我玩信用卡网--我玩卡 社区- 三大信用卡论坛- 中国专业的信用卡论坛 - 国内权威的信用卡网站-我玩卡网论坛

 找回密码
 立即加入我玩卡

扫一扫,访问微社区

查看: 826|回复: 8

再谈动态令牌的安全性问题

[复制链接]
发表于 2012-4-6 04:26:36 | 显示全部楼层 |阅读模式
         
/ D0 f9 y2 d1 Q" D4 g5 K严格来说,动态令牌的安全性其实是不如短信动态口令的,短信动态口令是单次有效,而且注明了用途(登录、转账、支付),而动态令牌60秒有效,假设被木马或者钓鱼网站窃取,那么在60秒内,仍然可以登录受害者的网银并作汇款操作。因此光大对网银作了升级,汇款给陌生帐户时,需要再做短信动态口令验证。
2 n: D) G% ?+ `: i1 f, A短信动态口令的威胁来自于电信运营商,内容可能在传输中被人截获,因此比较安全的方法是把短信动态口令和动态令牌串联起来用,通过短信动态口令发送一个随机种子并注明用途,在动态令牌上输入种子,通过内部的密钥计算得到验证码。现有的动态令牌用时间作为种子,因此时间长了以后会失步,因而有有效期的问题。
, S7 Z$ X  n0 A% H' C) H8 d有人说U盾更安全,其实U盾最早是用于软件正版验证的加密狗,用于正版验证还可以,这种交互式的网银就有木马远程操作的风险了,只要U盾没有拔下来,木马就可以远程转账,这个绕过U盾的风险在2009年的广州日报上就报道过,G行,Z行都有这样的受害者。因此工行的第二代U盾有了LED屏和确认按钮,但这个仍有一定风险,一是木马伪造网银界面诱骗客户按下确认按钮,很多木马都伪造QQ中奖信息,做到伪造网银界面也不是很困难;二是破解U盾驱动程序,模拟按下确认按钮(事实上并没有按下)。因此,在电脑可能中木马的前提下,必须和电脑物理隔离才可达到安全目标。$ t5 F% F6 d% G8 g
当然,避免木马也是一个提升安全的方法,在Windows平台不安全的前提下,不妨在Linux平台操作。但目前只有浦发的动态密码版网银才可完美兼容Linux平台,其它银行都用到了过时的ActiveX控件技术,因而只兼容Windows平台+IE内核的浏览器,甚至还挑IE版本,64位的往往用不了。为什么不用Java做控件呢?这样不就全兼容了?可惜啊,中国的开发人员思路被微软绑定太死了,欧美银行的网银都是真正全兼容的。
! }# d7 n- w9 ]0 D4 X2 Z4 j; r0 ^' p' }! G# g  y0 r
         
回复

使用道具 举报

发表于 2012-4-6 04:56:02 | 显示全部楼层

+ w6 J% C' h+ X3 Y" M6 S7 V据我所知,貌似兴业要用JAVA,还有一家忘记了,其实还是首要任务是预防,例如陌生网站、或者网址链接都要注意下,电脑一直是黑白两道,上有政策下有对策!
回复 支持 反对

使用道具 举报

发表于 2012-4-6 06:25:05 | 显示全部楼层

) i8 m% M" x6 O) x) {" V- z4 j兴业用的是Java,在Linux上可以正常输入密码,但是它用了非标准的脚本,导致点击登录按钮没有反应
. `+ \9 c: q- X  o* ]) j" ]0 Q! i
回复 支持 反对

使用道具 举报

发表于 2012-4-6 06:55:24 | 显示全部楼层
5 P; e1 d- W/ u/ {, D
好专业呀
回复 支持 反对

使用道具 举报

发表于 2012-4-6 08:31:51 | 显示全部楼层
4 I- V% r3 z2 f6 F* m) r
他好像是JAVA+AX"我以前遇到过无法点登陆,重装JAVA貌似就好了!
回复 支持 反对

使用道具 举报

发表于 2012-4-6 09:18:26 | 显示全部楼层

6 e4 G3 Q- f) n! J) f( t阳光令牌也不安全?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即加入我玩卡

本版积分规则

QQ|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com ( 冀ICP备11023231号 )

GMT+8, 2024-12-26 00:31 , Processed in 3.275093 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表