动态口令
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
动态口令作为最安全的身份认证技术之一,根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前已经被越来越多的行业所应用。由于它使用便捷,且与平台无关性,随着移动互联网的发展,动态口令技术已成为身份认证技术的主流,被广泛应用于企业、网游、金融等领域。
动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。早期动态口令采用一种称之为动态令牌的专用硬件,包括内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。[1]
随着信息化进程的深入和计算机技术的发展,网络化已经成为企业信息化的发展大趋势,如今动态口令用途最广泛的在于移动客户端的短信认证。
目前主流用于生成动态口令终端有硬件令牌、短信密码、手机令牌、软件令牌四种。
硬件令牌是基于时间同步的口令牌,它每60秒变换一次动态口令,动态口令一次有效,它产生6位/8位动态数字。
短信密码以手机短信形式请求包含6位或更多随机数的动态口令,身份认证系统以短信形式发送随机的6/8位密码到客户的手机上,客户在登录或者交易认证时候输入此动态口令,从而确保系统身份认证的安全性。
手机令牌是一种手机客户端软件,它是基于时间同步方式,每隔30秒产生一个随机6位动态密码,口令生成过程不产生通信及费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势。
优点:
(2)降低与密码相关的IT管理费用;
(3)降低遗忘密码的机率,无需记忆复杂密码;
(4)动态口令技术采用一次一密的方法,有效地保证了用户身份的安全性。
(5)用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
缺点:
但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时还需要通过键盘输入一长串无规律的密码,一旦看错或输错就要重新来过,用户使用起来非常不方便。
- ↑ 张劲松主编,网络金融理论与实务,浙江科学技术出版社,2007.12,第228页