雙因素認(rèn)證遭遇“中間人攻擊”

文章來(lái)源：泛普軟件

釣魚(yú)者已經(jīng)采用“中間人攻擊”來(lái)躲避基于令牌的認(rèn)證方式，對(duì)網(wǎng)銀、網(wǎng)上交易構(gòu)成了嚴(yán)重威脅。幸好，我們依然有應(yīng)對(duì)的方法，只是這種方法不太方便。

在今年，由于網(wǎng)銀資金被竊，有不少用戶將銀行告上了法庭。雖然判決的結(jié)果都是銀行勝訴，但這些事件卻對(duì)網(wǎng)銀的推廣使用產(chǎn)生了巨大的影響，網(wǎng)上銀行的安全性正在面臨前所未有的信任危機(jī)。網(wǎng)銀流行雙因素要實(shí)現(xiàn)網(wǎng)上銀行的徹底安全并不難，比如在企業(yè)網(wǎng)銀和個(gè)人網(wǎng)銀高端客戶中普遍使用的證書(shū)注冊(cè)版。采用業(yè)界最安全的機(jī)制，并將數(shù)字證書(shū)存儲(chǔ)在上，證書(shū)不可復(fù)制、不可導(dǎo)出，具有唯一性的特征，符合“電子簽名法”的要求，目前仍未聽(tīng)說(shuō)有客戶因?yàn)槭褂肬SBKEY證書(shū)而發(fā)生資金損失的。但是高安全性必然帶來(lái)不便性，USBKEY證書(shū)的使用就不太方便，需要安裝驅(qū)動(dòng)程序或使用專門的網(wǎng)上銀行程序以及隨身攜帶不同銀行的多張數(shù)字證書(shū)。

為了在網(wǎng)上銀行的安全性和使用的方便性之間找到平衡，各商業(yè)銀行的網(wǎng)上銀行紛紛推出了采用雙因素認(rèn)證的安全機(jī)制。像工商銀行推出的動(dòng)態(tài)密碼，就采用了挑戰(zhàn)、應(yīng)答模式，采用一次一密的機(jī)制，提高了用戶在網(wǎng)上交易時(shí)的認(rèn)證強(qiáng)度，可以有效防止不法分子通過(guò)虛假網(wǎng)站、木馬病毒、黑客攻擊等手段竊取密碼。動(dòng)態(tài)密碼的安全級(jí)別高于靜態(tài)密碼，成本遠(yuǎn)低于物理數(shù)字證書(shū)。

令牌認(rèn)證也是雙因素認(rèn)證的一種，令牌設(shè)備被用于為在線銀行客戶臨時(shí)創(chuàng)建另一個(gè)密碼，這些密碼只在很短時(shí)間內(nèi)有效，且只能使用一次，使得攻擊者無(wú)法盜取密碼供以后使用。美國(guó)聯(lián)邦政府指導(dǎo)方針就要求在線交易在年底前必須提供雙因素認(rèn)證，美國(guó)銀行為了遵從該指導(dǎo)方針都已向用戶提供了令牌。

不過(guò)，令人煩惱的是，網(wǎng)絡(luò)攻擊者日前找到了一種繞過(guò)新型令牌認(rèn)證系統(tǒng)的方法，這就是所謂的“中間人攻擊”（MITM，Man-in-the-middle Attacks）?，F(xiàn)在，已經(jīng)有幾十個(gè)使用這種新攻擊方式的釣魚(yú)網(wǎng)站。安全專家預(yù)測(cè)，釣魚(yú)者最終會(huì)采用“中間人攻擊”來(lái)巧妙躲避基于令牌的認(rèn)證方式，而最近幾次攻擊標(biāo)志著他們已開(kāi)始實(shí)施這種方式了。

“中間人”很煩人

曾經(jīng)猖獗一時(shí)的SMB會(huì)話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在網(wǎng)絡(luò)安全方面，MITM攻擊的使用也很廣泛，最有威脅并且最具破壞性的一種攻擊就是對(duì)網(wǎng)銀、網(wǎng)游、網(wǎng)上交易的MITM攻擊。

通常來(lái)說(shuō)，這種典型的攻擊會(huì)在最終用戶和在線服務(wù)供應(yīng)商之間架設(shè)一個(gè)欺詐網(wǎng)站或在供應(yīng)商網(wǎng)站上添加一些相應(yīng)的插件或代碼。該網(wǎng)站或插件在服務(wù)供應(yīng)商和用戶之間透明轉(zhuǎn)發(fā)信息并試圖結(jié)合真實(shí)用戶的相關(guān)信息，如賬號(hào)、密碼等敏感信息。（攻擊示意圖見(jiàn)圖一）

同樣是雙因素認(rèn)證，令牌認(rèn)證比工商銀行的動(dòng)態(tài)密碼的安全性更高，但即便如此，MITM攻擊依然可能繞過(guò)令牌認(rèn)證系統(tǒng)。記者特意就此問(wèn)題咨詢了RSA公司的工程師，得到的答復(fù)是：現(xiàn)存的各種認(rèn)證方式都不能完全抵御MITM攻擊。因?yàn)橛脩魺o(wú)論輸入什么密碼，只要是通過(guò)互聯(lián)網(wǎng)發(fā)送，MITM攻擊者都會(huì)截獲密碼，并使用該用戶名和密碼進(jìn)行轉(zhuǎn)賬等操作。

好在MITM攻擊并不是不治之癥，有一些認(rèn)證方式可以檢測(cè)到MITM攻擊。比如設(shè)備或IP異常檢測(cè)：如果用戶以前從未使用某個(gè)設(shè)備或IP訪問(wèn)系統(tǒng)，則系統(tǒng)會(huì)采取措施。還有設(shè)備或IP頻率檢測(cè)：如果單一的設(shè)備或IP同時(shí)訪問(wèn)大量的用戶賬號(hào)，系統(tǒng)也會(huì)采取措施。另外，如果某個(gè)IP地址攻擊過(guò)在線服務(wù)商，該IP將被加入系統(tǒng)的黑名單。

更有效防范MITM攻擊的方法是進(jìn)行帶外認(rèn)證（見(jiàn)圖二），具體過(guò)程是：系統(tǒng)進(jìn)行實(shí)時(shí)的自動(dòng)電話回叫，將二次PIN碼發(fā)送至SMS（短信網(wǎng)關(guān)），短信網(wǎng)關(guān)再轉(zhuǎn)發(fā)給用戶，用戶收到后，再將二次PIN碼發(fā)送到短信網(wǎng)關(guān)，以確認(rèn)是否是真的用戶。帶外認(rèn)證提供了多種不同的認(rèn)證方式及認(rèn)證渠道，它的好處是：所有的認(rèn)證過(guò)程都不會(huì)被MITM攻擊者接觸到。例如MITM是通過(guò)中間的假網(wǎng)站來(lái)截獲敏感信息的，相關(guān)的“帶外認(rèn)證”就是指通過(guò)電話認(rèn)證或短信認(rèn)證等方式確認(rèn)用戶的真實(shí)性，而MITM攻擊者卻不能得到任何信息。(cnw-ccw)

網(wǎng)站提醒和聲明

本文內(nèi)容來(lái)自自互聯(lián)網(wǎng)公開(kāi)信息或用戶自發(fā)貢獻(xiàn)，該文觀點(diǎn)僅代表作者本人，版權(quán)歸原作者所有。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。若發(fā)現(xiàn)侵權(quán)或違規(guī)內(nèi)容請(qǐng)聯(lián)系電話4008352114或郵箱442699841@qq.com，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

發(fā)布：2026-01-23 15:29 編輯：xiaona [打印此頁(yè)] [關(guān)閉]