谈网银和USB Key (四)

最新推荐文章于 2020-05-15 22:31:07 发布
最新推荐文章于 2020-05-15 22:31:07 发布
阅读量277 收藏
点赞数
分类专栏: 集成安全 文章标签: 网络应用 生物
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_19953/article/details/81922608
版权

谈网银和USB Key (四)

 

转自:http://apex.ncksoft.com/archives/162

本文一些内容纯属YY,如有雷同,乃是人品爆发。

好了,各位同学,现在我们已经知道黑客无所不在,无所不用其极,目标就是我们网上银行的存款,或者信用卡里的额度。前文《谈谈网银和USB Key (三) 》已经简要描述了目前的USB Key的潜在不安全因素,现在我们就来看看如何应对。

关于键盘木马,有一些“软”的方法可以在一定程度上进行遏止。例如“软键盘”,就是不再让用户通过键盘来输入USB Key的个人识别码(PIN码),而是在屏幕上显示一个虚拟键盘,用户需要通过鼠标点击虚拟按键来输入PIN码。事实上不仅仅是USB Key的PIN码输入采用这种方式,一些网银在不使用USB Key的,但是又需要更高级别安全性的一些地方,也采用“页面虚拟键盘”的方式,例如建行网银的登录页面就是这样的设计。还有一些USB Key的提供商也在键盘驱动上做文章:黑客不是想截取我的输入吗?好,我让你截个够!当进入PIN码输入状态的时候,底层键盘过滤驱动就自动产生无数的按 键信息发送给上层软件,將真正的用户输入淹没在极大量的随机击键事件中,让键盘木马难以得知哪些是真的用户输入,哪些是假的。当然,上层软件知道其中的猫 腻,可以从杂乱的数据中滤出真正的用户输入。

然而,这些方法都是治标不治本的,因为要完成持有者身份验证,就要將PIN码发送给USB Key,这PIN码总归会出现在电脑的内存中,这些方法只能够在一定程度上增加黑客破解的难度而已。

好了,我们不说这些小儿科的应对方法了,要真正提高USB Key的安全程度,就需要从USB Key的硬件使用方式上入手。

对付键盘木马这种攻击方式,根本的解决方法就是根本不用输入PIN码。嗯,不输入PIN码,那么USB Key怎么知道我就是合法持有者呢?别着急,我们有生物识别技术啊,说白了,最常见的就是指纹识别了。在USB Key上集成一块指纹扫描装置,当需要验证持有者身份的时候,就刷一下指纹,OK,验证通过,可以转帐了,这比记一个USB Key的PIN码还方便,不是吗。而且,指纹的扫描、特征比对都是在USB Key内部完成,根本不与电脑发生任何关系,这就让黑客无计可施了。这样的“指纹USB Key”已经出现在市场上了,北京农村商业银行的“金凤凰网银”就采用了这样的指纹USB Key。

不过并非只要是指纹USB Key就一定安全,如果USB Key上的指纹扫描与识别没有很好的有机结合的话,其中仍然是有漏洞的,例如,如果把指纹扫描的数据传回电脑,由电脑进行指纹特征信息的比对,或者再由电 脑將扫描的数据或者特征信息送回USB Key进行处理,黑客就有可能截取到指纹扫描得到的数据,进行“数据重放式攻击”。所以,安全的USB Key一定是由USB Key自己完成整个指纹扫描、特征值提取与比对的全过程的。

然而,指纹USB Key也有其缺点,就是技术含量高,但是成本也高。就目前为止,国内唯一一家能够提供指纹USB Key的厂商是北京飞天诚信科技有限公司。要想指纹USB Key能够广泛的应用起来,还需要时间。

那么,將键盘和USB Key结合起来,使得PIN码不用通过电脑传到USB Key,不也一样安全吗?是的,带键盘输入的USB Key也比较安全,但是请低头看看你的键盘右侧的数字键区域,只是加入0~9这几个数字键,就需要增加不少的体积,这对于需要满足“随身携带”这一特点的 USB Key来说,体积实在是大了些,不够实用。不过我想,随着技术的发展,超薄键盘、折叠式键盘、投影式虚拟键盘可能会改变这一状况。嘿嘿,想想投影式虚拟键 盘,有点科幻的味道,不过这一天的到来应该不远了~~~

好了,成本高不合适,体积大也不合适,既然目前没有从根本上解决问题的合适的方法,我们就换个思路吧,不要忘了,一切安全性都是相对的 ~~~

既然黑客总是能够通过各种手段得到USB Key的PIN码,然后在用户没有发觉的情况下完成网上交易,那么,如果我们能够在每次需要USB Key来证明自己身份的时候,需要用户手工干预一下才能完成验证过程,是不是就能够解决这个“不知不觉中 ” 账户里的钱就不翼而飞的问题呢?事实上这样的USB Key已经出现了,国内的几家主要的USB Key厂商都纷纷推出了这种“按钮USB Key”。这种类型的USB Key比普通USB Key多了一个按键,当需要转帐的时候,就需要用户按一下按键,否则USB Key拒绝使用内置的密钥来证明你的身份(进行数字签名),也就无法完成网上交易。有了这个按钮式USB Key,你的每一次网上交易就明明白白了:只要有网上交易,一定是有人明确的按了这个按钮,而只要这个USB Key没有丢失,那就一定是你自己干的了。即使黑客得到你的PIN码,他也无法通过网络伸手到你的电脑前按一下这个按钮吧!!

好了,按钮式USB Key,这下安全了~~~

安全了?安全了?我带上黑客的帽子,在一边得意的笑,我得儿意的笑,我得儿意的笑~~~~

欲知“按钮USB Key”为何不安全,又如何应对其安全漏洞,请关注本文连载之五。

iteye_19953
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
USB Token 3000
07-03
USB Token 3000 eps3k_stdSimpChinese
usb智能读卡器驱动usb_token_32_win7x64.rar
04-08
usb智能读卡器驱动,usb_token32驱动,支持ePassNG证书登陆等。 智能卡驱动,ePass Token。
usb key 开发(二)
abc
05-21 3873
usb key 开发(二) 唯一ID 和 出厂编码 不一样 //推荐加密方案:生成随机数,让锁做加密运算,同时在程序中使用算法代码做同样的加密运算,然后进行比较判断。 //使用从储存器读取相应数据的方式检查是否存在指定的加密锁 //使用增强算法二检查是否存在对应的加密锁 程序中 放置好 明文和密文A 然后 使用 ukey 加密明文 得到密文B 最后比较 加密A 和密文B 看...
USBKEY全解析---概要介绍
热门推荐
洋仔专栏
05-15 1万+
前言 USBKey简单的理解就是数字证书的容器,如果用杯子和水的关系就是:USBKEY是杯子、数字证书是水,USBKEY大部分人都见过,以前行发的比较多,虽然名字各不相同:工行的叫u盾,农行称:K宝,样子都大差不差,例如下图: 最近几年随着支付宝和微信的支付习惯,用户都不习惯带硬件产品(去介质化),行端USBKEY使用人群越来越VIP化,...
网上行利用USBKey加密、认证的装置
11-23
本实用新型揭露的一种网上行利用USBKey加密、认证的装置,包括:一个USBKey,具有唯一的序列号,用于存放识别客户身份的数字证书和私人密钥的数字证书,所述USBKey的序列号与客户信息相对应;一个联网计算机,具有...
徽商行网上USBKey管理工具及驱动全面版
08-05
徽商行驱动程序及管理工具是一款徽商行网上USB Key管理工具及驱动,徽商USBKEY客户端安全套件是基于PKI体系,并采用智能卡技术保证安全性的网络安全产品。它采用USBKEY作为存储和运算介质,可使证书和...
海泰方圆usbkey驱动 官方免费版
07-14
海泰方圆UKey驱动是一款安徽农金网上行安全驱动软件,为用户进行提供网上行安全保障功能,让你更加安全、方便地进行金融业务办理,有需要的用户欢迎下载!温馨提示1、请不要在网吧、图书馆等公共场所的计算机上...
USBKEY 驱动 网上行 专业
08-22
用于网上行的USB KEY的驱动, 也可以用于程序爱好做研究用, 谢谢大家下载
Usbkey身份认证
01-09
为了保障用户资金安全,各大行采取了一系列措施,如提升用户安全意识、安装反病毒软件以及采用硬件认证手段,如Usbkey和动态口令令牌。Usbkey的私钥存储在密码保护的硬件中,理论上无法被非法读取,极大地提高了...
usbkey(加密狗)读取
08-30
usbkey读取.....................
html身份认证Ukey
03-31
网页访问本地U盘验证程序 本程序是经科因软件团队测试通过后,进行基本封装发布的控件,可供需要身份认证的软件系统嵌入调用。作用是以本地U盘作为身份认证工具,通过网页访问进行验证, 当验证匹配成功,则允许相应操作权限,匹配失败,则禁止操作。本程序 包括两个内容一是 本地制作验证U盘二是 网页调用控件对所制作的U盘进行验证 本地制作验证盘 是在本地通过html完成的网页调用控件对所制作的U盘进行验证 是在浏览器上进行的 ,以此表明该程序是可用的本地制作验证盘 本资源已包括(html + 控件)网页调用控件对所制作的U盘进行验证
PassBay USB KEY JSP示范
08-11
Jsp使用UKey示范代码,UKey 使用的是 PassBay USB KEY WEBAC
飞天3000国密key驱动
11-19
飞天3000国密key驱动,亲自测试,dll可用
Ukey,网页,web demo访问U盘用户验证
cvvn_live_cn的博客
05-27 5285
Ukey用户使用说明     安装方法,插入本Ukey,找到可执行程序点击 点击安装服务 ,如下图 本服务可卸载,也可卸载后再次安装. 安装后需要重启电脑或手工重启此服务. 重启此服务如下图  本Ukey上附有发布运行所需文件,应做好备份.建议直接在本地备份目录下运行,运行文件存于Release目录下,该目录下的UKey_Service_Install是可执行的
UKEY开发,vue+websocket实现用户登录UKEY认证
qq_41756580的博客
04-24 9605
首先,在开始开发之前,先了解一下UKEY的用户登录流程,我前面整理了一些登录的流程: 点这里查看登录流程:传送门 OK,了解了登录流程,我们来开始看看在vue中是怎么样进行实际的开发的。 首先你需要在导航收尾中初始化websocket的连接: router.beforeEach((to, from, next) => { // 初始化后后能够监听UKEY拔插事件 ...
USB Key身份认证产品的产生与发展
挨踢小诸葛 ---一为振兴中国软件产业尽一份微薄之力
06-17 619
随着互联网和电子商务的发展,USB Key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所认识和使用。本文对USB Key的产生和未来的发展趋势作了一个简单的介绍。  目前市场上见到的USB Key 按照硬件芯片不同可以分为使用智能卡芯片的和不使用智能卡芯片两种,按照CPU是否内置加密算法又可以分为带算法和不带算法的USB Key。一般我们把不带加密算法的称为存储型USB
java 读写usbkey
最新发布
01-04
总的来说,要在Java中实现对USB Key的读写操作,首先需要获取USB Key读卡器对象,然后通过APDU命令与USB Key进行通信,最后处理USB Key的数据和异常情况。通过以上方式,就可以在Java中实现对USB Key的读写操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值