天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

网银:探讨USB Key存在的安全漏洞

2009-9-1赛迪网佚名
  当前网上银行最常用的安全防护工具就是USB Key,其安全性已经得到大家的公认。但深入思考的话,会发现USB Key其实还是存在一些潜在安全威胁的。

  1、只要数字证书和私钥存放在电脑介质中,或者可能被读入内存,那么都是不安全的。例如某银行的硬盘版数字证书就是不安全的。因为其私钥和数字证书都有被木马程序盗用的可能。

  2、USB Key的安全性在于私钥不能被导出,加密解密运算用Key内的CPU完成,需要PIN码验证。

  3、一个最基本的认证系统应该包括:客户端(使用USB Key)、服务器端、数字认证中心(CA)三部分,如果不用CA的话,也可以客户端的Key申请认证,服务器产生随机数,进行冲击/响应认证。

  USB Key安全漏洞

  然而,USB Key目前来说并不是绝对安全的,当前广泛应用的USB Key实际存在两大安全漏洞:

  1、交互操作存在漏洞。黑客可以远程控制,冒用客户的USB Key进行身份认证,而客户无法知晓。

  这种漏洞的解决方式是在USB Key上增加一个确认键,用户按USB Key上的确认键后才能进行一次认证。

  2、无法防止数据被篡改。客户的一笔交易在送入USB Key加密前,可能会被黑客拦截屏篡改为另外一笔交易,这样可以在用户不知情的情况下篡改交易而认证通过。

  这种漏洞的解决也需要变更USB Key的硬件,在USB Key上增加一个显示屏,能够显示交易信息和数字。

  这实际和我以前想象的一样,我曾经想到过将USB Key和动态密码锁合二为一,就能产生出一个更安全的USB Key,不过这样的话,成本就会翻一翻了,这也是鱼和熊掌不可兼得。

本文来源:赛迪网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行