2013年07月12日08:42
效果很好的一次性密码
以前,存在语言壁垒这层“防范”的日本与曾出现过数十亿美元损失的欧美相比,非法攻击对网银的影响微乎其微。
但从2012年前后开始,日本的钓鱼网站数量迅速增加。MitB攻击也是把几年前在其他国家使用的方法用到了日本。
最近的非法攻击中比较突出的是,让用户输入用于第二密码的乱数表和“密保问题”等所有内容的方法。把每次交易各不相同的密码的基础信息全部泄露出去正是犯罪者想要的结果。
对这种威胁最为有效的是“一次性密码”。这种密码的特点是,进行网银交易时,在银行和用户间共享只在交易瞬间有效的密码,这样即使认证信息被盗,也容易确保安全性。
可以说,这种方式是使用乱数表等的第二密码的升级形态,更加安全。以前的第二密码是向用户发行5行5列的乱数表,交易时让用户输入表中指定行列的数字,由此可以设定每次各不相同的密码。不过,如果用户在钓鱼网站输入5行5列乱数表中的所有数字,犯罪分子就可以为所欲为了。
而一次性密码利用只在一定时间内有效的数字作为密码,即使被骗走也不用太担心。
在生成一次性密码的专用装置方面拥有较高份额的是EMC日本公司。该装置是名为“RSA SecurID”的令牌,每60秒就会生成一个6位数密码并显示出来,这些密码是根据用户特有的值和时间,通过复杂的计算公式得出的。该公司RSA事业本部部长水村明博强调该装置的安全性称:“几乎不可能根据显示的数字推断出计算公式。”
在专门的网上银行中,日本网上银行(The Japan Net Bank)从2006年开始为所有用户发放令牌。2013年,三井住友银行也免去了令牌的包月使用费。
 |  |
