當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
雙因素認(rèn)證遭遇“中間人攻擊”
釣魚者已經(jīng)采用“中間人攻擊”來躲避基于令牌的認(rèn)證方式,對網(wǎng)銀、網(wǎng)上交易構(gòu)成了嚴(yán)重威脅。幸好,我們依然有應(yīng)對的方法,只是這種方法不太方便。
在今年,由于網(wǎng)銀資金被竊,有不少用戶將銀行告上了法庭。雖然判決的結(jié)果都是銀行勝訴,但這些事件卻對網(wǎng)銀的推廣使用產(chǎn)生了巨大的影響,網(wǎng)上銀行的安全性正在面臨前所未有的信任危機。 網(wǎng)銀流行雙因素 要實現(xiàn)網(wǎng)上銀行的徹底安全并不難,比如在企業(yè)網(wǎng)銀和個人網(wǎng)銀高端客戶中普遍使用的證書注冊版。采用業(yè)界最安全的機制,并將數(shù)字證書存儲在上,證書不可復(fù)制、不可導(dǎo)出,具有唯一性的特征,符合“電子簽名法”的要求,目前仍未聽說有客戶因為使用USBKEY證書而發(fā)生資金損失的。但是高安全性必然帶來不便性,USBKEY證書的使用就不太方便,需要安裝驅(qū)動程序或使用專門的網(wǎng)上銀行程序以及隨身攜帶不同銀行的多張數(shù)字證書。
為了在網(wǎng)上銀行的安全性和使用的方便性之間找到平衡,各商業(yè)銀行的網(wǎng)上銀行紛紛推出了采用雙因素認(rèn)證的安全機制。像工商銀行推出的動態(tài)密碼,就采用了挑戰(zhàn)、應(yīng)答模式,采用一次一密的機制,提高了用戶在網(wǎng)上交易時的認(rèn)證強度,可以有效防止不法分子通過虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。動態(tài)密碼的安全級別高于靜態(tài)密碼,成本遠(yuǎn)低于物理數(shù)字證書。
令牌認(rèn)證也是雙因素認(rèn)證的一種,令牌設(shè)備被用于為在線銀行客戶臨時創(chuàng)建另一個密碼,這些密碼只在很短時間內(nèi)有效,且只能使用一次,使得攻擊者無法盜取密碼供以后使用。美國聯(lián)邦政府指導(dǎo)方針就要求在線交易在年底前必須提供雙因素認(rèn)證,美國銀行為了遵從該指導(dǎo)方針都已向用戶提供了令牌。
不過,令人煩惱的是,網(wǎng)絡(luò)攻擊者日前找到了一種繞過新型令牌認(rèn)證系統(tǒng)的方法,這就是所謂的“中間人攻擊”(MITM,Man-in-the-middle Attacks)。現(xiàn)在,已經(jīng)有幾十個使用這種新攻擊方式的釣魚網(wǎng)站。安全專家預(yù)測,釣魚者最終會采用“中間人攻擊”來巧妙躲避基于令牌的認(rèn)證方式,而最近幾次攻擊標(biāo)志著他們已開始實施這種方式了。
“中間人”很煩人
曾經(jīng)猖獗一時的SMB會話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在網(wǎng)絡(luò)安全方面 ,MITM攻擊的使用也很廣泛,最有威脅并且最具破壞性的一種攻擊就是對網(wǎng)銀、網(wǎng)游、網(wǎng)上交易的MITM攻擊。
通常來說,這種典型的攻擊會在最終用戶和在線服務(wù)供應(yīng)商之間架設(shè)一個欺詐網(wǎng)站或在供應(yīng)商網(wǎng)站上添加一些相應(yīng)的插件或代碼。該網(wǎng)站或插件在服務(wù)供應(yīng)商和用戶之間透明轉(zhuǎn)發(fā)信息并試圖結(jié)合真實用戶的相關(guān)信息,如賬號、密碼等敏感信息。(攻擊示意圖見圖一)
同樣是雙因素認(rèn)證,令牌認(rèn)證比工商銀行的動態(tài)密碼的安全性更高,但即便如此,MITM攻擊依然可能繞過令牌認(rèn)證系統(tǒng)。記者特意就此問題咨詢了RSA公司的工程師,得到的答復(fù)是:現(xiàn)存的各種認(rèn)證方式都不能完全抵御MITM攻擊。因為用戶無論輸入什么密碼,只要是通過互聯(lián)網(wǎng)發(fā)送,MITM攻擊者都會截獲密碼,并使用該用戶名和密碼進行轉(zhuǎn)賬等操作。
好在MITM攻擊并不是不治之癥,有一些認(rèn)證方式可以檢測到MITM攻擊。比如設(shè)備或IP異常檢測:如果用戶以前從未使用某個設(shè)備或IP訪問系統(tǒng),則系統(tǒng)會采取措施。還有設(shè)備或IP頻率檢測:如果單一的設(shè)備或IP同時訪問大量的用戶賬號,系統(tǒng)也會采取措施。另外,如果某個IP地址攻擊過在線服務(wù)商,該IP將被加入系統(tǒng)的黑名單。
- 1溫州600學(xué)生家長收到侮辱短信:這學(xué)生是個傻×(圖)
- 22008年十二大熱門技術(shù)逐個盤點
- 3網(wǎng)絡(luò)社區(qū)安全難題待解
- 4鄭州"房妹"父親被立案查處 爆料人接死亡威脅
- 52007Sophos全球監(jiān)控網(wǎng)絡(luò)研究報告
- 6Exchange Server 2007的三大商業(yè)價值分析
- 7電子郵件將會消失?
- 8重要性被低估的六大技術(shù)
- 9涂料企業(yè) 通過細(xì)節(jié)來強化細(xì)分市場
- 10如何與圖片垃圾郵件抗?fàn)?/a>
- 11計世獨家:非x86服務(wù)器生存之道
- 12遠(yuǎn)程復(fù)制管理的四項基本原則
- 13如何實現(xiàn)數(shù)據(jù)中心的無縫遷移
- 14局域網(wǎng)最常見十大錯誤及解決
- 15商業(yè)決策不應(yīng)對CIO說"NO"
- 16韓國,用15年甩開臺灣(上)
- 17全國火車新票價出爐:南京到北京高鐵便宜1塊5
- 18數(shù)據(jù)中心建設(shè)勁吹綠色風(fēng)
- 19男子用廚具等自制血透機維持生命已13年(圖)
- 20加快中國開源軟件的發(fā)展
- 21緬軍炮彈損毀云南盈江民居 戰(zhàn)機兩次進中國領(lǐng)空
- 22中國強硬令菲律賓震驚 菲媒鼓吹建同盟應(yīng)對危機
- 23基于Web的PDM系統(tǒng)中文檔管理
- 24安倍外交開場混亂 訪美計劃被迫推遲首訪改東南亞三國
- 25按部就班設(shè)計基于Web中間件的業(yè)務(wù)流程
- 26六西格瑪設(shè)計中的統(tǒng)計分析軟件
- 27羊肉卷中夾雜鴨胸等肉 在業(yè)內(nèi)已成公開秘密(圖)
- 28客戶做自己OA系統(tǒng)的主人始終是泛普軟件的最終目標(biāo)
- 29虛擬服務(wù)器管理經(jīng)驗技巧
- 30物理拓?fù)浜瓦壿嬐負(fù)洮F(xiàn)實和應(yīng)用的比較
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓