一次性密碼不敵網釣攻擊?
連這種做法都不敵. 果然是 "道高一尺 魔高一丈"... (抖)..
以下完整轉載自: 一次性密碼不敵網釣攻擊?
記者洪夢霜╱台北報導 10/01/2005
用以解決密碼易遭破解的一次性密碼(One-Time Password)技術,似乎無法招架網路釣魚攻擊手法。
資訊安全廠商表示,一次性密碼無法阻擋網路釣魚(Phishing)攻擊手法。
一次性密碼(One-time password, OTP)的產生方式,主要是以時間差做為伺服器與密碼產生器的同步條件,密碼產出器在使用者有登入需求時,將亂數產出只可使用一次的密碼,用以解決密碼容易遭到破解的問題。
現有提供一次性密碼技術的廠商包括RSA、Authenex、ActiveCard等。
提供一次性密碼技術的資訊安全廠商Authenex亞洲區首席代表歐陽宏明表示,網路釣魚攻擊將可利用偽造網頁的方式,竊取使用者所登錄的使用者名稱及密碼,即便是標榜單次使用的OTP也難逃遭盜用的命運。
OTP一般分為計次使用以及計時使用兩種,計次使用的OTP產出後,可在不限時間內使用;計時使用的OTP則可設定密碼有效時間,從30秒到兩分鐘不等。歐陽宏明說,當使用者登入釣魚攻擊的假網頁後,駭客將可在密碼有效期間內登入認證伺服器,獲取所想要的個人資訊或進行不當行為。
Authenex便以推出內含多種認證方式的單一權杖(Token)做為應對,包括OTP、PKI(Public Key Infrastructure,公共金鑰基礎架設),以及Challenge and response(挑戰回答)認證協定,等三種認證方式。台灣區客戶以銀行、海運以及航空業者為主。
同樣提供OTP安全產品的RSA台灣區技術顧問黃惠美則表示,OTP技術的確有遭受網路釣魚攻擊的可能性,但她強調,受到攻擊的機率並不高,由於台灣地區採用OTP做為商業用認證方案的比例仍低,截至目前為止台灣地區尚未有相關災情傳出。
「就像所有的安全解決方案一樣,使用者必需要使用的方便性以及安全性之間做取捨。」她指出,OTP可限制有效時間的長短,以提升遭破解使用的難度,此外,搭配OTP與憑證等多種認證方式的交互應用也將有助於安全性的提升,例如以OTP登入瀏覽股價、帳戶餘額,若要進行交易則必需以憑證做為確認的作業方式,將可避免使用者在金錢交易上的實質損失。
RSA現有以OTP做為商業解決方案者以B&Q以及寶來證券為主要客戶,其中B&Q用於上下游採購交易平台認證之用;寶來證券則提供VIP客戶交易之用,用戶人數各約一萬多人。