本文探讨了USB安全设备在防止网络银行转账被篡改方面的局限性,并提出了几种可能的改进措施,包括手持独立验证设备及脱机令牌机制。
近日一个北京做安全认证的同学来,聚会时有银行工作的同学讲起网上银行的转账,木马在插了usb的安全设备时用户输了对方帐户、转账金额信息等后,自动修改这些信息再发走,导致钱没有转到用户预期的帐户,而且黑客修改后的帐户!
我早就觉得这种插到电脑的usb安全设备其实不顶用:当电脑被黑客控制了,黑客完全可以在你正常使用转账(已经插了的usb安全设备)时,在另一个“虚拟桌面”执行同样的转账程序,同样的转出帐户和密码,只是对方帐户、转账金额信息是黑客指定的,这样的转账也完全可以“合法”地进行!
所以,不但证书不能放在硬盘、移动硬盘,即使不能读出的安全设备也不行——刚才的做法一样可以利用!
必须是完全脱离电脑的,要求把对方帐户、转账金额、日期时间等信息输入一个手持的独立设备(类似计算机、手机),由它算出一个验证码,用户再把它抄入转账程序,才能发送这笔转账请求,银行根据这个验证码才决定是否执行。
但是要求用户手工输入到设备并手工输入到电脑,麻烦而且容易输错!
还有靠脱机的令牌机制,但是需要靠时间来同步,几年差1秒的精度要求还是有点高。而且,合法用户使用正确的令牌的同时,还是无法防止木马也另一个虚拟桌面使用这个令牌做非法交易!
现在企业的信息系统,很多都已经是B/S模式了,登录靠的是工号+密码,如果有心暴力破解,还是很容易的。
据说有一种usb安全设备,只有插了它的浏览器的访问才会被后台接受。这样,虽然不能防木马,但是对付暴力破解已经绰绰有余。
只是现在好像没怎么看到有这种服务的厂商——原来以为以前做加密狗的厂家应该都转型做这些了。
另外,这种机制,是不是一定要有厂家提供相应的activex运行在浏览器,才行吧?这样就需要允许activex运行。这样,别的非法的activex恐怕也会乘虚而入了——ie无法具体指定同一个网页里的哪些activex可以运行,哪些不可以。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
