雙因素動態(tài)口令卡的使用經(jīng)驗

管曉明

上海市公安局科技處 上海 200042

0 前言

CNNIC的一項調(diào)查表明，許多人在應(yīng)用計算機和網(wǎng)絡(luò)時，沒有將信息安全作為重要問題加以考慮。調(diào)查顯示，47.1%的用戶最近一年內(nèi)計算機被入侵過，但卻有50.1%的用戶一直不更換電子郵件賬號密碼。“用戶名+密碼”這一傳統(tǒng)的服務(wù)器端對客戶端身份驗證方式有兩個不安全因素：一是用計算機鍵盤輸入用戶名和密碼時，容易被周圍的人看見，或者被電腦里的跟蹤軟件記錄下來；二是在網(wǎng)絡(luò)傳輸過程中，密碼有可能被黑客竊取。事實上，這就是傳統(tǒng)的靜態(tài)口令專業(yè)點的說法是“單因素認證方法”，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用戶的進一步的訪問操作。

1 靜態(tài)密碼

靜態(tài)密碼是用戶和機器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機器所認為的那個人。在大多數(shù)情況下，網(wǎng)絡(luò)或系統(tǒng)登錄控制通常使用的口令是靜態(tài)的，也就是說在一定時間內(nèi)是固定不變的，而且可重復(fù)使用。難道在每次會話后修改一次密碼嗎？顯然這樣做是極其愚蠢的，那樣太累人了！這樣的話，就有安全隱患了！因為若他人知道用戶的密碼，就可冒用用戶的身份登錄系統(tǒng)或網(wǎng)絡(luò)，進行非法操作等行為，給真實用戶的利益造成損害！

如今，人們同密碼打交道越來越多，銀行賬戶、股票賬戶、信用卡、撥號上網(wǎng)、網(wǎng)上購物等等無不需要輸入密碼。為了好記，很多人采用有規(guī)律性的數(shù)字組合，像生日、身份證號碼、門牌號、電話號碼等，有的為了省事，甚至一個密碼一用到底，比如我吧，作為一個專業(yè)安全人員，密碼當(dāng)然要求強壯了6位以上字符加大小寫，但太多的地方需要輸入密碼了，所以密碼幾乎都是一樣的，這樣確實方便，但卻帶來了不安全因素，也給不法之徒留下了“便利”。

2 雙因素動態(tài)認證

所謂雙因素認證方式即在單一的記憶因素（固定口令）認證基礎(chǔ)上結(jié)合第二個物理認證因素，以使認證的確定性按指數(shù)遞增。在此所講的物理認證因素包括：智能令牌、磁卡/條碼卡/凸字卡、IC卡、生物信息。當(dāng)安裝好后SERVER端和個人用戶端都持有相應(yīng)的時間同步令牌。令牌內(nèi)置時鐘，種子密鑰和加密算法。時間同步令牌可以每分鐘動態(tài)生成一個一次性有效的口令。用戶需要訪問系統(tǒng)時，需要將令牌生成的動態(tài)口令和靜態(tài)口令結(jié)合在一起作為口令上送到中心認證系統(tǒng)。認證中心不僅要核對用戶的靜態(tài)口令，同時中心認證系統(tǒng)需要根據(jù)當(dāng)前時間和該用戶的種子密鑰計算出該用戶當(dāng)前的動態(tài)口令，并進行核對。由于中心系統(tǒng)和令牌的時鐘保持同步。因此在同一時刻系統(tǒng)可以計算出相同的動態(tài)口令。由于每個用戶的種子密鑰不同，因此不同用戶在同一時刻的動態(tài)口令也不同。同時，該口令只能在當(dāng)時有效，不擔(dān)心被其他人截取。該方法可以保證很高的安全性。但是由于從技術(shù)上很難保證用戶的時間同步令牌在時間上和中心認證系統(tǒng)嚴格同步，而且數(shù)據(jù)在網(wǎng)絡(luò)上傳輸和處理都有一定的延遲。當(dāng)時間誤差超過允許值時，正常用戶的登錄也有可能造成登錄認證失敗。

早就聽說雙因素動態(tài)口令威力無窮加密效果好，今天就給大家演示一下雙因素動態(tài)口令的使用方法，但由于網(wǎng)絡(luò)版需要交錢，我只拿到單機版，不過總比沒有的強，其實單機版也可以想象成網(wǎng)絡(luò)版。

3 單機動態(tài)口令的使用

測試系統(tǒng)：Windows 2000 Pro+SP3（號稱支持 Windows 2003）

測試產(chǎn)品：安盟雙因素身份認證單機版

測試硬件：TOSHIBA 2410

現(xiàn)在就讓大家跟我來一起領(lǐng)略一下雙因素的感覺吧，首先是在OS（操作系統(tǒng)）上安裝一個Server端，安裝成功后如下圖：

按照右邊的提示一步一步的操作，不能跳級。

第一步是“導(dǎo)入令牌”，系統(tǒng)初始化就沒必要了，畢竟我們是第一次使用，不需要去初始化，所謂導(dǎo)入令牌，就是說讓服務(wù)器和你手上的令牌同步用的，大家仔細看我前言的介紹就知道為什么需要同步了，選擇種子文件*.tok文件。

第二步是“增加用戶”，在這里面你需要增加需要保護的用戶，比如我現(xiàn)在保護的是ADMINISTRATOR用戶。

第三步是“分配令牌”，如下圖，在未“分配令牌列表”中是你剛才第一步導(dǎo)入的令牌號，“請選擇用戶”是你第二步添加的用戶，這時候你需要選擇一個用戶來擁有一個令牌。所以一定要跟著我的步驟來。

第四步是“令牌測試”，如下圖，當(dāng)你做完第三步后你的令牌就已經(jīng)和用戶綁定了，這時可以測試你的令牌和系統(tǒng)是否同步起來！

在“用戶名”中輸入你剛才綁定的用戶名，在“動態(tài)口令”中輸入

令牌上顯示的動態(tài)密碼，然后系統(tǒng)將讓你輸入你的PIN碼，如下圖。

這個PIN碼是很重要的，當(dāng)你登錄系統(tǒng)的時候就是用PIN碼+令牌密碼登錄系統(tǒng)，設(shè)置如圖。

輸入兩次PIN碼點確定后，系統(tǒng)將讓你測試雙因素登錄了！

現(xiàn)在計算機從新啟動計算機后登錄Windows 2000就必須使用你剛才輸入的PIN碼+令牌動態(tài)密碼了。

4 使用經(jīng)驗

（1）隨時攜帶恢復(fù)軟盤

當(dāng)安裝好雙因素動態(tài)口令卡后可以在“系統(tǒng)”—“設(shè)置本地保護”中設(shè)置緊急啟動盤，當(dāng)你連續(xù)10次輸入密碼不正確，就只能使用緊急啟動盤了。

（2）只保護ADMINISTRATOR組就可以了，記得增加一個USER組用戶，以防不備，進不去系統(tǒng)又沒做緊急啟動盤，就準(zhǔn)備重做系統(tǒng)吧。

（3）由于令牌和系統(tǒng)之間是使用時間做種子，所以不能亂改時間，誤差可以在10分鐘內(nèi)，但操作10分鐘，就別想登錄了。

（4）動態(tài)密碼1分種內(nèi)只能用一次。

（5）切記PIN碼和恢復(fù)密碼，這兩個一個是你平時登錄時用的，一個是恢復(fù)時使用。

（6）在Windows 2000安全模式下，不執(zhí)行動態(tài)口令程序，也就是說你可以從安全模式下來應(yīng)急恢復(fù)，但如果你不想別人再到安全模式的話，也可以通過修改設(shè)置禁止按F8進安全模式。

5 總結(jié)

網(wǎng)絡(luò)安全風(fēng)險在信息時代的今天愈加凸顯，需要引起更多的關(guān)注和重視，也將在未來面對更多的挑戰(zhàn)。本文對雙因素認證技術(shù)做了詳細的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1]（加）斯廷森（Stinson，D.R.）著，馮登國等譯.密碼學(xué)原理與實踐（第三版）.電子工業(yè)出版社.2009.

[2]荊繼鏘，林璟鏘，馮登國編著.PKI技術(shù).科學(xué)出版社.2008.

[3]胡振宇，蔣建春編著.密碼學(xué)基礎(chǔ)與安全應(yīng)用.北京郵電大學(xué)出版社有限公司.2008.

[4]關(guān)振勝編著.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用.電子工業(yè)出版社.2008.