動態口令
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
動態口令作為最安全的身份認證技術之一,根據專門的演算法生成一個不可預測的隨機數字組合,每個密碼只能使用一次,目前已經被越來越多的行業所應用。由於它使用便捷,且與平臺無關性,隨著移動互聯網的發展,動態口令技術已成為身份認證技術的主流,被廣泛應用於企業、網游、金融等領域。
動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化,每個密碼只使用一次的技術。早期動態口令採用一種稱之為動態令牌的專用硬體,包括內置電源、密碼生成晶元和顯示屏,密碼生成晶元運行專門的密碼演算法,根據當前時間或使用次數生成當前密碼並顯示在顯示屏上。認證伺服器採用相同的演算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端電腦,即可實現身份的確認。由於每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬體,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。[1]
隨著信息化進程的深入和電腦技術的發展,網路化已經成為企業信息化的發展大趨勢,如今動態口令用途最廣泛的在於移動客戶端的簡訊認證。
目前主流用於生成動態口令終端有硬體令牌、簡訊密碼、手機令牌、軟體令牌四種。
硬體令牌是基於時間同步的口令牌,它每60秒變換一次動態口令,動態口令一次有效,它產生6位/8位動態數字。
簡訊密碼以手機簡訊形式請求包含6位或更多隨機數的動態口令,身份認證系統以簡訊形式發送隨機的6/8位密碼到客戶的手機上,客戶在登錄或者交易認證時候輸入此動態口令,從而確保系統身份認證的安全性。
手機令牌是一種手機客戶端軟體,它是基於時間同步方式,每隔30秒產生一個隨機6位動態密碼,口令生成過程不產生通信及費用,具有使用簡單、安全性高、低成本、無需攜帶額外設備、容易獲取、無物流等優勢。
優點:
(2)降低與密碼相關的IT管理費用;
(3)降低遺忘密碼的機率,無需記憶複雜密碼;
(4)動態口令技術採用一次一密的方法,有效地保證了用戶身份的安全性。
(5)用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份。
缺點:
但是如果客戶端硬體與伺服器端程式的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題。並且用戶每次登錄時還需要通過鍵盤輸入一長串無規律的密碼,一旦看錯或輸錯就要重新來過,用戶使用起來非常不方便。
- ↑ 張勁松主編,網路金融理論與實務,浙江科學技術出版社,2007.12,第228頁
