Li HuaWei
msgbartop
People, even more than things, have to be restored, renewed, revived, reclaimed and redeemed. Never throw out anybody!
msgbarbottom

09 Dec 07 什么是动态口令?

1口令
    口令又称为密码(Password), 被用来验证用户对系统访问的身份。口令一般分为两种,一种是一经设置固定不变的静态口令;一种是不确定随机变化的动态口令。静态口令在使用过程中存在较多的安全问题,为解决这些安全问题,安全专家提出了动态口令的安全机制。

2静态口令
    静态口令又称固定口令,常用来保护对计算资源的访问。为记忆方便,安全意识差的用户经常会使用诸如生日、电话或者规则数字串(“1234”)等来作为静态口令。例如,登录Windows操作系统时输入的密码、登录邮件服务器的密码等都属于静态口令。

    静态口令在使用过程中存在许多安全问题,主要有窥探、字典攻击、穷举尝试、垃圾搜索、认证信息截取/重放、网络数据流窃听等。

2.1窥探
恶意攻击者利用与被攻击系统接近的机会,安装针孔监视器或亲自窥探合法用户输入口令的过程,以得到口令。有时也会出现恶意攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。

2.2字典攻击
多数用户为便于记忆,习惯使用有意义的单词、生日、电话号码或数字作为密码,攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符并且对口令位数进行最低长度限制,以增加口令的安全性。

2.3穷举尝试(Brute Force)
穷剧尝试(Brute Force)是最全面的字典攻击,它使用口令字符串的全集作为字典。如果用户的口令较短,很容易被穷举出来,因而大多数系统都建议用户使用较长位数的口令。

2.4垃圾搜索
垃圾搜索是攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的口令信息。如写在纸上的或保存于电子文档的口令,经常成为垃圾搜索的攻击对象。

2.5认证信息截取/重放(Record/Replay)
有些系统会将口令相关信息简单加密后进行传输。攻击者此时会使用木马、侦听程式截取用户口令,并利用口令的重放机制来获得对系统的登录权利。

2.6网络数据流窃听(Sniffer)
由于口令信息要通过网络传递,攻击者会使用Sniffer等窃听软件来监视、分辨网络数据报,从而提取用户名和口令。

以上介绍的几种安全问题,可以通过经常更换密码和增加密码长度来增强口令安全性,同时也给用户带来了记忆和操作的麻烦。

3动态口令
动态口令又叫动态令牌、动态密码,英文名为(One-Time Password :OTP)。

动态口令的主要原理是:用户登录前,依据用户私人身份信息并引入不确定因素产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程的安全性。

例如:

1.    登录前,首先产生登录用的动态口令:

动态口令 = MD5(用户私密信息 + 用户名 + 不确定因子)。

2.    网络传输动态口令。

3.    系统收到动态口令后,做验算验证用户合法性:

验算口令 = MD5(用户私密信息 + 用户名 + 不确定因子)。

当动态口令 与 验算口令一致后即可认为用户是合法的。  

    动态口令依据不确定因子模式可以分为:口令序列、挑战/应答、时间同步、事件同步等几种;依据生成方式可以分为硬件生成、软件生成、IC卡等几种。

3.1不确定因子模式
3.1.1口令序列(S/KEY)
口令为一个单向的前后相关的序列,系统只用记录第 N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。

3.1.2挑战/应答(CRYPTOCard)
用户要求登录时,系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。

3.1.3时间同步(SecureID)
以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。在SecureID 产品中,对时间误差的容忍可达±1分钟。

3.1.4事件同步(Safe Word)
这种方法以挑战/回答方式为基础,将单向的前后相关序列作为系统的挑战信息,以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后,需要重新同步。

3.2 生成方式
3.2.1硬件生成(Token Card)
用类似计算器的小卡片计算一次性口令。对于挑战/回答方式,该卡片配备有数字按键,便于输入挑战值;对于时间同步方式,该卡片每隔一段时间就会重新计算口令。

硬件的样式有多种,有时做成钥匙链状,有时是卡片状。某些卡片状的还带有PIN保护装置。

3.2.2 软件生成(Soft Token)
用软件代替硬件,某些软件还能够限定用户登录的地点。

3.2.2 IC式
在IC卡上存储用户的秘密信息,这样用户在登录时就不用记忆自己的秘密口令了。

该种动态口令应用范围也较广阔,主要应用在大型企业的内外网、网络游戏等。

Tags:

Filed in Internet
« Lighttpd Use
Password strength checker »


Reader's Comments

  1. Li HuaWei » HSBC动态口令器 | 15 Dec 2007 10:12 am

    [...] 这款是由HSBC推出的动态口令器可以在编码器的显示屏上生成一次性密码。而按下编码器上的一个按钮就可以生成新密码。这种编码器又被称为One Time Password(一次性密码,OTP)DisplayCard, [...]



Leave a Comment

sidebartop

Categories

sidebarbottom
sidebartop

Blogroll

sidebarbottom
sidebartop

Tag Cloud

sidebarbottom
© Li HuaWei / Hosting Sponsor: DreamHost