雙因素認證遭遇“中間人攻擊”

申請免費試用、咨詢電話：400-8352-114

釣魚者已經(jīng)采用“中間人攻擊”來躲避基于令牌的認證方式，對網(wǎng)銀、網(wǎng)上交易構(gòu)成了嚴重威脅。幸好，我們依然有應對的方法，只是這種方法不太方便。

在今年，由于網(wǎng)銀資金被竊，有不少用戶將銀行告上了法庭。雖然判決的結(jié)果都是銀行勝訴，但這些事件卻對網(wǎng)銀的推廣使用產(chǎn)生了巨大的影響，網(wǎng)上銀行的安全性正在面臨前所未有的信任危機。 網(wǎng)銀流行雙因素 要實現(xiàn)網(wǎng)上銀行的徹底安全并不難，比如在企業(yè)網(wǎng)銀和個人網(wǎng)銀高端客戶中普遍使用的證書注冊版。采用業(yè)界最安全的機制，并將數(shù)字證書存儲在上，證書不可復制、不可導出，具有唯一性的特征，符合“電子簽名法”的要求，目前仍未聽說有客戶因為使用USBKEY證書而發(fā)生資金損失的。但是高安全性必然帶來不便性，USBKEY證書的使用就不太方便，需要安裝驅(qū)動程序或使用專門的網(wǎng)上銀行程序以及隨身攜帶不同銀行的多張數(shù)字證書。

為了在網(wǎng)上銀行的安全性和使用的方便性之間找到平衡，各商業(yè)銀行的網(wǎng)上銀行紛紛推出了采用雙因素認證的安全機制。像工商銀行推出的動態(tài)密碼，就采用了挑戰(zhàn)、應答模式，采用一次一密的機制，提高了用戶在網(wǎng)上交易時的認證強度，可以有效防止不法分子通過虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。動態(tài)密碼的安全級別高于靜態(tài)密碼，成本遠低于物理數(shù)字證書。

令牌認證也是雙因素認證的一種，令牌設備被用于為在線銀行客戶臨時創(chuàng)建另一個密碼，這些密碼只在很短時間內(nèi)有效，且只能使用一次，使得攻擊者無法盜取密碼供以后使用。美國聯(lián)邦政府指導方針就要求在線交易在年底前必須提供雙因素認證，美國銀行為了遵從該指導方針都已向用戶提供了令牌。

不過，令人煩惱的是，網(wǎng)絡攻擊者日前找到了一種繞過新型令牌認證系統(tǒng)的方法，這就是所謂的“中間人攻擊”（MITM，Man-in-the-middle Attacks）。現(xiàn)在，已經(jīng)有幾十個使用這種新攻擊方式的釣魚網(wǎng)站。安全專家預測，釣魚者最終會采用“中間人攻擊”來巧妙躲避基于令牌的認證方式，而最近幾次攻擊標志著他們已開始實施這種方式了。

“中間人”很煩人

曾經(jīng)猖獗一時的SMB會話劫持、DNS欺騙等技術都是典型的MITM攻擊手段。在網(wǎng)絡安全方面 ，MITM攻擊的使用也很廣泛，最有威脅并且最具破壞性的一種攻擊就是對網(wǎng)銀、網(wǎng)游、網(wǎng)上交易的MITM攻擊。

通常來說，這種典型的攻擊會在最終用戶和在線服務供應商之間架設一個欺詐網(wǎng)站或在供應商網(wǎng)站上添加一些相應的插件或代碼。該網(wǎng)站或插件在服務供應商和用戶之間透明轉(zhuǎn)發(fā)信息并試圖結(jié)合真實用戶的相關信息，如賬號、密碼等敏感信息。（攻擊示意圖見圖一）