如今,賬戶(hù)和密碼越來(lái)越多,但如何保護(hù)好它們成為了我們頭疼的問(wèn)題。也許大家早就熟悉了網(wǎng)絡(luò)游戲、在線(xiàn)聊天、股票、網(wǎng)銀等各種賬號(hào)口令丟失的新聞事件;但對(duì)企業(yè)網(wǎng)絡(luò)管理人員來(lái)說(shuō),其實(shí)這些問(wèn)題更為嚴(yán)重:數(shù)據(jù)中心管理賬號(hào)、內(nèi)部業(yè)務(wù)平臺(tái)的賬號(hào)、郵件賬號(hào)等,一旦被盜或出現(xiàn)其他問(wèn)題,將對(duì)業(yè)務(wù)和管理造成極大破壞,后果不堪設(shè)想。
就拿微軟來(lái)說(shuō),他們雖然使用了VPN和防火墻等多種保護(hù)手段,但依然沒(méi)有能擋住黑客的入侵。有消息稱(chēng),黑客曾在2000年成功竊取了微軟內(nèi)部員工的口令,并被拷貝了部分Windows源代碼。
微軟尚且被黑客困擾,更不用說(shuō)其他企業(yè)的信息泄漏情況了。包括Sun微系統(tǒng)公司、Novell、NEC美國(guó)公司以及諾基亞在內(nèi),均遭受過(guò)賬號(hào)失竊、數(shù)據(jù)被非法下載等攻擊。當(dāng)初一個(gè)叫凱文.米特尼克的年輕人也因此成為了世界頭號(hào)黑客、身份盜用之王。
國(guó)內(nèi)著名安全企業(yè)動(dòng)聯(lián)公司技術(shù)主管胡永剛介紹說(shuō):“在2004~2008年所采集的病毒樣本數(shù)中,64%的目的都是盜號(hào),還有20%是可以用來(lái)竊取帳號(hào)的后門(mén)病毒。”
總之,如何有效保護(hù)賬戶(hù)安全,抵御盜號(hào)木馬侵襲成為企業(yè)當(dāng)前網(wǎng)絡(luò)安全的重中之重。那么,我們?nèi)绾斡行ПWo(hù)賬戶(hù)安全呢?一般來(lái)說(shuō),除了使用一系列技術(shù)手段之外,有兩個(gè)方面的情況需要我們倍加重視。
管理規(guī)范是賬戶(hù)安全的基本前提
安全的很多問(wèn)題其實(shí)是管理問(wèn)題,賬戶(hù)口令的安全尤其如此。許多管理人員都知道密碼和口令的重要,但能否及時(shí)、全面地培訓(xùn)給企業(yè)所有用戶(hù),才是關(guān)鍵。
就拿郵箱密碼來(lái)說(shuō),很多單位出于方便,均設(shè)置了默認(rèn)的郵箱密碼,而且一般都是諸如123456的極弱口令。很多人為了好記方便,密碼一直沒(méi)改,結(jié)果重要郵件被隨意窺視。而其他比如FTP、網(wǎng)站后臺(tái)密碼等,這種情況也屢見(jiàn)不鮮,公司信息泄漏于無(wú)形。
比較專(zhuān)業(yè)的公司一般會(huì)這樣做:?jiǎn)T工第一天入職之后,就會(huì)拿到一張寫(xiě)有自己OA、郵箱、所用電腦系統(tǒng)、RTX(內(nèi)部IM通訊工具)等賬號(hào)信息在內(nèi)的卡片。所有賬戶(hù)在第一次登陸前必須修改成符合標(biāo)準(zhǔn)的強(qiáng)口令。在這樣的嚴(yán)格管理下,賬戶(hù)安全性當(dāng)然會(huì)大大的提高。當(dāng)然還有的企業(yè)使用智能卡或USB key,安全級(jí)別也能進(jìn)一步提高。
除了以上所述,我們也千萬(wàn)不能忘記給系統(tǒng)打補(bǔ)丁、修補(bǔ)Web和其他第三方軟件或插件的漏洞、安裝反病毒軟件等等。這些防范管理措施,對(duì)于保護(hù)賬號(hào)安全、預(yù)防盜號(hào)木馬也是非常重要的。
使用動(dòng)態(tài)口令為賬號(hào)安全提供最后屏障
對(duì)于密碼強(qiáng)化或使用USB key這樣技術(shù)之后,可以將初級(jí)的黑客擋在門(mén)外,但面對(duì)高級(jí)黑客時(shí),靜態(tài)密碼始終還是不安全的。如早期破解windows系統(tǒng)賬戶(hù)的黑客工具L0phtCrack,現(xiàn)在流行的彩虹表,都可以在短短十幾分鐘之內(nèi)便能將一個(gè)毫無(wú)規(guī)律而言的強(qiáng)口令密碼破解出來(lái)。面對(duì)始終搶得先手的黑客來(lái)說(shuō),動(dòng)態(tài)口令技術(shù)才是用戶(hù)賬號(hào)安全的最后屏障。
動(dòng)態(tài)口令又叫動(dòng)態(tài)令牌、動(dòng)態(tài)密碼,英文名為One-Time Password(OTP),也有技術(shù)人員形象地稱(chēng)其為“隨機(jī)密碼生成器”。它的主要原理是:用戶(hù)登錄前,依據(jù)用戶(hù)私人身份信息并引入不確定因素產(chǎn)生隨機(jī)變化的口令,使每次登錄過(guò)程中傳送的口令信息都不同,以提高登錄過(guò)程的安全性——也就是說(shuō),其他人即使破解了密碼,也無(wú)法再次使用。
動(dòng)態(tài)密碼認(rèn)證屬于一次性密碼認(rèn)證(OTP),可完全實(shí)現(xiàn)物理隔離,用戶(hù)使用時(shí)只需輸入當(dāng)前的密碼即可,操作簡(jiǎn)單、高度安全。與前面提到的USB Key等產(chǎn)品相比,動(dòng)態(tài)口令的價(jià)值在于,前者如果被竊,相關(guān)的機(jī)密防護(hù)也將隨時(shí)失去;而動(dòng)態(tài)口令,在保證了使用便利特性的同時(shí),通過(guò)每次密碼隨機(jī)改變的特點(diǎn),最大限度地保證了賬戶(hù)安全。舉個(gè)例子,大家通過(guò)網(wǎng)銀等購(gòu)物,經(jīng)常遇到運(yùn)營(yíng)商或者銀行發(fā)短信隨機(jī)給密碼的情況,這其實(shí)就是運(yùn)用了動(dòng)態(tài)口令的技術(shù)。
上世紀(jì)80年代這項(xiàng)技術(shù)誕生后,這項(xiàng)技術(shù)得到了各類(lèi)機(jī)構(gòu)的肯定,并逐漸成為安全領(lǐng)域的重要技術(shù)。在國(guó)內(nèi),動(dòng)聯(lián)等先行者已經(jīng)在多年前就進(jìn)入這個(gè)市場(chǎng),目前技術(shù)水平和產(chǎn)品質(zhì)量已經(jīng)和國(guó)際頂尖廠(chǎng)商不相上下。
動(dòng)態(tài)口令技術(shù)及產(chǎn)品簡(jiǎn)析
動(dòng)態(tài)口令技術(shù)的原理,簡(jiǎn)單來(lái)說(shuō)就是在服務(wù)器端和客戶(hù)端,通過(guò)同樣的加密算法,在某一時(shí)刻同步生成一套密碼口令,供本次使用。當(dāng)本次口令過(guò)期之后,必須重新生成口令——而由于下次生成時(shí)的時(shí)間、事件等外界條件發(fā)生改變,生成的口令也會(huì)完全改變。
目前,動(dòng)態(tài)口令技術(shù)和產(chǎn)品已經(jīng)廣泛應(yīng)用到了銀行、電信、互聯(lián)網(wǎng)等諸多行業(yè)。中國(guó)銀行網(wǎng)銀項(xiàng)目負(fù)責(zé)人對(duì)靜態(tài)密碼認(rèn)證、數(shù)字證書(shū)、USB移動(dòng)證書(shū)與動(dòng)態(tài)口令技術(shù)進(jìn)行了比較。
該負(fù)責(zé)人介紹,在安全性方面,傳統(tǒng)的靜態(tài)密碼認(rèn)證存在著種種安全隱患,在黑客、木馬面前不堪一擊,如同網(wǎng)銀安全的定時(shí)炸彈;數(shù)字證書(shū)、USB移動(dòng)證書(shū)安全性稍高,但因無(wú)法實(shí)現(xiàn)物理隔絕,不法分子依然有可乘之機(jī);動(dòng)態(tài)密碼安全性最高,一般每60秒自動(dòng)更新一次,并只對(duì)指定用戶(hù)在特定的時(shí)刻有效,通過(guò)用戶(hù)靜態(tài)密碼+令牌動(dòng)態(tài)密碼的方式,使得用戶(hù)的電子身份不易被模仿、盜用或破壞。在便利性方面,數(shù)字證書(shū)、USB移動(dòng)證書(shū)需用戶(hù)下載相應(yīng)控件、軟件,且具備一定的電腦操作知識(shí),給用戶(hù)日常操作帶來(lái)極大不便;動(dòng)態(tài)口令無(wú)需用戶(hù)安裝客戶(hù)端和讀取設(shè)備,且攜帶方便。
綜合考慮這些因素,惟有動(dòng)態(tài)口令認(rèn)證才能達(dá)到便利性與安全性的完美平衡。也正是基于這些原因,最終中國(guó)銀行選擇動(dòng)聯(lián)的動(dòng)態(tài)口令認(rèn)證系統(tǒng)作為中國(guó)銀行網(wǎng)銀系統(tǒng)的身份認(rèn)證平臺(tái)。
根據(jù)動(dòng)態(tài)口令生成的外界因素和產(chǎn)品形態(tài),目前市場(chǎng)上常用的動(dòng)態(tài)口令分以下幾種:
首先,硬件動(dòng)態(tài)口令產(chǎn)品有:
卡片式動(dòng)碼令:事件同步型令牌,基于128位動(dòng)態(tài)密碼加密算法,采用國(guó)際先進(jìn)的低功耗智能芯片、電子紙顯示技術(shù)和超薄型電池技術(shù),與銀行卡同等尺寸與厚度,易于攜帶且符合使用習(xí)慣。
標(biāo)準(zhǔn)型動(dòng)碼令:時(shí)間同步型令牌,可顯示6位數(shù)字的LCD屏幕,內(nèi)置智能芯片采用128位動(dòng)態(tài)密碼加密算法,外觀(guān)時(shí)尚,小巧便攜。60秒密碼更新間隔,可提供3年使用期限,多種顏色方案可選。
增強(qiáng)型動(dòng)碼令:時(shí)間同步型令牌,兼具挑戰(zhàn)應(yīng)答和數(shù)字簽名功能,攜帶方便。60秒密碼更新間隔,可提供5年使用期限。
目前市場(chǎng)上常用的軟件產(chǎn)品有:
面型動(dòng)碼令:用于Windows PC和Notebook的動(dòng)碼令,它能存放在個(gè)人電腦中,也可與遠(yuǎn)程訪(fǎng)問(wèn)客戶(hù)端整合在一起,可定制30/60/120秒不同的密碼更新間隔,可以終身使用。#p#分頁(yè)標(biāo)題#e#
手機(jī)動(dòng)碼令:事件同步型令牌,把動(dòng)態(tài)密碼認(rèn)證技術(shù)在手機(jī)上以K-java或SIM卡方式實(shí)現(xiàn),防拷貝設(shè)計(jì),確保每個(gè)動(dòng)碼令的獨(dú)立性與安全性。
短信動(dòng)碼令:基于128位動(dòng)態(tài)密碼加密算法,通過(guò)短信將動(dòng)態(tài)密碼發(fā)送到客戶(hù)手機(jī)上,既能方便及時(shí)地傳遞密碼,又能保證密碼安全。
矩陣卡動(dòng)碼令:每張矩陣卡有獨(dú)一無(wú)二的10×8數(shù)字矩陣,每次登陸的動(dòng)態(tài)密碼是從80格中隨機(jī)選取2格依次組合而成,以圖片格式存取,較高的性?xún)r(jià)比。
考慮到安全的特殊性,國(guó)內(nèi)企業(yè)一般傾向于選擇國(guó)產(chǎn)的動(dòng)態(tài)口令產(chǎn)品。其中,比較著名有動(dòng)聯(lián)等企業(yè),這些企業(yè)已經(jīng)可以提供上述全線(xiàn)產(chǎn)品。而就在上周,動(dòng)聯(lián)公司推出了代號(hào)K5的專(zhuān)業(yè)型動(dòng)碼令。該產(chǎn)品同屬時(shí)間同步型令牌,內(nèi)置智能芯片采用128位動(dòng)態(tài)密碼加密算法之外,還擁有大字體清晰LCD顯示,低功耗設(shè)計(jì),無(wú)按鈕一體化封裝,防拆卸、防靜電、防水、防震、防壓,抗電磁干擾等一系列優(yōu)點(diǎn)。
