一次性密碼不敵網釣攻擊?
連這種做法都不敵. 果然是 "道高一尺 魔高一丈"... (抖)..
以下完整轉載自: 一次性密碼不敵網釣攻擊?
記者洪夢霜╱台北報導 10/01/2005
用以解決密碼易遭破解的一次性密碼(One-Time Password)技術,似乎無法招架網路釣魚攻擊手法。
資訊安全廠商表示,一次性密碼無法阻擋網路釣魚(Phishing)攻擊手法。
一次性密碼(One-time password, OTP)的產生方式,主要是以時間差做為伺服器與密碼產生器的同步條件,密碼產出器在使用者有登入需求時,將亂數產出只可使用一次的密碼,用以解決密碼容易遭到破解的問題。
現有提供一次性密碼技術的廠商包括RSA、Authenex、ActiveCard等。
提供一次性密碼技術的資訊安全廠商Authenex亞洲區首席代表歐陽宏明表示,網路釣魚攻擊將可利用偽造網頁的方式,竊取使用者所登錄的使用者名稱及密碼,即便是標榜單次使用的OTP也難逃遭盜用的命運。
OTP一般分為計次使用以及計時使用兩種,計次使用的OTP產出後,可在不限時間內使用;計時使用的OTP則可設定密碼有效時間,從30秒到兩分鐘不等。歐陽宏明說,當使用者登入釣魚攻擊的假網頁後,駭客將可在密碼有效期間內登入認證伺服器,獲取所想要的個人資訊或進行不當行為。
Authenex便以推出內含多種認證方式的單一權杖(Token)做為應對,包括OTP、PKI(Public Key Infrastructure,公共金鑰基礎架設),以及Challenge and response(挑戰回答)認證協定,等三種認證方式。台灣區客戶以銀行、海運以及航空業者為主。
同樣提供OTP安全產品的RSA台灣區技術顧問黃惠美則表示,OTP技術的確有遭受網路釣魚攻擊的可能性,但她強調,受到攻擊的機率並不高,由於台灣地區採用OTP做為商業用認證方案的比例仍低,截至目前為止台灣地區尚未有相關災情傳出。
「就像所有的安全解決方案一樣,使用者必需要使用的方便性以及安全性之間做取捨。」她指出,OTP可限制有效時間的長短,以提升遭破解使用的難度,此外,搭配OTP與憑證等多種認證方式的交互應用也將有助於安全性的提升,例如以OTP登入瀏覽股價、帳戶餘額,若要進行交易則必需以憑證做為確認的作業方式,將可避免使用者在金錢交易上的實質損失。
RSA現有以OTP做為商業解決方案者以B&Q以及寶來證券為主要客戶,其中B&Q用於上下游採購交易平台認證之用;寶來證券則提供VIP客戶交易之用,用戶人數各約一萬多人。
真正的一次性密码问世了!
“北京看兰电脑软件开发有限公司”与公安部第三研究所下属的“国家防计算机入侵与反病毒研究中心”联合开发的“酷安口令认证系统”具有完全的自主知识产权,已经通过了国家权威检测,并取得了销售许可证。
该产品主要用于需要密码进行身份认证的领域,具有成本低廉、安全性极高、没有算法(不可破解)、易于与其它应用软件结合、布置成本极低等特点。
该产品采用挑战/问答方式,每次的挑战问题(序列号)是随机选取的,连使用者本人都不知道自己下一次使用的密码是多少。
该产品除了具有目前市场上的各种动态密码的优点外,更可以防止木马窃取(即使窃取者得到了某次的密码,在使用其登陆被窃者帐户时,也是没有用的,因为每次登陆的挑战问题是随机变化的;如果在帐户所有者使用某个密码登陆成功后,无论谁再使用这个密码,也是无效的,因为这种密码是抛弃型的,登陆成功后,认证服务器立即将该密码作废,永不再用),安全性已经远远超过了同类产品,并且成本是目前同类产品中最低的。
有兴趣的人可以和我联系,我是这个产品的市场负责人。
我的EMAIL:[email protected]