账号和密码是我们日常生活中最常用的身份认证机制。随着技术的发展,很多领域使用上了账号密码以外的身份认证机制,甚至多因素身份认证。今天,盘点一下网上银行常见的身份认证机制,以及他们的优缺点。
身份认证是交易和支付的基础。今天,我们对常见身份认证机制做个介绍。
优点:携带使用方便。
缺点:容易被获取,可以被键盘记录等方式获取。
刮刮卡是一种覆盖数字和字母密码等文字的涂层,因此刮刮卡也叫密码覆膜卡、帐户卡或记账密码卡。
优点:每次使用不同的静态码组合,安全系数比固定的密码要高很多
缺点:使用嗅探监听软件可以获取获取静态静态码的位置数据和内容,多次截获,即可完整的获取整个刮刮卡的静态密码。
某些银行或支付公司,在交易时,会显示一张图片,图片中有收款方账户信息和一组数字,用户需要使用这组数字当验证码发给服务器。
优点:使用图形显示验证码,使用监听工具不能获取验证码明文
缺点:使用OCR技术同样可以获取图形验证码的内容
eToken是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。基于该动态密码技术的系统又称一次一密(OTP)系统,即用户的身份验证密码是变化的,密码在使用过一次后就失效,下次登录时的密码是完全不同的新密码。作为一种重要的双因素认证工具。
优点:使用eToken产品,可以实时获取动态码,并且在eToken不丢失情况下,动态码不会被别人获取。可以有效的防止远程劫持攻击
缺点:不能防止篡改窃取资金。
数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的安全性、完整性。 使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。
优点:可以实现真实的用户签名
缺点:攻击者可以使用木马病毒的工具窃取用户的软证书
服务器发送短信验证码,在显示手机验证码的同时可以显示收款方信息。
优点:可以有效的防止远程劫持和篡改攻击
缺点:手机验证码可以被短信劫持工具截获,甚至用户手机端不会显示短信,就直接发到攻击者手机中。攻击者轻而易举的窃取资金。
UKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。目前已经经历了三代Ukey。
一代Ukey
-
优点:可以实现真实的用户签名,并且证书不能被窃取
-
缺点:可以使用远程劫持和篡改方法窃取用户资金
一代半USBKey
在一代USBKey基础上增加了按键
二代UKey
在一代半基础上增加了显示屏,可以显示签名信息。
三代USBKey
在二代的基础上增加了音频和蓝牙功能,适合手机使用。
优点:可以有效防止篡改和远程劫持攻击
缺点:因为内存限制,一次只能显示一个签名信息,对于批量转账的篡改窃取资金,无能为力
