2013年07月12日08:42
效果很好的一次性密碼
以前,存在語言壁壘這層“防范”的日本與曾出現過數十億美元損失的歐美相比,非法攻擊對網銀的影響微乎其微。
但從2012年前后開始,日本的釣魚網站數量迅速增加。MitB攻擊也是把幾年前在其他國家使用的方法用到了日本。
最近的非法攻擊中比較突出的是,讓用戶輸入用於第二密碼的亂數表和“密保問題”等所有內容的方法。把每次交易各不相同的密碼的基礎信息全部泄露出去正是犯罪者想要的結果。
對這種威脅最為有效的是“一次性密碼”。這種密碼的特點是,進行網銀交易時,在銀行和用戶間共享隻在交易瞬間有效的密碼,這樣即使認証信息被盜,也容易確保安全性。
可以說,這種方式是使用亂數表等的第二密碼的升級形態,更加安全。以前的第二密碼是向用戶發行5行5列的亂數表,交易時讓用戶輸入表中指定行列的數字,由此可以設定每次各不相同的密碼。不過,如果用戶在釣魚網站輸入5行5列亂數表中的所有數字,犯罪分子就可以為所欲為了。
而一次性密碼利用隻在一定時間內有效的數字作為密碼,即使被騙走也不用太擔心。
在生成一次性密碼的專用裝置方面擁有較高份額的是EMC日本公司。該裝置是名為“RSA SecurID”的令牌,每60秒就會生成一個6位數密碼並顯示出來,這些密碼是根據用戶特有的值和時間,通過復雜的計算公式得出的。該公司RSA事業本部部長水村明博強調該裝置的安全性稱:“幾乎不可能根據顯示的數字推斷出計算公式。”
在專門的網上銀行中,日本網上銀行(The Japan Net Bank)從2006年開始為所有用戶發放令牌。2013年,三井住友銀行也免去了令牌的包月使用費。
 |  |
