各种密码保护方案的安全性及其原理浅析

随着互联网的全民普及，网络帐号的安全性早已备受关注，虽然各大网站均采取了这样或者那样的帐号保护措施，但被盗号的情况仍时有发生。

本文就市场上常见的几种密保方法的安全性及其原理做一浅析，纯粹个人观点，如果不妥，敬请指出。

一、密保卡
密保卡就是密码保护卡，这是一种最常见的密保方案，分为实物卡和虚拟卡，优点是成本极低。密保卡（也称矩阵卡）是基于事件同步的密保产品，在网络游戏行业应用也较广泛。该产品以卡片形式呈现，卡片上一般都印制一个10×8的数字矩阵，矩阵的每个坐标为1~3位的数字。其原理是在服务器端储存着同样的密保卡数据，当你使用密保卡登录服务器时，根据随机坐标提示对应到矩阵的数字，即通过密保卡获取的动态密码，才能登录服务器。
从理论上说，除非黑客能得到你的密保卡或者能获得服务器端的数据，否则暂时还无法破解。因为服务器端的安全措施一般都会比较强，所以使用密保卡后仍被盗号的情况常见于客户端电脑被木马控制，从而使黑客能获得你的密保卡信息，而发生被盗号。比如你在电脑上使用虚拟卡时被木马截屏软件获得，或者反复输入实物卡的数据而被记录等等。

二、基于硬件介质的密保产品
当前应用较广的几种密保，包括基于动态密码技术开发的OTP密保产品、基于PKI技术开发的USB-Key密保。
1.OTP密保产品
OTP全称是one time password，也称动态密码、动态口令，基于OTP研发的产品，即是OTP密保。
最早的动态密码理论是由上个世纪80年代美国科学家Leslie Lamport提出的，他利用散列函数产生一次性口令的思想阐释，如果用户进行网络身份认证时使用的口令是动态变化的，就可以更好地加强用户对账号密码的安全管理。此后，世界各国都对这一理论进行了实践研究，形成动态密码（Dynamic Password）保护技术，在2004年，这种动态密码认证技术被美国权威杂志SC Magazine评选为当年最佳安全解决方案。
中国的中科院将该技术列入重点实验室研究项目后，于1998年研制成功了具有我国知识产权的动态密码身份认证系统。其后，随着OTP技术的成熟，以优逸科技为代表的OTP密保产品开发商和运营商，便迅速发展起来，并在网络游戏、电子商务、金融证券，企业软件等领域到国防、银行、金融、网游等行业领域得到广泛应用。
目前，OTP从技术角度可分为三种类型：时间同步、事件同步、挑战/应答，其中最安全的类型应该是时间同步，该类型的密保产品，根据专门的算法，基于时间同步生成不可预测的随机数字组合，一个密码使用一次有效。
目前，在网络游戏行业应用较广的产品包括优逸密宝、盛大密保、网易将军令、魔兽世界（WOW）安全令牌等，均是每60秒即可产生一组新的动态密码。
其原理是每个密保的时钟都不一致，且有一个唯一的序列号（SN），只需在服务器端储存了这个密保的时钟、序列号和专用算法，在用户登录的时候，服务器端使用其专用的算法计算得到一个不可预测的数字组合，这时用户使用密保同样可以得到一个相同的数字组合（其时钟必须与服务器一致，否则需要调整），输入正确后才能登录系统。
　　
2.PKI密保产品（USB-Key密保）
PKI的全称是Public Key Infrastructure，即“公钥基础设施”。其是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务，以及所必需的密钥和证书管理体系。
目前，最常见的PKI密保产品，主要是应用于网上银行的USB-Key，也称为U盾。这种方法应该是安全性最高的密码保护方案。
原理是“U盾”特别采用了使用有物理介质的个人客户证书，建立基于公钥（PKI）技术的个人证书认证体系。在技术方面，客户证书通过个人证书认证和数字签名技术，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，对客户的网上交易实施身份认证，并且可以签署各种业务服务协议，确保了交易和协议的唯一、完整和不可否认。