賽孚耐推“光學認證”令牌

6月2日，RSA公司承認RSA Secure ID 令牌在3月份被攻破的消息屬實；6月6日，RSA公司不得不宣布在全球范圍內召回4000萬只Secure ID令牌，其中包括洛克希德#8226;馬丁公司和其他美國國防承包商等大型商業機構。

為什么號稱極為安全的一分鐘一變的動態密碼令牌也會被攻破呢？安全專家解釋，其實是因為黑客發現了Secure ID的薄弱環節——種子。每個令牌都有一個種子，然后根據一定的算法生成一次一密的密碼。因此，種子決定了令牌的安全性。Secure ID的種子被集中保存在種子服務器中，卻不幸被黑客攻破并獲取，黑客可根據種子模擬出完全一樣的令牌，這才造成了大范圍的召回事件。“這種事情說明，安全不能將所有的雞蛋放在一個籃子里。”安全專家說。

此事讓許多用戶轉向了同樣提供雙因素認證產品的賽孚耐公司。據賽孚耐亞太地區副總裁陳泓介紹，與RSA公司將種子集中在一個地方不同的是，賽孚耐的雙因素產品提供了兩種選擇：或將種子存放在賽孚耐的服務器中；或者將種子由用戶自己保管。這樣，即使發生種子被竊事件，其損失范圍也不會那么大。這種做法其實是將安全風險分散在不同的地方。

陳泓介紹，賽孚耐還提供包括SMS、虛擬PKI、OTP等多種技術的令牌，除了標準的一次一密的令牌外，有些令牌在上面還有微型小鍵盤，每發生一筆交易，都會讓用戶輸入用戶名和密碼進行確認，這就像在銀行每取一筆錢都需要用戶簽名確認一樣，等于又增添了一重保護。

陳泓透露，最近，賽孚耐在全球推出了一種新的“光學認證”令牌——令牌上有一個“光學認證屏幕”，當需要確認一筆交易時，用戶不再需要在令牌上敲入用戶名和密碼，而只需將令牌上的光學屏幕與電腦屏幕上的光學認證模塊對接，幾秒鐘就可實現自動認證。不僅減輕了用戶的負擔，還極大增強了認證令牌的安全性。陳泓指出，令牌依然是目前金融、電信領域比較安全的身份認證方式，隨著技術的進步，廠商也在不斷推出新產品，以彌補上一代產品的不足。