|
目前工行正如火如荼的推广电子银行口令卡,它吹嘘说“电子银行口令卡是工行最新推出的电子银行安全工具,它可以有效地防止不法分子通过虚假网站、木马病毒、黑客攻击等手段窃取密码,从而让客户更加安全地使用电子银行。”
但事实呢?是不安全的。
首先我们看看什么是工行电子银行口令卡。口令卡上以矩阵形式印有若干字符串,客户在使用电子银行进行对外转账、B2C购物、缴费等支付交易时,电子银行系统会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入电子银行系统,只有口令组合输入正确的客户才能完成相关交易,该口令组合一次有效,交易结束后即失效。但我们可以分析出来,其口令卡背面矩阵组合一共只有80个号码, 其所谓地代替静态密码的方式也只能说是一种缓冲的代替静态密码。当前的木马程序只要稍微改动一下, 就可以多次跟踪到同一个用户的输入号码,并且可以通过分析服务器端发送过来的包来得出矩阵Box的位置,拼凑出一个矩阵表来。而登陆的随机数的可能性最多也只有80个。而且很多时候的随机矩阵组合数打出来都是一样的。工行每次登录要求两次的挑战。那就意味着只要写一个程序,跟踪到某几个Box, 然后写一个程序不断的刷新工行的登录网页,等到正好挑战碰到这几个Box的时候就可以登录进去了。在我看来,这种电子银行口令卡的安全指数比静态口令提高了一些,但在现在的黑客技术的背景下,这种口令卡的安全系数实在不敢恭维。http://blog.chieftrust.com 中国信息安全 网络安全 博客 香港大学博士 Email: wangke@chieftrust.com网络安全首席护航者 |
今天是:2008年12月2日 星期二 浏览次数:
打印本文 
推荐本文 
加入收藏 
返回顶部 
关闭窗口
