|
该帖已经被评为隐藏帖
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2010-02-25
最后修改:2010-02-25
typedata 写道 USBKey就不需要电池,这一点就比动态口令牌强多了
动态口令牌 和 USB KEY都属于硬件产品,理论上来讲USB KEY不用电池寿命是终身,但是实际应用中受到制作工艺、使用习惯(需要插入USB口)、更新等方面的几个因素,一般USB KEY在使用3-5年左右也需要进行更替。 |
| 返回顶楼 | |
|
发表时间:2010-03-04
动态口令牌在使用过程中也存在登陆风险,因为其密码在一段时间内都是有效的,并不是一次密码使用后就做费,所以在此时间间隔内一样可以再次使用此密码。同样普通的USBKEY也不是绝对安全,同样存在插在电脑上被黑客非法使用的风险,现在有些银行已经在使用每次交易需要用户按键存认的USBKEY,还有液晶按键USBKEY,每次交易的数据都会在液晶上显示,用户确认后才可以交易,但是此种KEY成本也比较高。
现在USBKEY的做工越来越好,而且平常又不是经常使用,如果银行系统不变的话,使用3-5年,或者更久都没有问题。 一般USBKEY都有密码保护,并且有错误次数到达后自动锁定机制,所有即使丢失也不会有风险。除非被知道密码的“拿”走。呵呵。 |
| 返回顶楼 | |
|
发表时间:2010-03-05
最后修改:2010-03-05
hai3qing 写道 动态口令牌在使用过程中也存在登陆风险,因为其密码在一段时间内都是有效的,并不是一次密码使用后就做费,所以在此时间间隔内一样可以再次使用此密码。同样普通的USBKEY也不是绝对安全,同样存在插在电脑上被黑客非法使用的风险,现在有些银行已经在使用每次交易需要用户按键存认的USBKEY,还有液晶按键USBKEY,每次交易的数据都会在液晶上显示,用户确认后才可以交易,但是此种KEY成本也比较高。
现在USBKEY的做工越来越好,而且平常又不是经常使用,如果银行系统不变的话,使用3-5年,或者更久都没有问题。 一般USBKEY都有密码保护,并且有错误次数到达后自动锁定机制,所有即使丢失也不会有风险。除非被知道密码的“拿”走。呵呵。 针对 并不是一次密码使用后就做费, 动态口令牌目前基本都是都是采用一次一密的形式,这是通过动态密码身份认证系统来控制,一次认证之后该密码作废! 目前动态口令牌的使用寿命(与电池相关),现在也能做到3-5年,故在使用寿命上与USB KEY基本相同。 |
| 返回顶楼 | |
|
发表时间:2010-03-05
呃,强力围观能左右互搏的高手。对静态口令的双重标准真让我感叹。
如果按照你说的一次后作废,那么动态口令牌天生限制每分钟1次操作。 |
| 返回顶楼 | |
|
发表时间:2010-03-05
最后修改:2010-03-05
miaow 写道 呃,强力围观能左右互搏的高手。对静态口令的双重标准真让我感叹。
如果按照你说的一次后作废,那么动态口令牌天生限制每分钟1次操作。 起码现在的产品是这样的。 例如魔兽世界, 登录了一次, 你就推出(一分钟内), 然后重新登录,那么就要等下一个密码了。 这个也是为了防止黑客盗用密码 (如果你正确登录进去,刚才的动态密码就是废密码了)。 但是也存在风险(如果被拿到了动态密码-模拟界面, 你就要等下一个密码才能进去管理页面了)。 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) -------------- 这两种东西在不同的领域各有各的作用。 (安全性方面一定是UseKey比较动态密码安全的) |
| 返回顶楼 | |
|
发表时间:2010-03-05
最后修改:2010-03-05
xiaoyu 写道 miaow 写道 呃,强力围观能左右互搏的高手。对静态口令的双重标准真让我感叹。
如果按照你说的一次后作废,那么动态口令牌天生限制每分钟1次操作。 起码现在的产品是这样的。 例如魔兽世界, 登录了一次, 你就推出(一分钟内), 然后重新登录,那么就要等下一个密码了。 这个也是为了防止黑客盗用密码 (如果你正确登录进去,刚才的动态密码就是废密码了)。 但是也存在风险(如果被拿到了动态密码-模拟界面, 你就要等下一个密码才能进去管理页面了)。 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) -------------- 这两种东西在不同的领域各有各的作用。 (安全性方面一定是UseKey比较动态密码安全的) 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) 这样的说法有点牵强了. (1)如果1分钟一个密码,都被模拟界面来攻击,那么静态密码基本就无效。 (2)现在网银动态密码验证都会通过SSL,你觉得模拟界面有可行性么,或者您把模拟界面截获的流程说明一下? |
| 返回顶楼 | |
|
发表时间:2010-03-06
ningdun 写道 xiaoyu 写道 miaow 写道 呃,强力围观能左右互搏的高手。对静态口令的双重标准真让我感叹。
如果按照你说的一次后作废,那么动态口令牌天生限制每分钟1次操作。 起码现在的产品是这样的。 例如魔兽世界, 登录了一次, 你就推出(一分钟内), 然后重新登录,那么就要等下一个密码了。 这个也是为了防止黑客盗用密码 (如果你正确登录进去,刚才的动态密码就是废密码了)。 但是也存在风险(如果被拿到了动态密码-模拟界面, 你就要等下一个密码才能进去管理页面了)。 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) -------------- 这两种东西在不同的领域各有各的作用。 (安全性方面一定是UseKey比较动态密码安全的) 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) 这样的说法有点牵强了. (1)如果1分钟一个密码,都被模拟界面来攻击,那么静态密码基本就无效。 (2)现在网银动态密码验证都会通过SSL,你觉得模拟界面有可行性么,或者您把模拟界面截获的流程说明一下? 問題就是魔獸世界就是這樣的。。。。被盜的(活生生的例子)。 如果能用SSL證書, 何必再用動態密碼呢。 |
| 返回顶楼 | |
|
发表时间:2010-03-06
xiaoyu 写道 ningdun 写道 xiaoyu 写道 miaow 写道 呃,强力围观能左右互搏的高手。对静态口令的双重标准真让我感叹。
如果按照你说的一次后作废,那么动态口令牌天生限制每分钟1次操作。 起码现在的产品是这样的。 例如魔兽世界, 登录了一次, 你就推出(一分钟内), 然后重新登录,那么就要等下一个密码了。 这个也是为了防止黑客盗用密码 (如果你正确登录进去,刚才的动态密码就是废密码了)。 但是也存在风险(如果被拿到了动态密码-模拟界面, 你就要等下一个密码才能进去管理页面了)。 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) -------------- 这两种东西在不同的领域各有各的作用。 (安全性方面一定是UseKey比较动态密码安全的) 所以为了减低风险,你就要输入动态密码后, 还差3秒左右再点确定(哈哈,你愿意去做吗?) 这样的说法有点牵强了. (1)如果1分钟一个密码,都被模拟界面来攻击,那么静态密码基本就无效。 (2)现在网银动态密码验证都会通过SSL,你觉得模拟界面有可行性么,或者您把模拟界面截获的流程说明一下? 問題就是魔獸世界就是這樣的。。。。被盜的(活生生的例子)。 如果能用SSL證書, 何必再用動態密碼呢。 烦请将被盗的例子给大家做一个详细分析。 |
| 返回顶楼 | |
|
发表时间:2010-03-06
請搜索 : 將軍令 被盜 (鎖定網站: bbs.ngacn.cc)
|
| 返回顶楼 | |
|
发表时间:2010-03-06
最后修改:2010-03-06
上面讲的将军令被盗那是一种极端情况,在极端情况下任何技术都有其漏洞,下面就USB Key可能的安全问题,包括技术本身和用户使用习惯:
(1)硬件PIN码就绝对安全吗? 目前的大多数银行使用的USB Key的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key是否还能保证安全交易呢?我看未必,因为此时USB Key的PIN码已经完全可能会被黑客拦截,当用户操作完一次USB Key后,假如没有立即拔出USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时USB Key以及PIN码都可以验证通过。 在现实使用USB KEY的例子中,尤其是机关、企业应用,网银不多。往往很多人的USB KEY会一直插在电脑上(忘记或者为了方便)而不拔出,而动态口令牌在现实中不可能出现这种问题。 (2) 数字证书 公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?尤其是提供给企业使用的USB KEY,一些证书并非第三方发放的,这就让PKI安全认证大打折扣了。 愚见,评估一个安全产品应取决于2个方面: (1)技术本身的安全性能。 (2)使用安全产品的用户习惯(而USB KEY是需要联机的,所以现实使用就会碰到忘记拔出和为了方便不愿拔出的情况,动态口令牌是与电脑隔离的,所以没有给用户培养以上习惯的土壤) |
| 返回顶楼 | |
