雙因素認(rèn)證遭遇“中間人攻擊”

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

釣魚(yú)者已經(jīng)采用“中間人攻擊”來(lái)躲避基于令牌的認(rèn)證方式，對(duì)網(wǎng)銀、網(wǎng)上交易構(gòu)成了嚴(yán)重威脅。幸好，我們依然有應(yīng)對(duì)的方法，只是這種方法不太方便。

在今年，由于網(wǎng)銀資金被竊，有不少用戶將銀行告上了法庭。雖然判決的結(jié)果都是銀行勝訴，但這些事件卻對(duì)網(wǎng)銀的推廣使用產(chǎn)生了巨大的影響，網(wǎng)上銀行的安全性正在面臨前所未有的信任危機(jī)。 網(wǎng)銀流行雙因素 要實(shí)現(xiàn)網(wǎng)上銀行的徹底安全并不難，比如在企業(yè)網(wǎng)銀和個(gè)人網(wǎng)銀高端客戶中普遍使用的證書(shū)注冊(cè)版。采用業(yè)界最安全的機(jī)制，并將數(shù)字證書(shū)存儲(chǔ)在上，證書(shū)不可復(fù)制、不可導(dǎo)出，具有唯一性的特征，符合“電子簽名法”的要求，目前仍未聽(tīng)說(shuō)有客戶因?yàn)槭褂肬SBKEY證書(shū)而發(fā)生資金損失的。但是高安全性必然帶來(lái)不便性，USBKEY證書(shū)的使用就不太方便，需要安裝驅(qū)動(dòng)程序或使用專門(mén)的網(wǎng)上銀行程序以及隨身攜帶不同銀行的多張數(shù)字證書(shū)。

為了在網(wǎng)上銀行的安全性和使用的方便性之間找到平衡，各商業(yè)銀行的網(wǎng)上銀行紛紛推出了采用雙因素認(rèn)證的安全機(jī)制。像工商銀行推出的動(dòng)態(tài)密碼，就采用了挑戰(zhàn)、應(yīng)答模式，采用一次一密的機(jī)制，提高了用戶在網(wǎng)上交易時(shí)的認(rèn)證強(qiáng)度，可以有效防止不法分子通過(guò)虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。動(dòng)態(tài)密碼的安全級(jí)別高于靜態(tài)密碼，成本遠(yuǎn)低于物理數(shù)字證書(shū)。

令牌認(rèn)證也是雙因素認(rèn)證的一種，令牌設(shè)備被用于為在線銀行客戶臨時(shí)創(chuàng)建另一個(gè)密碼，這些密碼只在很短時(shí)間內(nèi)有效，且只能使用一次，使得攻擊者無(wú)法盜取密碼供以后使用。美國(guó)聯(lián)邦政府指導(dǎo)方針就要求在線交易在年底前必須提供雙因素認(rèn)證，美國(guó)銀行為了遵從該指導(dǎo)方針都已向用戶提供了令牌。

不過(guò)，令人煩惱的是，網(wǎng)絡(luò)攻擊者日前找到了一種繞過(guò)新型令牌認(rèn)證系統(tǒng)的方法，這就是所謂的“中間人攻擊”（MITM，Man-in-the-middle Attacks）?，F(xiàn)在，已經(jīng)有幾十個(gè)使用這種新攻擊方式的釣魚(yú)網(wǎng)站。安全專家預(yù)測(cè)，釣魚(yú)者最終會(huì)采用“中間人攻擊”來(lái)巧妙躲避基于令牌的認(rèn)證方式，而最近幾次攻擊標(biāo)志著他們已開(kāi)始實(shí)施這種方式了。

“中間人”很煩人

曾經(jīng)猖獗一時(shí)的SMB會(huì)話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在網(wǎng)絡(luò)安全方面 ，MITM攻擊的使用也很廣泛，最有威脅并且最具破壞性的一種攻擊就是對(duì)網(wǎng)銀、網(wǎng)游、網(wǎng)上交易的MITM攻擊。

通常來(lái)說(shuō)，這種典型的攻擊會(huì)在最終用戶和在線服務(wù)供應(yīng)商之間架設(shè)一個(gè)欺詐網(wǎng)站或在供應(yīng)商網(wǎng)站上添加一些相應(yīng)的插件或代碼。該網(wǎng)站或插件在服務(wù)供應(yīng)商和用戶之間透明轉(zhuǎn)發(fā)信息并試圖結(jié)合真實(shí)用戶的相關(guān)信息，如賬號(hào)、密碼等敏感信息。（攻擊示意圖見(jiàn)圖一）