建设银行
在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。
所以,除了用户记忆的静态口令外,还需要增加一个物理因素,如令牌,这样采用你所知道的(记忆的静态密码)和你所拥有的(令牌)两个要素构成有效密码,实现严格身份信息验证,而你所拥有的要素必须具有不可复制和篡改的性能。
动态口令认证即是依据上述原理实现的双因素强身份认证系统:
1) 本系统以令牌作为信物,实现双因素认证。令牌显示依据种子密钥和时间随机计算的动态口令,具有不可复制和篡改的性能,而后台认证系统认为,只有持有令牌才可能输入正确的密码,反过来说,只要输入了当前时间点的正确密码,就可以认为持有可信的要素,即令牌。用户登录时,必须同时验证静态口令(称之为PIN码)和动态口令,只有两者均正确时才能确认用户身份
2) 令牌与服务器之间的同步。令牌和认证服务器一般以密钥和时间为基础,每隔一定时间(常见为60妙)就计算出一个口令,由于令牌和认证服务器双方都共享了对称密钥、时间因子和计算方法,所以计算出来的口令就是同步的和唯一的。
3) 一次一密。令牌上显示的密码只有在当前时间点有效,且使用一次即失效,实现高强度的安全性。
系统的部署结构如下:
解决的主要问题:
1) 密码安全管理问题,实现不依赖于客户端安全意识和安全习惯可控的安全性,用户也免于设置复杂密码、记忆并定期更新之苦。
2) 密码每分钟变化,只在当前时间点有效,且使用一次即失效,即使黑客在传输过程当中截获或窃听了,只有在一分钟之内解开,且解开之后,必须先于用户或管理员进入系统才构成威胁,这几乎不可能,大大加强了应用系统的安全性和可靠性。
3) 通过认证器的日志审计系统可以对所有登录用户的信息进行记录,如用户的登录时间,登录的用户名,使用的哪一块令牌,从而很快可以确认用户的身份。
扫一扫二维码