是加密KEY的) , 這樣就算被檢去了你也不能用。 相對來說動態密碼的安全性更差, 被別人撿去后,一點保護都沒有。 而且現在都有模擬窗口來盜取密碼的(USB KEY 就沒有這個問題)(玩過魔獸世界的人應該知道)。一旦動態密碼算法被破解了, 一點辦法都沒有。 USB KEY被破解了,可以通過升級,更換證書,或者其他。 而且動態密碼的容錯性差。 假如服務器端的時間不對(或者其中一個因子誤差了),那麼影響的就是所有這些依賴這個的動態密碼(玩過網易的魔獸世界的都知道,多少次出現這個事情)。 動態密碼維護成本高, 因為要保證服務器端的正確性。一旦因子誤差, 那麼需要長時間的調整。(玩過魔獸世界的人都知道) 動態密碼的可擴展性差, USB KEY 容易升級。 这点您说的有点有失偏颇,USB KEY与动态口令牌的比较我上面写的相对比较客观,针对你提到的问题,做如下回应: (1)针对 相對來說動態密碼的安全性更差, 被別人撿去后,一點保護都沒有,仔细想下你这话是有误导别人的作用。 一般使用动态口令牌的登录流程是,所谓双因子认证: 输入 帐号 -> 静态密码 -> 动态密码 即使被别人"捡"去了,动态口令牌上面没有用户帐号信息,那么"捡"的人首先不知道该令牌的帐号,那么是恶意的“捡”,还有一层静态密码,如果3个东西同时被盗了.... 神也保证不了您的安全。 (2)针对動態密碼維護成本高: 主流的动态口令牌是基于时间令牌,其与认证服务器上面的时钟联系很紧密,解决方法是动态口令牌认证服务器会安装NTP标准的时间同步服务,每个一段时间检查时钟是否准确,再说了服务器本书时间不是那么容易跑偏吧.... USB KEY一般需要安装驱动(现在操作系统也不少吧)... 还要考虑浏览器兼容性,因为USB KEY说白了就是硬件的证书. 维护成本好像您说反了吧。 (3)可扩展性差.... 动态口令牌那个小东西就是用来生成密码滴~~ 扩展啥呢 USB KEY 您用起来方便么~~~ 我也是工商银行网银用户,其实自己也在用USB KEY,装驱动(现在操作系统也不少吧)... 浏览器兼容性~~~等等.... 其实并不方便 想必在USB KEY使用的便捷性上面大家都有同感吧? |
| 返回顶楼 | |
|
发表时间:2010-02-23
hanfeng 写道 动态令牌和服务器的时间如何同步?
如果管理员调整了服务器时间,是否全部令牌都会失效? 主流的动态口令牌是基于时间令牌,其与认证服务器上面的时钟联系很紧密,一但管理员调整了服务器的时间失序了,动态口令牌认证服务器上都会安装NTP标准的时间同步服务,它每隔一段时间检查时钟是否准确,再说了服务器本书时间不是那么容易跑偏 |
| 返回顶楼 | |
|
发表时间:2010-02-23
最后修改:2010-02-23
楼主,你靠的是直觉?
你没有看到魔兽玩家的埋怨? 去年都不知道发生几回跑偏的问题 (哪次的恢复不都是花了大半天的时间)。 很多人还人工计算延时, 才上去的。 现在盗什么东西基本都是针对性的。 看看魔兽世界的模拟窗口盗号法。(其实我没有什么好误导,只是你前面说了会丢的问题。 而且双因子验证,在USB KEY一样存在。你这不是反驳自己全面所说的吗?) 驱动问题不是太多问题。 浏览器也不是什么问题 (主要是扩展性好, 很多东西都好说,只是他们愿不愿意)。每个东西都有适应的地方,也不适合的地方。 我上面还有几个问题呢。 的确存在。 当然我没说动态密码要不得。 其实很好的优点,就是方便性。 |
| 返回顶楼 | |
|
发表时间:2010-02-23
最后修改:2010-02-23
xiaoyu 写道 楼主,你靠的是直觉?
你没有看到魔兽玩家的埋怨? 去年都不知道发生几回跑偏的问题 (哪次的恢复不都是花了大半天的时间)。 很多人还人工计算延时, 才上去的。 现在盗什么东西基本都是针对性的。 看看魔兽世界的模拟窗口盗号法。(其实我没有什么好误导,只是你前面说了会丢的问题。 而且双因子验证,在USB KEY一样存在。你这不是反驳自己全面所说的吗?) 驱动问题不是太多问题。 浏览器也不是什么问题 (主要是扩展性好, 很多东西都好说,只是他们愿不愿意)。每个东西都有适应的地方,也不适合的地方。 我上面还有几个问题呢。 的确存在。 当然我没说动态密码要不得。 其实很好的优点,就是方便性。 针对时间跑偏: 动态口令机制,令牌里内置了时间发生器,采用的是世界标准时间,走时比较准确,而动态口令牌验证服务器采用的系统主机时间,问题在这个地方。 当一个令牌中的时间与服务器的时间偏差大于3分钟时,用户认证时就会产生错误,因此当令牌经常使用时,服务器会自动计算令牌和服务器的偏差,并记录在服务器中 现象:新加入的令牌,就需要进行时间同步。操作是连续向服务器输入连续两次CODE(间隔一分钟) 问题:服务器根据这两个CODE怎么算出时间差的? 分析:密钥在令牌上是事先写入的。服务器上是通过密钥文件导入的。因此服务器、令牌都知道密钥。服务器收到CODE后通过后台的密钥逆向算出令牌的时间,需要两次CODE才能。 对策: 1. 服务器要做NTP,这样就不会出现服务器时间偏差比较大的问题了。 2. 时间偏差可以定义,普遍是3分钟,这样也有一个容忍。 3. 验证CODE时,服务器会根据种子,当前时间和定义的偏差值计算出一个CODE区间。只要提交的CODE落在这个区间中,那么验证就通过,否则失败。 4. 所以,新令牌加入不是同步时间,是同步服务器计算CODE的起点。以后如果出现偏差的同步也是同样的方式。 动态口令牌与USB KEY都是双因素身份认证工具。 其实USB KEY在有数据传输的时候做校验有优势,因为它有数字签名功能,防止传输数据被串改,如网银划账。 动态口令牌在单纯密码验证会好,确保安全同时也享受到便捷,比如各种系统登录,ERP/VPN/ Windows域认证。 如果您到企业做个实施,您大概认同我的观点,以上都是我在做实施中的经验,不是乱说的。 我喜欢和您展开这样的探讨,希望继续沟通,任何产品无法一棍子打死,各有千秋。 |
| 返回顶楼 | |
|
发表时间:2010-02-24
哈哈, 我也比较喜欢这样讨论。
希望其他人也能加入就好了。 |
| 返回顶楼 | |
