【51CTO.com 獨(dú)家特稿】如今，賬戶和密碼越來越多，但如何保護(hù)好它們成為了我們頭疼的問題。也許大家早就熟悉了網(wǎng)絡(luò)游戲、在線聊天、股票、網(wǎng)銀等各種賬號口令丟失的新聞事件；但對企業(yè)網(wǎng)絡(luò)管理人員來說，其實(shí)這些問題更為嚴(yán)重：數(shù)據(jù)中心管理賬號、內(nèi)部業(yè)務(wù)平臺的賬號、郵件賬號等，一旦被盜或出現(xiàn)其他問題，將對業(yè)務(wù)和管理造成極大破壞，后果不堪設(shè)想。

就拿微軟來說，他們雖然使用了VPN和防火墻等多種保護(hù)手段，但依然沒有能擋住黑客的入侵。有消息稱，黑客曾在2000年成功竊取了微軟內(nèi)部員工的口令，并被拷貝了部分Windows源代碼。

微軟尚且被黑客困擾，更不用說其他企業(yè)的信息泄漏情況了。包括Sun微系統(tǒng)公司、Novell、NEC美國公司以及諾基亞在內(nèi)，均遭受過賬號失竊、數(shù)據(jù)被非法下載等攻擊。當(dāng)初一個(gè)叫凱文.米特尼克的年輕人也因此成為了世界頭號黑客、身份盜用之王。

國內(nèi)著名安全企業(yè)動聯(lián)公司技術(shù)主管胡永剛介紹說：“在2004～2008年所采集的病毒樣本數(shù)中，64%的目的都是盜號，還有20%是可以用來竊取帳號的后門病毒?！?/P>

總之，如何有效保護(hù)賬戶安全，抵御盜號木馬侵襲成為企業(yè)當(dāng)前網(wǎng)絡(luò)安全的重中之重。那么，我們?nèi)绾斡行ПＷo(hù)賬戶安全呢？一般來說，除了使用一系列技術(shù)手段之外，有兩個(gè)方面的情況需要我們倍加重視。

管理規(guī)范是賬戶安全的基本前提

安全的很多問題其實(shí)是管理問題，賬戶口令的安全尤其如此。許多管理人員都知道密碼和口令的重要，但能否及時(shí)、全面地培訓(xùn)給企業(yè)所有用戶，才是關(guān)鍵。

就拿郵箱密碼來說，很多單位出于方便，均設(shè)置了默認(rèn)的郵箱密碼，而且一般都是諸如123456的極弱口令。很多人為了好記方便，密碼一直沒改，結(jié)果重要郵件被隨意窺視。而其他比如FTP、網(wǎng)站后臺密碼等，這種情況也屢見不鮮，公司信息泄漏于無形。

比較專業(yè)的公司一般會這樣做：員工第一天入職之后，就會拿到一張寫有自己OA、郵箱、所用電腦系統(tǒng)、RTX（內(nèi)部IM通訊工具）等賬號信息在內(nèi)的卡片。所有賬戶在第一次登陸前必須修改成符合標(biāo)準(zhǔn)的強(qiáng)口令。在這樣的嚴(yán)格管理下，賬戶安全性當(dāng)然會大大的提高。當(dāng)然還有的企業(yè)使用智能卡或USB key，安全級別也能進(jìn)一步提高。

除了以上所述，我們也千萬不能忘記給系統(tǒng)打補(bǔ)丁、修補(bǔ)Web和其他第三方軟件或插件的漏洞、安裝反病毒軟件等等。這些防范管理措施，對于保護(hù)賬號安全、預(yù)防盜號木馬也是非常重要的。

使用動態(tài)口令為賬號安全提供最后屏障

對于密碼強(qiáng)化或使用USB key這樣技術(shù)之后，可以將初級的黑客擋在門外，但面對高級黑客時(shí)，靜態(tài)密碼始終還是不安全的。如早期破解windows系統(tǒng)賬戶的黑客工具L0phtCrack，現(xiàn)在流行的彩虹表，都可以在短短十幾分鐘之內(nèi)便能將一個(gè)毫無規(guī)律而言的強(qiáng)口令密碼破解出來。面對始終搶得先手的黑客來說，動態(tài)口令技術(shù)才是用戶賬號安全的最后屏障。

動態(tài)口令又叫動態(tài)令牌、動態(tài)密碼，英文名為One-Time Password（OTP），也有技術(shù)人員形象地稱其為“隨機(jī)密碼生成器”。它的主要原理是：用戶登錄前，依據(jù)用戶私人身份信息并引入不確定因素產(chǎn)生隨機(jī)變化的口令，使每次登錄過程中傳送的口令信息都不同，以提高登錄過程的安全性——也就是說，其他人即使破解了密碼，也無法再次使用。

動態(tài)密碼認(rèn)證屬于一次性密碼認(rèn)證（OTP)，可完全實(shí)現(xiàn)物理隔離，用戶使用時(shí)只需輸入當(dāng)前的密碼即可，操作簡單、高度安全。與前面提到的USB Key等產(chǎn)品相比，動態(tài)口令的價(jià)值在于，前者如果被竊，相關(guān)的機(jī)密防護(hù)也將隨時(shí)失去；而動態(tài)口令，在保證了使用便利特性的同時(shí)，通過每次密碼隨機(jī)改變的特點(diǎn)，最大限度地保證了賬戶安全。舉個(gè)例子，大家通過網(wǎng)銀等購物，經(jīng)常遇到運(yùn)營商或者銀行發(fā)短信隨機(jī)給密碼的情況，這其實(shí)就是運(yùn)用了動態(tài)口令的技術(shù)。

上世紀(jì)80年代這項(xiàng)技術(shù)誕生后，這項(xiàng)技術(shù)得到了各類機(jī)構(gòu)的肯定，并逐漸成為安全領(lǐng)域的重要技術(shù)。在國內(nèi)，動聯(lián)等先行者已經(jīng)在多年前就進(jìn)入這個(gè)市場，目前技術(shù)水平和產(chǎn)品質(zhì)量已經(jīng)和國際頂尖廠商不相上下。

動態(tài)口令技術(shù)及產(chǎn)品簡析

動態(tài)口令技術(shù)的原理，簡單來說就是在服務(wù)器端和客戶端，通過同樣的加密算法，在某一時(shí)刻同步生成一套密碼口令，供本次使用。當(dāng)本次口令過期之后，必須重新生成口令——而由于下次生成時(shí)的時(shí)間、事件等外界條件發(fā)生改變，生成的口令也會完全改變。

目前，動態(tài)口令技術(shù)和產(chǎn)品已經(jīng)廣泛應(yīng)用到了銀行、電信、互聯(lián)網(wǎng)等諸多行業(yè)。中國銀行網(wǎng)銀項(xiàng)目負(fù)責(zé)人對靜態(tài)密碼認(rèn)證、數(shù)字證書、USB移動證書與動態(tài)口令技術(shù)進(jìn)行了比較。

該負(fù)責(zé)人介紹，在安全性方面，傳統(tǒng)的靜態(tài)密碼認(rèn)證存在著種種安全隱患，在黑客、木馬面前不堪一擊，如同網(wǎng)銀安全的定時(shí)炸彈；數(shù)字證書、USB移動證書安全性稍高，但因無法實(shí)現(xiàn)物理隔絕，不法分子依然有可乘之機(jī)；動態(tài)密碼安全性最高，一般每60秒自動更新一次，并只對指定用戶在特定的時(shí)刻有效，通過用戶靜態(tài)密碼+令牌動態(tài)密碼的方式，使得用戶的電子身份不易被模仿、盜用或破壞。在便利性方面，數(shù)字證書、USB移動證書需用戶下載相應(yīng)控件、軟件，且具備一定的電腦操作知識，給用戶日常操作帶來極大不便；動態(tài)口令無需用戶安裝客戶端和讀取設(shè)備，且攜帶方便。

綜合考慮這些因素，惟有動態(tài)口令認(rèn)證才能達(dá)到便利性與安全性的完美平衡。也正是基于這些原因，最終中國銀行選擇動聯(lián)的動態(tài)口令認(rèn)證系統(tǒng)作為中國銀行網(wǎng)銀系統(tǒng)的身份認(rèn)證平臺。

根據(jù)動態(tài)口令生成的外界因素和產(chǎn)品形態(tài)，目前市場上常用的動態(tài)口令分以下幾種：

首先，硬件動態(tài)口令產(chǎn)品有：

卡片式動碼令：事件同步型令牌，基于128位動態(tài)密碼加密算法，采用國際先進(jìn)的低功耗智能芯片、電子紙顯示技術(shù)和超薄型電池技術(shù)，與銀行卡同等尺寸與厚度，易于攜帶且符合使用習(xí)慣。

標(biāo)準(zhǔn)型動碼令：時(shí)間同步型令牌，可顯示6位數(shù)字的LCD屏幕，內(nèi)置智能芯片采用128位動態(tài)密碼加密算法，外觀時(shí)尚，小巧便攜。60秒密碼更新間隔，可提供3年使用期限，多種顏色方案可選。

增強(qiáng)型動碼令：時(shí)間同步型令牌，兼具挑戰(zhàn)應(yīng)答和數(shù)字簽名功能，攜帶方便。60秒密碼更新間隔，可提供5年使用期限。

目前市場上常用的軟件產(chǎn)品有：

面型動碼令：用于Windows PC和Notebook的動碼令，它能存放在個(gè)人電腦中，也可與遠(yuǎn)程訪問客戶端整合在一起，可定制30/60/120秒不同的密碼更新間隔，可以終身使用。

手機(jī)動碼令：事件同步型令牌，把動態(tài)密碼認(rèn)證技術(shù)在手機(jī)上以K-java或SIM卡方式實(shí)現(xiàn)，防拷貝設(shè)計(jì)，確保每個(gè)動碼令的獨(dú)立性與安全性。

短信動碼令：基于128位動態(tài)密碼加密算法，通過短信將動態(tài)密碼發(fā)送到客戶手機(jī)上，既能方便及時(shí)地傳遞密碼，又能保證密碼安全。

矩陣卡動碼令：每張矩陣卡有獨(dú)一無二的10×8數(shù)字矩陣，每次登陸的動態(tài)密碼是從80格中隨機(jī)選取2格依次組合而成，以圖片格式存取，較高的性價(jià)比。

考慮到安全的特殊性，國內(nèi)企業(yè)一般傾向于選擇國產(chǎn)的動態(tài)口令產(chǎn)品。其中，比較著名有動聯(lián)等企業(yè)，這些企業(yè)已經(jīng)可以提供上述全線產(chǎn)品。而就在上周，動聯(lián)公司推出了代號K5的專業(yè)型動碼令。該產(chǎn)品同屬時(shí)間同步型令牌，內(nèi)置智能芯片采用128位動態(tài)密碼加密算法之外，還擁有大字體清晰LCD顯示，低功耗設(shè)計(jì)，無按鈕一體化封裝，防拆卸、防靜電、防水、防震、防壓，抗電磁干擾等一系列優(yōu)點(diǎn)。