1.什么是动态口令?
动态口令也称动态密码,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每天可以产生43200个口令。
用户进行认证时候,除输入账号和静态口令之外,必须要求输入动态口令,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。
动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题,导致用户的财产或者资料的损失。
2. 传统的静态口令有何缺点?
相比较动态口令认证方式,静态口令认证缺点如下:
(1) 为了便于记忆,用户多选择有特征作为口令,所有静态口令相比动态口令而言,容易被猜测和破解;
(2) 黑客可以从网上或电话线上截获静态口令,如果是非加密方式传输,用户认证信息可被轻易获取;
静态口令上不能确定用户的身份,其结果是,个人可以轻松地伪造一个假身份或者盗用一个已有使用者的身份,给受害者造成巨大的经济和声誉损失。
3.动态口令认证系统特点
(1) 无需记忆
口令遗忘是令许多人头疼的问题。随着网络应用的普及,需要人们记忆的口令越来越多。动态口令卡使用户无需记忆多个口令。
(2)双重保险
动态口令认证系统采用双因素认证机制。用户即使将动态口令卡、账户同时丢失,也不会造成损失。
(3)迅速知情
在传统的认证机制下,用户口令往往是在不知情时丢失、被盗,危害发生后才有所察觉,只能亡羊补牢。动态口令令牌一旦丢失,用户会马上发现并及时挂失,防患未然。
(4)内外兼“固”
在信息系统的入侵者中,内部入侵者占80%以上。就电子商务站点而论,信息安全最薄弱环节是对内防范,如网管人员也能通过正常授权获得用户保密资料,对用户信息安全无疑是一种威胁。而动态口令认证系统把密钥生成和管理完全交给系统自动完成,最大限度地减少了人为因素,有效地防止了内部人员作案,使系统安全防范对内对外同样坚固。
(5)简单易行
IC卡认证、CA认证、指纹认证都需要专用终端认证设备的配合,应用范围受到很大限制,目前较多使用的USK KEY,也需要插入到电脑上,目前拥有大量使用者的电话交易就无法使用。动态口令令牌凡是在可以输入十进制数码的设备上都可以实现,简单使用。
(6) 无缝兼容
该系统相对独立,接口简单,易与现有的电子商务站点、网游、证券、银行、企业内部网络等业务系统对接,采用专用动态口令认证服务器进行认证,保障现有应用系统的完整性,保护系统资源,企业内部系统配合统一认证平台,一个令牌可以保护所有内部登录。