1. 什么是动态口令?
狭义的动态口令是根据专门的算法生成一个不可预测的随机数字组合(One-time Password),口令一次有效。
用户进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。
动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题,导致用户的财产或者资料的损失。
2.传统的静态密码有何缺点?
静态密码主要是指用户的账户密码、查询密码等基本固定的数字密码。使用静态密码在使用过程中通常存在以下安全隐患:
(1)为了便于记忆,用户多选择生日、电话号码等作为密码,不法分子可以通过机器人程序不断尝试并且很容易破译密码;
(2)一个密码多次使用,容易被不法分子采用截取/重放的方式,对经过简单加密后传输的认证信息进行分辨,推算出用户的密码,造成无意泄露;
(3)由于当前通过网络传输的认证信息多数是未经加密的明文,不法分子可以窃听网络数据流,分辨出认证信息,从网上或电话线上截获密码,轻易获得用户的关键信息;
(4)不法分子常常利用窥探、诱骗等手段获取用户的密码。
3、目前解决静态密码安全问题的手段有哪些?除了动态口令以外,其他手段有何优缺点?
目前主要有动态口令、数字证书、USB移动证书等方式。
(1)数字证书:数字证书认证技术采用加密传输和数字签名技术,可以较好的保障网上信息安全。数字证书的局限是只能在己安装证书的电脑上进行操作,使用不方便。
(2)USB移动证书:将用户的密钥或数字证书存储在USB Key硬件设备中,利用USB Key 内置的密码学算法实现对用户身份的认证。USB Key的局限是只能在己安装相应驱动程序的电脑上进行操作,在其他没有 USB 插口的设备上则无法使用,使用范围相对狭窄。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在安全隐患。
硬件令牌
手机令牌
桌面令牌
短信令牌
刮刮卡
5. 动态口令相比USB KEY的优势
比较项目 | 动态令牌 | USB KEY |
物理隔绝 | 无需任何通信 | 插在电脑上 |
移动办公 | 动态令牌体积小,不需要跟电脑联接安装,可以很方便的实现移动办公。 | 有些企业安全要求严格的,禁用电脑的USB口。一些公共场所也不能使用,如:网吧,酒店。 |
系统扩展性 | 非常容易扩展,使用范围广。 一个认证系统可以使用在VPN,Windows域管理,OA,ERP等,多个系统可以共用一个动态令牌。 | 扩展性一般。 只能用在指定的系统。 |
产品安全性 | 非常高 60秒口令变化一次 口令长度达到8位 口令随机不可猜测
| 比较高 USB-Key里只是保存一个证书的标识字符串,一些厂家的底端的USB-Key产品,可以被复制。 USB-key里的标识串不会改变,如果在网络传输入过程中,被人盗取的话,有机能该标识串会被破解。 使用完后,USB-Key如果忘记拨出电脑,有被人拾走盗用风险。 |
易用性 | 非常方便 不需安装,对使用者无特别的电脑知识要求。 产品小巧,方便携带。 | 不太方便 需要安装,对于使用者需要有一定的电脑知识。 每次使用都需要插入电脑,现在好多电脑的USB口都在主机后面,不方便操作,用完后还容易忘记拨出。 |
6. 产品应用
应用环境 | 详细描述 |
VPN登录认证 | 支持标准的RADIUS协议的VPN设备,都可使用动态口令。 VPN设备厂家主要有Cisco 、3COM、Juniper 、Netgear、Watchguard、深信服、赛蓝、天融信等 |
OA(HR,CRM) | 用友、金蝶、蓝凌、金和、协达等 |
ERP | SAP、Oracle、金蝶、用友 |
操作系统 开机密码 | 开机密码 |
电子商务,网上支付 | 应用于B2B,B2C的账号的密码安全管理 |
网络游戏 | 应用于网络游戏登录、道具交易 |
网络银行(网银) | 应用于网上银行账户登录、支付认证 |
客户定制开发 | 根据客户的应用环境不同,需求差异化进行方案定制 |
7. 市场分析
动态口令牌的市场非常广阔,金融行业只是它的应用领域之一,目前中国银行在终端客户进行大面积的使用。
(1) 高端市场,例如:政府、军队、国家机要部门,他们采用这种技术不考虑成本,安全是第一位的,非常强调产品的安全性、可控性、稳定性。
(2) 大企业内部管理。一个员工可以采用动态口令技术进入公司的内部网络,进行合法操作。此外,对于金融或证券机构的内部人员,他们通过动态口令来确认用户的身份与访问权限,这样就可以防止内部用户盗用其他人的密码,以其他人的身份进行非法操作。据了解,全球500 强企业80 %以上,采用了动态口令身份认证技术,以保护企业信息资产安全。
(3) 大众市场。主要是指金融、证券、网络游戏,例如:银行可以给其储户提供动态令牌,提高网上银行、网上证券、电子商务的安全性,目前在中国银行和兴业银行应用;瑞士银行、花旗、汇丰、荷兰等境外金融机构,都采用动态口令身份认证技术保护账户信息及资金安全。国内主流网游公司如盛大、网易、巨人、九城等都是用了动态令牌保护玩家账号以及虚拟财产的安全。
信息系统的安全问题已经摆上了很多公司的议事日程,国内证券行业、金融行业的很多公司已经进入了相关系统的调研实施阶段。