浅析USB KEY 与动态口令牌两种认证方式

从引入第三方证据的角度，公私密钥暂时还是无法替代的。这个不用讨论吧。

USB key最大的问题是始终联机，而这是可以通过其他手段简单解决的。最简单的就是一个按钮开关。
当然还存在极端情况下瞬间伪造一个交易的问题，但是，动态口令同样存在这样的问题。

至于某同学认为一次使用就足够安全，无视攻击者完全可以不让真实交易通过只跑一个伪造交易的情况，更有趣的是单方面放SSL的作用，个人说话比较难听，真的是有辩品的嫌疑。

动态口令牌尤其优点，USB KEY也有其优点，而且他们都有非常适合的应用场景。

个人认为在思考一个产品的时候，需要将技术和用户习惯结合起来考虑，我不知道您提及的按钮开关，如果用户都遗忘了，是不是可能也会忘记使用开关呢，那么做一个开发的作用在哪？

这个开关的用处是按下的时候U KEY才起作用，不是切换开/关的状态。
对习惯把U KEY固定插好的人来说，让他们每次操作时候按一次按钮比看了号码再输入简单体贴多了。甚至时间长了变成条件反射。

现在讨论时这个话题，如果能条件反射话，你觉得是按下开关方便还是直接拔方便，遗忘就是针对那种不反射的人~~

只要想，业务上能找的办法总是很多的。
不反射就用不了，就这么简单。
为了避免有人捆住不放，可以用下降沿触发生效一次。
如果连这都做不了，这种人也没有数到差不多到时间再录入动态口令的智商。

真正原因是动态口令不能作为法律证据，USB KEY可以。
动态口令内部人员可以根据算法破解，USB KEY私钥即使是管理员也没办法取到。丢了只能挂失另外用新证书，所以比较安全，法律上也明确规定可以当作证据

（1）问题弄反了，现在解决的不是用不了的问题，而是解决用之后忘记拔的问题。

（2）动态口令1分钟一个密码，密码在网络上传输时密文，另外如果1分钟密码都无法保证安全，那么静态密码基本就无安全性可言，事实上您觉得呢？

众所周知，USB KEY是采用公钥机制，这点保证USB KEY在数据防篡改、签名方面有很重要的作用，而动态口令的主要是防止静态密码被盗而导致的信息安全隐患。

这两种技术解决的核心问题是不一样的。

目前互联网上安全问题，一是盗号，二是数据在网络中截获被篡改，相对来说绝大部分应用是由于盗号产生的问题，而数据防篡改在网络银行以及电子政务的公文传输中尤其重要。

因此在单纯考虑认证的场景，如网络游戏、QQ、VPN登录、交易密码的应用更多倾向动态口令，当然这是广义的动态口令，既有动态口令牌，也有短信密码，还有如工商银行的刮刮卡。

而在交易金额方面，电子政务的公文传输防抵篡改方面，数据签名显得尤为重要。


考虑到现有的USB KEY采用的静态密码登录机制，市面上会有一种将USB KEY和动态口令整合到一起的USB KEY产品。

动态电子口令令牌的原理是在服务器上的时间和令牌 单片机上的时间是完全一样的，而每一个令牌会有一个ID，利用OTP（one-time-password）算法，服务器端和单片机上根据相同的时间根据相同的id去算出的一次性密码就会是相同的。
当然之前会要做一个账号的绑定的过程。
刚好是我毕业设计的内容，回个贴吧。