各種密碼保護方案的安全性及其原理淺析

隨着互聯網的全民普及，網絡帳號的安全性早已備受關注，雖然各大網站均採取了這樣或者那樣的帳號保護措施，但被盜號的情況仍時有發生。

本文就市場上常見的幾種密保方法的安全性及其原理做一淺析，純粹個人觀點，如果不妥，敬請指出。

一、密保卡
密保卡就是密碼保護卡，這是一種最常見的密保方案，分為實物卡和虛擬卡，優點是成本極低。密保卡（也稱矩陣卡）是基於事件同步的密保產品，在網絡遊戲行業應用也較廣泛。該產品以卡片形式呈現，卡片上一般都印製一個10×8的數字矩陣，矩陣的每個坐標為1~3位的數字。其原理是在服務器端儲存着同樣的密保卡數據，當你使用密保卡登錄服務器時，根據隨機坐標提示對應到矩陣的數字，即通過密保卡獲取的動態密碼，才能登錄服務器。
從理論上說，除非黑客能得到你的密保卡或者能獲得服務器端的數據，否則暫時還無法破解。因為服務器端的安全措施一般都會比較強，所以使用密保卡後仍被盜號的情況常見於客戶端電腦被木馬控制，從而使黑客能獲得你的密保卡信息，而發生被盜號。比如你在電腦上使用虛擬卡時被木馬截屏軟件獲得，或者反覆輸入實物卡的數據而被記錄等等。

二、基於硬件介質的密保產品
當前應用較廣的幾種密保，包括基於動態密碼技術開發的OTP密保產品、基於PKI技術開發的USB-Key密保。
1.OTP密保產品
OTP全稱是one time password，也稱動態密碼、動態口令，基於OTP研發的產品，即是OTP密保。
最早的動態密碼理論是由上個世紀80年代美國科學家Leslie Lamport提出的，他利用散列函數產生一次性口令的思想闡釋，如果用戶進行網絡身份認證時使用的口令是動態變化的，就可以更好地加強用戶對賬號密碼的安全管理。此後，世界各國都對這一理論進行了實踐研究，形成動態密碼（Dynamic Password）保護技術，在2004年，這種動態密碼認證技術被美國權威雜誌SC Magazine評選為當年最佳安全解決方案。
中國的中科院將該技術列入重點實驗室研究項目後，於1998年研製成功了具有我國知識產權的動態密碼身份認證系統。其後，隨着OTP技術的成熟，以優逸科技為代表的OTP密保產品開發商和運營商，便迅速發展起來，並在網絡遊戲、電子商務、金融證券，企業軟件等領域到國防、銀行、金融、網遊等行業領域得到廣泛應用。
目前，OTP從技術角度可分為三種類型：時間同步、事件同步、挑戰/應答，其中最安全的類型應該是時間同步，該類型的密保產品，根據專門的算法，基於時間同步生成不可預測的隨機數字組合，一個密碼使用一次有效。
目前，在網絡遊戲行業應用較廣的產品包括優逸密寶、盛大密保、網易將軍令、魔獸世界（WOW）安全令牌等，均是每60秒即可產生一組新的動態密碼。
其原理是每個密保的時鐘都不一致，且有一個唯一的序列號（SN），只需在服務器端儲存了這個密保的時鐘、序列號和專用算法，在用戶登錄的時候，服務器端使用其專用的算法計算得到一個不可預測的數字組合，這時用戶使用密保同樣可以得到一個相同的數字組合（其時鐘必須與服務器一致，否則需要調整），輸入正確後才能登錄系統。
　　
2.PKI密保產品（USB-Key密保）
PKI的全稱是Public Key Infrastructure，即“公鑰基礎設施”。其是一種遵循既定標準的密鑰管理平台,它能夠為所有網絡應用提供加密和數字簽名等密碼服務，以及所必需的密鑰和證書管理體系。
目前，最常見的PKI密保產品，主要是應用於網上銀行的USB-Key，也稱為U盾。這種方法應該是安全性最高的密碼保護方案。
原理是“U盾”特別採用了使用有物理介質的個人客戶證書，建立基於公鑰（PKI）技術的個人證書認證體系。在技術方面，客戶證書通過個人證書認證和數字簽名技術，它內置微型智能卡處理器，採用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，對客戶的網上交易實施身份認證，並且可以簽署各種業務服務協議，確保了交易和協議的唯一、完整和不可否認。