谈谈密码保护以及动态密码的安全问题

leo9127

在网络应用中，密码保护一直是个很敏感的问题，特别是对于网银、交易网站还有网络游戏来说密码保护就越发的重要，笔者曾经历过因密码被盗而导致的网游装备丢失的情况；
      现在的绝大多数网络应用都在使用以静态密码为基础的身份认证，这样的认证方法虽然简单，但随着电脑运算速度的提高，密码分析和攻击手段的进步，密码被破译和盗取的时间越来越短。为了便于记忆，玩家往往使用简短的常用词语或日期作为密码，很容易被强行破解；相同的密码在不同的地方使用，容易在无意中泄露；使用的电脑上有木马病毒，密码信息被盗取；输入密码时被他人窥视而被窃取。以上这些问题造成的帐号失窃时有发生，并呈不断增加的趋势。
      同时在服务器端也加入了一些防范的方法；例如SSL或是密码错误N次以后锁定帐号，但这些都不能重根本上防止密码被盗的情况发生；
      后来偶然的机会我接触到了动态密码，如盛大密宝和工行的密码卡。觉得这是一个非常不错的方法，虽然也不能从根本上杜绝密码丢失的情况发生，但是对于密码保护无疑是非常有用的。
      在一次无意的机会中在网络上搜索到了“移动密宝”的东东，我最感兴趣的是它有免费版的使用，于是报着试试的心理我注册了一个免费安全服务的帐号，并且下载了PHP-SDK包把他整合到自己做的一个程序里，按照提示下载了手机版的移动密宝。在这里我绝得做的非常好的是他们提供了多中下载方式，包括发送短信下载和使用WAP下载，程序也不大只有40多K，如果绝得不想使用手机版的也可以购买移动密宝令牌；但是购买令牌要35大元。所以如果手机支持JAVA的话我建议还是用手机的好，我的GPRS是包月的基本就不用花钱了，
      不过免费的移动密宝版本没有SSL支持和IP限制功能，同时每个申请的系统默认只支持1000个帐号，还好是每个注册的帐号可以开通5个系统的移动密宝那就是可以有5000个帐号可以用了。呵呵; 这个东西是采用基于时间同步的双因素动态密码认证技术，一分钟能够生成一个8位的、全新的、且不能重复使用的"动态密码"。如果与原有的帐号密码（又称为"静态密码"）结合使用，或是干脆就不要静态密码了，不仅能加强身份的识别，更能有效提高帐号的安全保护级别。
      如果对这个有感兴趣的可以到他们的免费注册网站看看；
http://safety.passpod.com/
        注册以后有PDF的各种帮助文档和相关的SDK包下载！