談網銀和USB Key (四)
轉自:http://apex.ncksoft.com/archives/162
本文一些內容純屬YY,如有雷同,乃是人品爆發。
好了,各位同學,現在我們已經知道黑客無所不在,無所不用其極,目標就是我們網上銀行的存款,或者信用卡里的額度。前文《談談網銀和USB Key (三) 》已經簡要描述了目前的USB Key的潛在不安全因素,現在我們就來看看如何應對。
關於鍵盤木馬,有一些“軟”的方法可以在一定程度上進行遏止。例如“軟鍵盤”,就是不再讓用戶通過鍵盤來輸入USB Key的個人識別碼(PIN碼),而是在屏幕上顯示一個虛擬鍵盤,用戶需要通過鼠標點擊虛擬按鍵來輸入PIN碼。事實上不僅僅是USB Key的PIN碼輸入採用這種方式,一些網銀在不使用USB Key的,但是又需要更高級別安全性的一些地方,也採用“頁面虛擬鍵盤”的方式,例如建行網銀的登錄頁面就是這樣的設計。還有一些USB Key的提供商也在鍵盤驅動上做文章:黑客不是想截取我的輸入嗎?好,我讓你截個夠!當進入PIN碼輸入狀態的時候,底層鍵盤過濾驅動就自動產生無數的按 鍵信息發送給上層軟件,將真正的用戶輸入淹沒在極大量的隨機擊鍵事件中,讓鍵盤木馬難以得知哪些是真的用戶輸入,哪些是假的。當然,上層軟件知道其中的貓 膩,可以從雜亂的數據中濾出真正的用戶輸入。
然而,這些方法都是治標不治本的,因爲要完成持有者身份驗證,就要將PIN碼發送給USB Key,這PIN碼總歸會出現在電腦的內存中,這些方法只能夠在一定程度上增加黑客破解的難度而已。
好了,我們不說這些小兒科的應對方法了,要真正提高USB Key的安全程度,就需要從USB Key的硬件使用方式上入手。
對付鍵盤木馬這種攻擊方式,根本的解決方法就是根本不用輸入PIN碼。嗯,不輸入PIN碼,那麼USB Key怎麼知道我就是合法持有者呢?彆着急,我們有生物識別技術啊,說白了,最常見的就是指紋識別了。在USB Key上集成一塊指紋掃描裝置,當需要驗證持有者身份的時候,就刷一下指紋,OK,驗證通過,可以轉帳了,這比記一個USB Key的PIN碼還方便,不是嗎。而且,指紋的掃描、特徵比對都是在USB Key內部完成,根本不與電腦發生任何關係,這就讓黑客無計可施了。這樣的“指紋USB Key”已經出現在市場上了,北京農村商業銀行的“金鳳凰網銀”就採用了這樣的指紋USB Key。
不過並非只要是指紋USB Key就一定安全,如果USB Key上的指紋掃描與識別沒有很好的有機結合的話,其中仍然是有漏洞的,例如,如果把指紋掃描的數據傳回電腦,由電腦進行指紋特徵信息的比對,或者再由電 腦將掃描的數據或者特徵信息送回USB Key進行處理,黑客就有可能截取到指紋掃描得到的數據,進行“數據重放式攻擊”。所以,安全的USB Key一定是由USB Key自己完成整個指紋掃描、特徵值提取與比對的全過程的。
然而,指紋USB Key也有其缺點,就是技術含量高,但是成本也高。就目前爲止,國內唯一一家能夠提供指紋USB Key的廠商是北京飛天誠信科技有限公司。要想指紋USB Key能夠廣泛的應用起來,還需要時間。
那麼,將鍵盤和USB Key結合起來,使得PIN碼不用通過電腦傳到USB Key,不也一樣安全嗎?是的,帶鍵盤輸入的USB Key也比較安全,但是請低頭看看你的鍵盤右側的數字鍵區域,只是加入0~9這幾個數字鍵,就需要增加不少的體積,這對於需要滿足“隨身攜帶”這一特點的 USB Key來說,體積實在是大了些,不夠實用。不過我想,隨着技術的發展,超薄鍵盤、摺疊式鍵盤、投影式虛擬鍵盤可能會改變這一狀況。嘿嘿,想想投影式虛擬鍵 盤,有點科幻的味道,不過這一天的到來應該不遠了~~~
好了,成本高不合適,體積大也不合適,既然目前沒有從根本上解決問題的合適的方法,我們就換個思路吧,不要忘了,一切安全性都是相對的 ~~~
既然黑客總是能夠通過各種手段得到USB Key的PIN碼,然後在用戶沒有發覺的情況下完成網上交易,那麼,如果我們能夠在每次需要USB Key來證明自己身份的時候,需要用戶手工干預一下才能完成驗證過程,是不是就能夠解決這個“不知不覺中 ” 賬戶裏的錢就不翼而飛的問題呢?事實上這樣的USB Key已經出現了,國內的幾家主要的USB Key廠商都紛紛推出了這種“按鈕USB Key”。這種類型的USB Key比普通USB Key多了一個按鍵,當需要轉帳的時候,就需要用戶按一下按鍵,否則USB Key拒絕使用內置的密鑰來證明你的身份(進行數字簽名),也就無法完成網上交易。有了這個按鈕式USB Key,你的每一次網上交易就明明白白了:只要有網上交易,一定是有人明確的按了這個按鈕,而只要這個USB Key沒有丟失,那就一定是你自己乾的了。即使黑客得到你的PIN碼,他也無法通過網絡伸手到你的電腦前按一下這個按鈕吧!!
好了,按鈕式USB Key,這下安全了~~~
安全了?安全了?我帶上黑客的帽子,在一邊得意的笑,我得兒意的笑,我得兒意的笑~~~~
欲知“按鈕USB Key”爲何不安全,又如何應對其安全漏洞,請關注本文連載之五。