雙因素動態口令卡的使用經驗

管曉明

上海市公安局科技處 上海 200042

0 前言

CNNIC的一項調查表明，許多人在應用計算機和網絡時，沒有將信息安全作為重要問題加以考慮。調查顯示，47.1%的用戶最近一年內計算機被入侵過，但卻有50.1%的用戶一直不更換電子郵件賬號密碼。“用戶名+密碼”這一傳統的服務器端對客戶端身份驗證方式有兩個不安全因素：一是用計算機鍵盤輸入用戶名和密碼時，容易被周圍的人看見，或者被電腦里的跟蹤軟件記錄下來；二是在網絡傳輸過程中，密碼有可能被黑客竊取。事實上，這就是傳統的靜態口令專業點的說法是“單因素認證方法”，通常采用如下形式：當用戶需要訪問系統資源時，系統提示用戶輸入用戶名和口令。系統采用加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶信息進行比對。如果驗證通過，系統允許該用戶進行隨后的訪問操作，否則拒絕用戶的進一步的訪問操作。

1 靜態密碼

靜態密碼是用戶和機器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機器所認為的那個人。在大多數情況下，網絡或系統登錄控制通常使用的口令是靜態的，也就是說在一定時間內是固定不變的，而且可重復使用。難道在每次會話后修改一次密碼嗎？顯然這樣做是極其愚蠢的，那樣太累人了！這樣的話，就有安全隱患了！因為若他人知道用戶的密碼，就可冒用用戶的身份登錄系統或網絡，進行非法操作等行為，給真實用戶的利益造成損害！

如今，人們同密碼打交道越來越多，銀行賬戶、股票賬戶、信用卡、撥號上網、網上購物等等無不需要輸入密碼。為了好記，很多人采用有規律性的數字組合，像生日、身份證號碼、門牌號、電話號碼等，有的為了省事，甚至一個密碼一用到底，比如我吧，作為一個專業安全人員，密碼當然要求強壯了6位以上字符加大小寫，但太多的地方需要輸入密碼了，所以密碼幾乎都是一樣的，這樣確實方便，但卻帶來了不安全因素，也給不法之徒留下了“便利”。

2 雙因素動態認證

所謂雙因素認證方式即在單一的記憶因素（固定口令）認證基礎上結合第二個物理認證因素，以使認證的確定性按指數遞增。在此所講的物理認證因素包括：智能令牌、磁卡/條碼卡/凸字卡、IC卡、生物信息。當安裝好后SERVER端和個人用戶端都持有相應的時間同步令牌。令牌內置時鐘，種子密鑰和加密算法。時間同步令牌可以每分鐘動態生成一個一次性有效的口令。用戶需要訪問系統時，需要將令牌生成的動態口令和靜態口令結合在一起作為口令上送到中心認證系統。認證中心不僅要核對用戶的靜態口令，同時中心認證系統需要根據當前時間和該用戶的種子密鑰計算出該用戶當前的動態口令，并進行核對。由于中心系統和令牌的時鐘保持同步。因此在同一時刻系統可以計算出相同的動態口令。由于每個用戶的種子密鑰不同，因此不同用戶在同一時刻的動態口令也不同。同時，該口令只能在當時有效，不擔心被其他人截取。該方法可以保證很高的安全性。但是由于從技術上很難保證用戶的時間同步令牌在時間上和中心認證系統嚴格同步，而且數據在網絡上傳輸和處理都有一定的延遲。當時間誤差超過允許值時，正常用戶的登錄也有可能造成登錄認證失敗。

早就聽說雙因素動態口令威力無窮加密效果好，今天就給大家演示一下雙因素動態口令的使用方法，但由于網絡版需要交錢，我只拿到單機版，不過總比沒有的強，其實單機版也可以想象成網絡版。

3 單機動態口令的使用

測試系統：Windows 2000 Pro+SP3（號稱支持 Windows 2003）

測試產品：安盟雙因素身份認證單機版

測試硬件：TOSHIBA 2410

現在就讓大家跟我來一起領略一下雙因素的感覺吧，首先是在OS（操作系統）上安裝一個Server端，安裝成功后如下圖：

按照右邊的提示一步一步的操作，不能跳級。

第一步是“導入令牌”，系統初始化就沒必要了，畢竟我們是第一次使用，不需要去初始化，所謂導入令牌，就是說讓服務器和你手上的令牌同步用的，大家仔細看我前言的介紹就知道為什么需要同步了，選擇種子文件*.tok文件。

第二步是“增加用戶”，在這里面你需要增加需要保護的用戶，比如我現在保護的是ADMINISTRATOR用戶。

第三步是“分配令牌”，如下圖，在未“分配令牌列表”中是你剛才第一步導入的令牌號，“請選擇用戶”是你第二步添加的用戶，這時候你需要選擇一個用戶來擁有一個令牌。所以一定要跟著我的步驟來。

第四步是“令牌測試”，如下圖，當你做完第三步后你的令牌就已經和用戶綁定了，這時可以測試你的令牌和系統是否同步起來！

在“用戶名”中輸入你剛才綁定的用戶名，在“動態口令”中輸入

令牌上顯示的動態密碼，然后系統將讓你輸入你的PIN碼，如下圖。

這個PIN碼是很重要的，當你登錄系統的時候就是用PIN碼+令牌密碼登錄系統，設置如圖。

輸入兩次PIN碼點確定后，系統將讓你測試雙因素登錄了！

現在計算機從新啟動計算機后登錄Windows 2000就必須使用你剛才輸入的PIN碼+令牌動態密碼了。

4 使用經驗

（1）隨時攜帶恢復軟盤

當安裝好雙因素動態口令卡后可以在“系統”—“設置本地保護”中設置緊急啟動盤，當你連續10次輸入密碼不正確，就只能使用緊急啟動盤了。

（2）只保護ADMINISTRATOR組就可以了，記得增加一個USER組用戶，以防不備，進不去系統又沒做緊急啟動盤，就準備重做系統吧。

（3）由于令牌和系統之間是使用時間做種子，所以不能亂改時間，誤差可以在10分鐘內，但操作10分鐘，就別想登錄了。

（4）動態密碼1分種內只能用一次。

（5）切記PIN碼和恢復密碼，這兩個一個是你平時登錄時用的，一個是恢復時使用。

（6）在Windows 2000安全模式下，不執行動態口令程序，也就是說你可以從安全模式下來應急恢復，但如果你不想別人再到安全模式的話，也可以通過修改設置禁止按F8進安全模式。

5 總結

網絡安全風險在信息時代的今天愈加凸顯，需要引起更多的關注和重視，也將在未來面對更多的挑戰。本文對雙因素認證技術做了詳細的介紹，希望能為大家的信息安全保障和管理工作提供一些新的思路。

[1]（加）斯廷森（Stinson，D.R.）著，馮登國等譯.密碼學原理與實踐（第三版）.電子工業出版社.2009.

[2]荊繼鏘，林璟鏘，馮登國編著.PKI技術.科學出版社.2008.

[3]胡振宇，蔣建春編著.密碼學基礎與安全應用.北京郵電大學出版社有限公司.2008.

[4]關振勝編著.公鑰基礎設施PKI及其應用.電子工業出版社.2008.