【51CTO.com 独家特稿】如今,账户和密码越来越多,但如何保护好它们成为了我们头疼的问题。也许大家早就熟悉了网络游戏、在线聊天、股票、网银等各种账号口令丢失的新闻事件;但对企业网络管理人员来说,其实这些问题更为严重:数据中心管理账号、内部业务平台的账号、邮件账号等,一旦被盗或出现其他问题,将对业务和管理造成极大破坏,后果不堪设想。
就拿微软来说,他们虽然使用了VPN和防火墙等多种保护手段,但依然没有能挡住黑客的入侵。有消息称,黑客曾在2000年成功窃取了微软内部员工的口令,并被拷贝了部分Windows源代码。
微软尚且被黑客困扰,更不用说其他企业的信息泄漏情况了。包括Sun微系统公司、Novell、NEC美国公司以及诺基亚在内,均遭受过账号失窃、数据被非法下载等攻击。当初一个叫凯文.米特尼克的年轻人也因此成为了世界头号黑客、身份盗用之王。
国内著名安全企业动联公司技术主管胡永刚介绍说:“在2004~2008年所采集的病毒样本数中,64%的目的都是盗号,还有20%是可以用来窃取帐号的后门病毒。”
总之,如何有效保护账户安全,抵御盗号木马侵袭成为企业当前网络安全的重中之重。那么,我们如何有效保护账户安全呢?一般来说,除了使用一系列技术手段之外,有两个方面的情况需要我们倍加重视。
管理规范是账户安全的基本前提
安全的很多问题其实是管理问题,账户口令的安全尤其如此。许多管理人员都知道密码和口令的重要,但能否及时、全面地培训给企业所有用户,才是关键。
就拿邮箱密码来说,很多单位出于方便,均设置了默认的邮箱密码,而且一般都是诸如123456的极弱口令。很多人为了好记方便,密码一直没改,结果重要邮件被随意窥视。而其他比如FTP、网站后台密码等,这种情况也屡见不鲜,公司信息泄漏于无形。
比较专业的公司一般会这样做:员工第一天入职之后,就会拿到一张写有自己OA、邮箱、所用电脑系统、RTX(内部IM通讯工具)等账号信息在内的卡片。所有账户在第一次登陆前必须修改成符合标准的强口令。在这样的严格管理下,账户安全性当然会大大的提高。当然还有的企业使用智能卡或USB key,安全级别也能进一步提高。
除了以上所述,我们也千万不能忘记给系统打补丁、修补Web和其他第三方软件或插件的漏洞、安装反病毒软件等等。这些防范管理措施,对于保护账号安全、预防盗号木马也是非常重要的。
使用动态口令为账号安全提供最后屏障
对于密码强化或使用USB key这样技术之后,可以将初级的黑客挡在门外,但面对高级黑客时,静态密码始终还是不安全的。如早期破解windows系统账户的黑客工具L0phtCrack,现在流行的彩虹表,都可以在短短十几分钟之内便能将一个毫无规律而言的强口令密码破解出来。面对始终抢得先手的黑客来说,动态口令技术才是用户账号安全的最后屏障。
动态口令又叫动态令牌、动态密码,英文名为One-Time Password(OTP),也有技术人员形象地称其为“随机密码生成器”。它的主要原理是:用户登录前,依据用户私人身份信息并引入不确定因素产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程的安全性——也就是说,其他人即使破解了密码,也无法再次使用。
动态密码认证属于一次性密码认证(OTP),可完全实现物理隔离,用户使用时只需输入当前的密码即可,操作简单、高度安全。与前面提到的USB Key等产品相比,动态口令的价值在于,前者如果被窃,相关的机密防护也将随时失去;而动态口令,在保证了使用便利特性的同时,通过每次密码随机改变的特点,最大限度地保证了账户安全。举个例子,大家通过网银等购物,经常遇到运营商或者银行发短信随机给密码的情况,这其实就是运用了动态口令的技术。
上世纪80年代这项技术诞生后,这项技术得到了各类机构的肯定,并逐渐成为安全领域的重要技术。在国内,动联等先行者已经在多年前就进入这个市场,目前技术水平和产品质量已经和国际顶尖厂商不相上下。
动态口令技术及产品简析
动态口令技术的原理,简单来说就是在服务器端和客户端,通过同样的加密算法,在某一时刻同步生成一套密码口令,供本次使用。当本次口令过期之后,必须重新生成口令——而由于下次生成时的时间、事件等外界条件发生改变,生成的口令也会完全改变。
目前,动态口令技术和产品已经广泛应用到了银行、电信、互联网等诸多行业。中国银行网银项目负责人对静态密码认证、数字证书、USB移动证书与动态口令技术进行了比较。
该负责人介绍,在安全性方面,传统的静态密码认证存在着种种安全隐患,在黑客、木马面前不堪一击,如同网银安全的定时炸弹;数字证书、USB移动证书安全性稍高,但因无法实现物理隔绝,不法分子依然有可乘之机;动态密码安全性最高,一般每60秒自动更新一次,并只对指定用户在特定的时刻有效,通过用户静态密码+令牌动态密码的方式,使得用户的电子身份不易被模仿、盗用或破坏。在便利性方面,数字证书、USB移动证书需用户下载相应控件、软件,且具备一定的电脑操作知识,给用户日常操作带来极大不便;动态口令无需用户安装客户端和读取设备,且携带方便。
综合考虑这些因素,惟有动态口令认证才能达到便利性与安全性的完美平衡。也正是基于这些原因,最终中国银行选择动联的动态口令认证系统作为中国银行网银系统的身份认证平台。
根据动态口令生成的外界因素和产品形态,目前市场上常用的动态口令分以下几种:
首先,硬件动态口令产品有:
卡片式动码令:事件同步型令牌,基于128位动态密码加密算法,采用国际先进的低功耗智能芯片、电子纸显示技术和超薄型电池技术,与银行卡同等尺寸与厚度,易于携带且符合使用习惯。
标准型动码令:时间同步型令牌,可显示6位数字的LCD屏幕,内置智能芯片采用128位动态密码加密算法,外观时尚,小巧便携。60秒密码更新间隔,可提供3年使用期限,多种颜色方案可选。
增强型动码令:时间同步型令牌,兼具挑战应答和数字签名功能,携带方便。60秒密码更新间隔,可提供5年使用期限。
目前市场上常用的软件产品有:
面型动码令:用于Windows PC和Notebook的动码令,它能存放在个人电脑中,也可与远程访问客户端整合在一起,可定制30/60/120秒不同的密码更新间隔,可以终身使用。
手机动码令:事件同步型令牌,把动态密码认证技术在手机上以K-java或SIM卡方式实现,防拷贝设计,确保每个动码令的独立性与安全性。
短信动码令:基于128位动态密码加密算法,通过短信将动态密码发送到客户手机上,既能方便及时地传递密码,又能保证密码安全。
矩阵卡动码令:每张矩阵卡有独一无二的10×8数字矩阵,每次登陆的动态密码是从80格中随机选取2格依次组合而成,以图片格式存取,较高的性价比。
考虑到安全的特殊性,国内企业一般倾向于选择国产的动态口令产品。其中,比较著名有动联等企业,这些企业已经可以提供上述全线产品。而就在上周,动联公司推出了代号K5的专业型动码令。该产品同属时间同步型令牌,内置智能芯片采用128位动态密码加密算法之外,还拥有大字体清晰LCD显示,低功耗设计,无按钮一体化封装,防拆卸、防静电、防水、防震、防压,抗电磁干扰等一系列优点。
