雙因素認證與中間人攻擊

2021-05-17 09:30:06 字數 1192 閱讀 4183

網銀流行雙因素

要實現網上銀行的徹底安全並不難,比如在企業網銀和個人網銀高階客戶使用者中普遍使用的證書註冊版,採用業界最安全的pki機制,並將數字證書儲存在usbkey上,證書不可複製、不可匯出,具有唯一性的特徵,符合「電子簽名法」的要求,目前仍未聽說有客戶因為使用usbkey證書而發生資金損失。但是高安全性必然帶來不便性,usbkey證書的使用就不太方便,需要安裝驅動程式或使用專門的網上銀行程式以及隨身攜帶不同銀行的多張數字證書。

為了在網上銀行的安全性和使用的方便性之間找到平衡,各商業銀行的網上銀行紛紛推出了採用雙因素(two-factor)認證的安全機制。像工商銀行推出的動態密碼,就採用了挑戰、應答模式,採用一次一密的機制,提高了使用者在網上交易時的認證強度,可以有效防止不法分子通過虛假**、木馬病毒、黑客攻擊等手段竊取密碼。動態密碼的安全級別高於靜態密碼,成本遠低於物理數字證書。,最常用的一種方法是使用傳統的、帶動態pin生成器的硬體令牌(hardware token)。這些硬體令牌效果明顯且容易擴充套件,但是部署困難,**也很昂貴。

不過,令人煩惱的是,網路攻擊者日前找到了一種繞過新型令牌認證系統的方法,這就是所謂的「中間人攻擊」(mitm,man-in-the-middle attacks)。現在,已經有幾十個使用這種新攻擊方式的釣魚**。安全專家**,釣魚者最終會採用「中間人攻擊」來巧妙躲避基於令牌的認證方式,而最近幾次攻擊標誌著他們已開始實施這種方式了。

曾經猖獗一時的smb會話劫持、dns欺騙等技術都是典型的mitm攻擊手段。在網路安全方面 ,mitm攻擊的使用也很廣泛,最有威脅並且最具破壞性的一種攻擊就是對網銀、網遊、網上交易的mitm攻擊。

同樣是雙因素認證,令牌認證比工商銀行的動態密碼的安全性更高,但即便如此,mitm攻擊依然可能繞過令牌認證系統。記者特意就此問題諮詢了rsa公司的工程師,得到的答覆是:現存的各種認證方式都不能完全抵禦mitm攻擊。因為使用者無論輸入什麼密碼,只要是通過網際網路傳送,mitm攻擊者都會截獲密碼,並使用該使用者名稱和密碼進行轉賬等操作。

更有效防範mitm攻擊的方法是進行帶外認證,具體過程是:系統進行實時的自動**回叫,將二次pin碼傳送至sms(簡訊閘道器),簡訊閘道器再**給使用者,使用者收到後,再將二次pin碼傳送到簡訊閘道器,以確認是否是真的使用者。帶外認證提供了多種不同的認證方式及認證渠道,它的好處是:所有的認證過程都不會被mitm攻擊者接觸到。例如mitm是通過中間的假**來截獲敏感資訊的,相關的「帶外認證」就是指通過**認證或簡訊認證等方式確認使用者的真實性,而mitm攻擊者卻不能得到任何資訊。

中間人攻擊

正好在公司有機會玩玩內網滲透,於是實踐一下中間人攻擊 我所在的網段為10.0.100.0 24 攻擊者主機ip 10.0.100.133 受害者主機ip 10.0.100.136 閘道器 10.0.100.1 先用nmap掃瞄看看目前內網中在使用的主機ip 使用命令 nmap ss 10.0.100...

中間人攻擊

1.什麼是中間人攻擊 man in the middleattack 簡稱 mitm攻擊 通過各種技術手段將攻擊伺服器放置在兩台正常通訊的計算機之間。2.中間人攻擊的三種方式 1 dns欺騙 修改受害人計算機host,或者dns伺服器,控制路由器等方法,把受害人要訪問的網域名稱對應的ip解析為攻擊者...

中間人攻擊

前面的文章我們講到了rsa演算法以目前的手段是很難被攻破的,那麼使用rsa演算法是不是就一定安全了呢?答案當然是否,因為我們並沒有考慮到網路傳輸中的各種情況。本文會講一種攻擊叫做中間人攻擊,為了抵禦這種攻擊,我們引入證書的概念。我們會在後續的文章中講解證書的概念。這裡我們重點講一下中間人攻擊。所謂中...