雙因素認(rèn)證遭遇“中間人攻擊”

申請免費(fèi)試用、咨詢電話：400-8352-114

釣魚者已經(jīng)采用“中間人攻擊”來躲避基于令牌的認(rèn)證方式，對網(wǎng)銀、網(wǎng)上交易構(gòu)成了嚴(yán)重威脅。幸好，我們依然有應(yīng)對的方法，只是這種方法不太方便。

在今年，由于網(wǎng)銀資金被竊，有不少用戶將銀行告上了法庭。雖然判決的結(jié)果都是銀行勝訴，但這些事件卻對網(wǎng)銀的推廣使用產(chǎn)生了巨大的影響，網(wǎng)上銀行的安全性正在面臨前所未有的信任危機(jī)。 網(wǎng)銀流行雙因素 要實(shí)現(xiàn)網(wǎng)上銀行的徹底安全并不難，比如在企業(yè)網(wǎng)銀和個(gè)人網(wǎng)銀高端客戶中普遍使用的證書注冊版。采用業(yè)界最安全的機(jī)制，并將數(shù)字證書存儲在上，證書不可復(fù)制、不可導(dǎo)出，具有唯一性的特征，符合“電子簽名法”的要求，目前仍未聽說有客戶因?yàn)槭褂肬SBKEY證書而發(fā)生資金損失的。但是高安全性必然帶來不便性，USBKEY證書的使用就不太方便，需要安裝驅(qū)動程序或使用專門的網(wǎng)上銀行程序以及隨身攜帶不同銀行的多張數(shù)字證書。

為了在網(wǎng)上銀行的安全性和使用的方便性之間找到平衡，各商業(yè)銀行的網(wǎng)上銀行紛紛推出了采用雙因素認(rèn)證的安全機(jī)制。像工商銀行推出的動態(tài)密碼，就采用了挑戰(zhàn)、應(yīng)答模式，采用一次一密的機(jī)制，提高了用戶在網(wǎng)上交易時(shí)的認(rèn)證強(qiáng)度，可以有效防止不法分子通過虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。動態(tài)密碼的安全級別高于靜態(tài)密碼，成本遠(yuǎn)低于物理數(shù)字證書。

令牌認(rèn)證也是雙因素認(rèn)證的一種，令牌設(shè)備被用于為在線銀行客戶臨時(shí)創(chuàng)建另一個(gè)密碼，這些密碼只在很短時(shí)間內(nèi)有效，且只能使用一次，使得攻擊者無法盜取密碼供以后使用。美國聯(lián)邦政府指導(dǎo)方針就要求在線交易在年底前必須提供雙因素認(rèn)證，美國銀行為了遵從該指導(dǎo)方針都已向用戶提供了令牌。

不過，令人煩惱的是，網(wǎng)絡(luò)攻擊者日前找到了一種繞過新型令牌認(rèn)證系統(tǒng)的方法，這就是所謂的“中間人攻擊”（MITM，Man-in-the-middle Attacks）。現(xiàn)在，已經(jīng)有幾十個(gè)使用這種新攻擊方式的釣魚網(wǎng)站。安全專家預(yù)測，釣魚者最終會采用“中間人攻擊”來巧妙躲避基于令牌的認(rèn)證方式，而最近幾次攻擊標(biāo)志著他們已開始實(shí)施這種方式了。

“中間人”很煩人

曾經(jīng)猖獗一時(shí)的SMB會話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在網(wǎng)絡(luò)安全方面 ，MITM攻擊的使用也很廣泛，最有威脅并且最具破壞性的一種攻擊就是對網(wǎng)銀、網(wǎng)游、網(wǎng)上交易的MITM攻擊。

通常來說，這種典型的攻擊會在最終用戶和在線服務(wù)供應(yīng)商之間架設(shè)一個(gè)欺詐網(wǎng)站或在供應(yīng)商網(wǎng)站上添加一些相應(yīng)的插件或代碼。該網(wǎng)站或插件在服務(wù)供應(yīng)商和用戶之間透明轉(zhuǎn)發(fā)信息并試圖結(jié)合真實(shí)用戶的相關(guān)信息，如賬號、密碼等敏感信息。（攻擊示意圖見圖一）