“动态密码”认证方式仍然存在安全问题

2008年8月6日更新：本周《计算机世界》报文章《 动态口令能保证网银的安全吗？ 》也指出：“动态密码”认证方式仍然存在安全问题，最安全的解决方案是 USB Key + 个人证书方式，值得业界相关人士一读，特此推荐。
------------------------------------------------
本周《计算机世界》(2007年7月2日第 25 期)有一个“网银安全专题”，非常好，也非常有必要。但是，笔者认为：大版面的介绍和推广动态密码产品有误导用户的嫌疑，这绝对是强势厂商惯用的市场推广行为，有必要在此向正在选择强身份认证(双因素认证)的用户提醒注意正确的技术选型。
正是由于用户名 / 密码方式非常不安全，不仅是网上银行，各种网上应用以及各种企业内部管理信息系统，都需要升级改造现有非常不安全的用户名 / 密码简单单因素认证方式，改用双因素认证方式，也称强身份认证。但是在选择强身份认证 ( 双因素认证 ) 解决方案时，最重要的是要评估各种解决方案的优缺点，主要包括：是否容易实施和安全，而最终用户是否使用方便和低成本应该是第一考虑因素。同时还有考虑能否满足任何信息安全技术包含的三个主要因素：机密性、完整性和实用性，如果一种安全解决方案仅仅能保证数据不会被非法访问(机密性)和保证确实是合法用户在访问(完整性)，但如果失去了实用性，也是不合适的方案。实用性就是要求此解决方案是可管理的、低成本的，而且不会给用户带来太多的痛苦的(用户实用方便) 。
目前全球普遍认同的最安全的强身份认证方式为硬件数字证书，也就是 USB Key 作为 CSP( 加密服务提供者 ) 来实现客户端证书的存储和加解密算法，所有加解密都在 USB Key 中完成是最有效的防止***软件窃取电脑内存信息的最有效和最可靠的方式。
所谓“动态密码”技术实际上是一个比较古老的采用时间同步动态密码系统，一种能够动态产生一串数字可用做密码的小装置来实现用户访问身份认证，使用此技术来试图解决用户不修改密码的问题。“动态密码”技术存在有许多问题：
(1) 技术问题： 动态口令系统还是属于脆弱的用户名/密码简单认证机制，只不过是密码在不断变化而已，就相当于用户频繁修改自己帐户的密码，但比用户频繁修改自己帐户的密码更槽糕的是此修改非用户自己所为，出现问题用户自己无能为力；
(2) 数据加密问题： 如果服务器端没有部署 SSL 证书，那用户输入的密码和动态密码都是明文传输，非常容易被非法窃取，而且通过身份认证后的重要账户信息也是明文，非常不安全。更不安全的是由于动态密码一般是 60 秒更换一次，用户密码和动态密码在 60 秒内被驻留在内存中的***软件非法截获后 60 秒时间足够把账户资金洗劫一空；
(3) 硬件问题： 此装置太贵 ( 比 USB Key 贵 ) ，而且容易丢失或急用时没电了，还会由于硬件质量问题出现液晶显示不清，甚至由于时间不能同步的问题而影响正常使用；
(4) 管理问题： 丢失或使用者转借给其他人使用会带来安全隐患，可能用户还来不及注销的时候就已经出问题了。而如果用于登录企业的内部信息系统身份认证时就会出现越权访问和机密信息泄露的管理问题。
从以上 4 个方面的问题可以看出：选用“动态密码”技术要谨慎，以避免无效的投资，一定要选用最安全的数字证书认证方式。
对企业来讲，由于内部管理信息系统中有涉及到企业的各种重要机密数据，其重要性绝对不亚于网上银行，所以一定要高度重视，及时升级改造不安全的用户名 / 密码方式 ( 即使不连接互联网也一样不安全 ) 。所幸的是： WoSign 已经推出了全球通用的免费客户端证书，这样就把强身份认证升级改造中的客户端证书成本降低为零，只要服务器端部署一个 SSL 证书即可。希望广大重视内部管理信息系统安全的企事业单位赶紧行动起来，早日升级改造不安全的用户名 / 密码认证方式，从而确保重要的管理信息系统安全。