雙因素動(dòng)態(tài)口令卡的使用經(jīng)驗(yàn)

管曉明

上海市公安局科技處 上海 200042

0 前言

CNNIC的一項(xiàng)調(diào)查表明，許多人在應(yīng)用計(jì)算機(jī)和網(wǎng)絡(luò)時(shí)，沒有將信息安全作為重要問題加以考慮。調(diào)查顯示，47.1%的用戶最近一年內(nèi)計(jì)算機(jī)被入侵過，但卻有50.1%的用戶一直不更換電子郵件賬號(hào)密碼?！坝脩裘?密碼”這一傳統(tǒng)的服務(wù)器端對(duì)客戶端身份驗(yàn)證方式有兩個(gè)不安全因素：一是用計(jì)算機(jī)鍵盤輸入用戶名和密碼時(shí)，容易被周圍的人看見，或者被電腦里的跟蹤軟件記錄下來；二是在網(wǎng)絡(luò)傳輸過程中，密碼有可能被黑客竊取。事實(shí)上，這就是傳統(tǒng)的靜態(tài)口令專業(yè)點(diǎn)的說法是“單因素認(rèn)證方法”，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的用戶信息進(jìn)行比對(duì)。如果驗(yàn)證通過，系統(tǒng)允許該用戶進(jìn)行隨后的訪問操作，否則拒絕用戶的進(jìn)一步的訪問操作。

1 靜態(tài)密碼

靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個(gè)口令，就說明用戶是機(jī)器所認(rèn)為的那個(gè)人。在大多數(shù)情況下，網(wǎng)絡(luò)或系統(tǒng)登錄控制通常使用的口令是靜態(tài)的，也就是說在一定時(shí)間內(nèi)是固定不變的，而且可重復(fù)使用。難道在每次會(huì)話后修改一次密碼嗎？顯然這樣做是極其愚蠢的，那樣太累人了！這樣的話，就有安全隱患了！因?yàn)槿羲酥烙脩舻拿艽a，就可冒用用戶的身份登錄系統(tǒng)或網(wǎng)絡(luò)，進(jìn)行非法操作等行為，給真實(shí)用戶的利益造成損害！

如今，人們同密碼打交道越來越多，銀行賬戶、股票賬戶、信用卡、撥號(hào)上網(wǎng)、網(wǎng)上購(gòu)物等等無不需要輸入密碼。為了好記，很多人采用有規(guī)律性的數(shù)字組合，像生日、身份證號(hào)碼、門牌號(hào)、電話號(hào)碼等，有的為了省事，甚至一個(gè)密碼一用到底，比如我吧，作為一個(gè)專業(yè)安全人員，密碼當(dāng)然要求強(qiáng)壯了6位以上字符加大小寫，但太多的地方需要輸入密碼了，所以密碼幾乎都是一樣的，這樣確實(shí)方便，但卻帶來了不安全因素，也給不法之徒留下了“便利”。

2 雙因素動(dòng)態(tài)認(rèn)證

所謂雙因素認(rèn)證方式即在單一的記憶因素（固定口令）認(rèn)證基礎(chǔ)上結(jié)合第二個(gè)物理認(rèn)證因素，以使認(rèn)證的確定性按指數(shù)遞增。在此所講的物理認(rèn)證因素包括：智能令牌、磁卡/條碼卡/凸字卡、IC卡、生物信息。當(dāng)安裝好后SERVER端和個(gè)人用戶端都持有相應(yīng)的時(shí)間同步令牌。令牌內(nèi)置時(shí)鐘，種子密鑰和加密算法。時(shí)間同步令牌可以每分鐘動(dòng)態(tài)生成一個(gè)一次性有效的口令。用戶需要訪問系統(tǒng)時(shí)，需要將令牌生成的動(dòng)態(tài)口令和靜態(tài)口令結(jié)合在一起作為口令上送到中心認(rèn)證系統(tǒng)。認(rèn)證中心不僅要核對(duì)用戶的靜態(tài)口令，同時(shí)中心認(rèn)證系統(tǒng)需要根據(jù)當(dāng)前時(shí)間和該用戶的種子密鑰計(jì)算出該用戶當(dāng)前的動(dòng)態(tài)口令，并進(jìn)行核對(duì)。由于中心系統(tǒng)和令牌的時(shí)鐘保持同步。因此在同一時(shí)刻系統(tǒng)可以計(jì)算出相同的動(dòng)態(tài)口令。由于每個(gè)用戶的種子密鑰不同，因此不同用戶在同一時(shí)刻的動(dòng)態(tài)口令也不同。同時(shí)，該口令只能在當(dāng)時(shí)有效，不擔(dān)心被其他人截取。該方法可以保證很高的安全性。但是由于從技術(shù)上很難保證用戶的時(shí)間同步令牌在時(shí)間上和中心認(rèn)證系統(tǒng)嚴(yán)格同步，而且數(shù)據(jù)在網(wǎng)絡(luò)上傳輸和處理都有一定的延遲。當(dāng)時(shí)間誤差超過允許值時(shí)，正常用戶的登錄也有可能造成登錄認(rèn)證失敗。

早就聽說雙因素動(dòng)態(tài)口令威力無窮加密效果好，今天就給大家演示一下雙因素動(dòng)態(tài)口令的使用方法，但由于網(wǎng)絡(luò)版需要交錢，我只拿到單機(jī)版，不過總比沒有的強(qiáng)，其實(shí)單機(jī)版也可以想象成網(wǎng)絡(luò)版。

3 單機(jī)動(dòng)態(tài)口令的使用

測(cè)試系統(tǒng)：Windows 2000 Pro+SP3（號(hào)稱支持 Windows 2003）

測(cè)試產(chǎn)品：安盟雙因素身份認(rèn)證單機(jī)版

測(cè)試硬件：TOSHIBA 2410

現(xiàn)在就讓大家跟我來一起領(lǐng)略一下雙因素的感覺吧，首先是在OS（操作系統(tǒng)）上安裝一個(gè)Server端，安裝成功后如下圖：

按照右邊的提示一步一步的操作，不能跳級(jí)。

第一步是“導(dǎo)入令牌”，系統(tǒng)初始化就沒必要了，畢竟我們是第一次使用，不需要去初始化，所謂導(dǎo)入令牌，就是說讓服務(wù)器和你手上的令牌同步用的，大家仔細(xì)看我前言的介紹就知道為什么需要同步了，選擇種子文件*.tok文件。

第二步是“增加用戶”，在這里面你需要增加需要保護(hù)的用戶，比如我現(xiàn)在保護(hù)的是ADMINISTRATOR用戶。

第三步是“分配令牌”，如下圖，在未“分配令牌列表”中是你剛才第一步導(dǎo)入的令牌號(hào)，“請(qǐng)選擇用戶”是你第二步添加的用戶，這時(shí)候你需要選擇一個(gè)用戶來擁有一個(gè)令牌。所以一定要跟著我的步驟來。

第四步是“令牌測(cè)試”，如下圖，當(dāng)你做完第三步后你的令牌就已經(jīng)和用戶綁定了，這時(shí)可以測(cè)試你的令牌和系統(tǒng)是否同步起來！

在“用戶名”中輸入你剛才綁定的用戶名，在“動(dòng)態(tài)口令”中輸入

令牌上顯示的動(dòng)態(tài)密碼，然后系統(tǒng)將讓你輸入你的PIN碼，如下圖。

這個(gè)PIN碼是很重要的，當(dāng)你登錄系統(tǒng)的時(shí)候就是用PIN碼+令牌密碼登錄系統(tǒng)，設(shè)置如圖。

輸入兩次PIN碼點(diǎn)確定后，系統(tǒng)將讓你測(cè)試雙因素登錄了！

現(xiàn)在計(jì)算機(jī)從新啟動(dòng)計(jì)算機(jī)后登錄Windows 2000就必須使用你剛才輸入的PIN碼+令牌動(dòng)態(tài)密碼了。

4 使用經(jīng)驗(yàn)

（1）隨時(shí)攜帶恢復(fù)軟盤

當(dāng)安裝好雙因素動(dòng)態(tài)口令卡后可以在“系統(tǒng)”—“設(shè)置本地保護(hù)”中設(shè)置緊急啟動(dòng)盤，當(dāng)你連續(xù)10次輸入密碼不正確，就只能使用緊急啟動(dòng)盤了。

（2）只保護(hù)ADMINISTRATOR組就可以了，記得增加一個(gè)USER組用戶，以防不備，進(jìn)不去系統(tǒng)又沒做緊急啟動(dòng)盤，就準(zhǔn)備重做系統(tǒng)吧。

（3）由于令牌和系統(tǒng)之間是使用時(shí)間做種子，所以不能亂改時(shí)間，誤差可以在10分鐘內(nèi)，但操作10分鐘，就別想登錄了。

（4）動(dòng)態(tài)密碼1分種內(nèi)只能用一次。

（5）切記PIN碼和恢復(fù)密碼，這兩個(gè)一個(gè)是你平時(shí)登錄時(shí)用的，一個(gè)是恢復(fù)時(shí)使用。

（6）在Windows 2000安全模式下，不執(zhí)行動(dòng)態(tài)口令程序，也就是說你可以從安全模式下來應(yīng)急恢復(fù)，但如果你不想別人再到安全模式的話，也可以通過修改設(shè)置禁止按F8進(jìn)安全模式。

5 總結(jié)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在信息時(shí)代的今天愈加凸顯，需要引起更多的關(guān)注和重視，也將在未來面對(duì)更多的挑戰(zhàn)。本文對(duì)雙因素認(rèn)證技術(shù)做了詳細(xì)的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1]（加）斯廷森（Stinson，D.R.）著，馮登國(guó)等譯.密碼學(xué)原理與實(shí)踐（第三版）.電子工業(yè)出版社.2009.

[2]荊繼鏘，林璟鏘，馮登國(guó)編著.PKI技術(shù).科學(xué)出版社.2008.

[3]胡振宇，蔣建春編著.密碼學(xué)基礎(chǔ)與安全應(yīng)用.北京郵電大學(xué)出版社有限公司.2008.

[4]關(guān)振勝編著.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用.電子工業(yè)出版社.2008.