我玩信用卡网--我玩卡 社区- 三大信用卡论坛- 中国专业的信用卡论坛 - 国内权威的信用卡网站-我玩卡网论坛

 找回密码
 立即加入我玩卡

扫一扫,访问微社区

查看: 752|回复: 8

再谈动态令牌的安全性问题

[复制链接]
发表于 2012-4-6 04:26:36 | 显示全部楼层 |阅读模式
          : m* b0 X0 H5 G
严格来说,动态令牌的安全性其实是不如短信动态口令的,短信动态口令是单次有效,而且注明了用途(登录、转账、支付),而动态令牌60秒有效,假设被木马或者钓鱼网站窃取,那么在60秒内,仍然可以登录受害者的网银并作汇款操作。因此光大对网银作了升级,汇款给陌生帐户时,需要再做短信动态口令验证。
; I% ^' |2 k  i+ J) U& {1 _短信动态口令的威胁来自于电信运营商,内容可能在传输中被人截获,因此比较安全的方法是把短信动态口令和动态令牌串联起来用,通过短信动态口令发送一个随机种子并注明用途,在动态令牌上输入种子,通过内部的密钥计算得到验证码。现有的动态令牌用时间作为种子,因此时间长了以后会失步,因而有有效期的问题。" `' D% q0 X) t! T: o
有人说U盾更安全,其实U盾最早是用于软件正版验证的加密狗,用于正版验证还可以,这种交互式的网银就有木马远程操作的风险了,只要U盾没有拔下来,木马就可以远程转账,这个绕过U盾的风险在2009年的广州日报上就报道过,G行,Z行都有这样的受害者。因此工行的第二代U盾有了LED屏和确认按钮,但这个仍有一定风险,一是木马伪造网银界面诱骗客户按下确认按钮,很多木马都伪造QQ中奖信息,做到伪造网银界面也不是很困难;二是破解U盾驱动程序,模拟按下确认按钮(事实上并没有按下)。因此,在电脑可能中木马的前提下,必须和电脑物理隔离才可达到安全目标。
/ a! Z$ x5 r8 |+ [. p. `+ {当然,避免木马也是一个提升安全的方法,在Windows平台不安全的前提下,不妨在Linux平台操作。但目前只有浦发的动态密码版网银才可完美兼容Linux平台,其它银行都用到了过时的ActiveX控件技术,因而只兼容Windows平台+IE内核的浏览器,甚至还挑IE版本,64位的往往用不了。为什么不用Java做控件呢?这样不就全兼容了?可惜啊,中国的开发人员思路被微软绑定太死了,欧美银行的网银都是真正全兼容的。$ k# v( ~; H  {7 ^6 m. L

* J9 u3 @( ^9 V2 |& d         
回复

使用道具 举报

发表于 2012-4-6 04:56:02 | 显示全部楼层

- `4 l( A8 M* U$ v: ~) A$ L据我所知,貌似兴业要用JAVA,还有一家忘记了,其实还是首要任务是预防,例如陌生网站、或者网址链接都要注意下,电脑一直是黑白两道,上有政策下有对策!
回复 支持 反对

使用道具 举报

发表于 2012-4-6 06:25:05 | 显示全部楼层

. N# J" W: i4 ~1 B( x兴业用的是Java,在Linux上可以正常输入密码,但是它用了非标准的脚本,导致点击登录按钮没有反应0 F+ N- l" w! B: C1 b- z+ S
回复 支持 反对

使用道具 举报

发表于 2012-4-6 06:55:24 | 显示全部楼层

# b' j6 A  E( i: H% n6 g好专业呀
回复 支持 反对

使用道具 举报

发表于 2012-4-6 08:31:51 | 显示全部楼层
. f. O1 F2 p$ m  [
他好像是JAVA+AX"我以前遇到过无法点登陆,重装JAVA貌似就好了!
回复 支持 反对

使用道具 举报

发表于 2012-4-6 09:18:26 | 显示全部楼层

; v9 a3 ]5 v$ V* |5 ?% |3 S阳光令牌也不安全?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即加入我玩卡

本版积分规则

QQ|Archiver|小黑屋|申请友情链接|内部邮件|我玩卡网 wowanka.com ( 冀ICP备11023231号 )

GMT+8, 2024-11-1 07:05 , Processed in 0.118528 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表