身份认证的秘技——动态密码

摘自：《信息周刊》

在安全与效率的平衡之间，动态密码技术成为目前身份认证领域的热门话题。 -- 文/田强

      小张是上海一家外企的员工，习惯于在网上购买些小件物品，但不断见诸报端的黑客入侵和密码失窃事件让她对网上转账的安全性颇为怀疑。
      对网上银行安全性感到怀疑已经不是个别现象，中国金融认证中心（CFCA）联合全国10多家商业银行共同发起的“2005年CFCA网上银行调查”显示，网上银行的安全性是公众最关心的问题之一，有65.8%的被访者选择“安全性”作为考虑网上银行服务的首要因素。而安全性的基础是信息传递双方身份的真实性，在安全与效率的平衡之间，动态密码（Dynamic Password）技术成为身份认证领域的热门话题。
静态密码漏洞多
        将密码写在报事帖上挂在电脑旁边，这样的事情相信很多公司的员工都曾经为之。出于安全的要求，现在公司的安全策略普遍要求员工的登陆密码要定期更换，而且不能重复，这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆，员工往往会选择常用词或者号码作为密码，如果攻击者使用“字典攻击法”或者穷举尝试法来破译，很容易被穷举出来。亚略特生物识别技术公司技术平台负责人黄振杭说：“传统的账号加密码的形式，密码容易被猜中，容易忘记，也容易被盗。据统计，一个人平均下来要记15到20个密码。”静态密码的隐患显而易见，尤其是在证券、银行等行业，轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。
        为了解决静态密码的安全问题，目前银行普遍提供了USB移动证书。USB Key采用软硬件相结合一次一密的强双因子认证模式，是一种 USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 USB Key 内置的密码学算法实现对用户身份的认证。但是USB Key只能在己安装相应驱动程序的电脑上进行操作，在其他没有 USB 插口的设备上则无法使用，使用范围相对狭窄。另外由于必须连接电脑，在已经出现相应的木马病毒的情况下，仍然存在安全隐患。
双因子 双保险
      “目前网上客户对网上交易使用的密码的安全性没有信心。因为这些信息基本上是不改动的，很容易被网络犯罪分子劫取。比如通过网上钓鱼的方式就很容易获取一些疏于防范的客户的账户信息。有些银行系统如果薄弱的话，就会受到这些网上罪犯的攻击。” RSA信息安全公司国际营销副总裁蒂姆·皮卡德（Tim Pickard）表示。为解决静态信息容易被破解的问题，动态密码开始大规模应用。Dynamicode有限公司首席执行官（CEO）范定国说：“动态密码最开始的时候主要是在公司内部使用，尤其是世界500强公司，这些公司架构比较大，对安全相对比较重视，员工人数也非常多，对于员工流动时出现的安全问题，需要有比较好的解决办法。”
      动态密码也称一次性密码（One-time Password），它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。
      那么如果动态令牌丢失了，拾到者岂不是可以冒充合法用户？将密码设置为“静态＋动态”就没有那么容易了。群柏数码科技有限公司产品市场总监王慧说：“这是双保险，缺一不可。”即使合法用户忘带了动态令牌，同样有方法获得动态密码。RSA信息安全公司最新开发了一个工具栏功能，合法用户如果忘了带令牌，可以在工具栏那里下载令牌软件，由其产生密码。另外，动态密码还具有移动性，可以用在任何设备中，比如手机、PDA等移动设备。RSA信息安全公司国际营销副总裁皮卡德说：“网上的证券交易、在线商务等方面的用户都越来越需要这种服务。”
应用兴起
       目前，这种动态密码技术已经在国内的网上银行、网络游戏等等许多行业开始应用。
2005年7月，上海浦东发展银行（下称“浦发银行”）的网上银行在国内率先采用了动态密码。采用动态密码的客户在登陆网上银行时，浦发银行的计算机系统随机产生一个6位数字密码发到客户指定的手机，然后由客户卡号、查询密码、动态密码三者组成支付确认，即使有人知道了卡号和查询密码也不能从账户中划转资金。