6月2日,RSA公司承认RSA Secure ID令牌在3月份被攻破的消息属实;6月6日,RSA公司不得不宣布在全球范围内召回4000万只Secure ID令牌,其中包括洛克希德·马丁公司和其他美国国防承包商等大型商业机构。
为什么号称极为安全的一分钟一变的动态密码令牌也会被攻破呢?安全专家解释,其实是因为黑客发现了Secure ID的薄弱环节——种子。每个令牌都有一个种子,然后根据一定的算法生成一次一密的密码。因此,种子决定了令牌的安全性。Secure ID的种子被集中保存在种子服务器中,却不幸被黑客攻破并获取,黑客可根据种子模拟出完全一样的令牌,这才造成了大范围的召回事件。“这种事情说明,安全不能将所有的鸡蛋放在一个篮子里。”安全专家说。
此事让许多用户转向了同样提供双因素认证产品的赛孚耐公司。据赛孚耐亚太地区副总裁陈泓介绍,与RSA公司将种子集中在一个地方不同的是,赛孚耐的双因素产品提供了两种选择:或将种子存放在赛孚耐的服务器中;或者将种子由用户自己保管。这样,即使发生种子被盗窃事件,其损失范围也不会那么大。这种做法其实是将安全风险分散在不同的地方。
陈泓介绍,赛孚耐还提供包括SMS、虚拟PKI、OTP等多种技术的令牌,除了标准的一次一密的令牌外,有些令牌在上面还有微小键盘,每发生一笔交易,都会让用户输入用户名和密码进行确认,这就像在银行每取一笔钱都需要用户签名确认一样,等于又增添了一种保护。
陈泓透露,最近,赛孚耐在全球推出了一种新的“光学认证”令牌——令牌上有一个“光学认证屏幕”,当需要确认一笔交易时,用户不再需要在令牌上敲入用户名和密码,而只需将令牌上的光学屏幕与电脑屏幕上的光学认证模块对接,几秒钟就可实现自动认证。不仅减轻了用户的负担,还极大增强了认证令牌的安全性。陈泓指出,令牌依然是目前金融、电信领域比较安全的身份认证方式,随着技术的进步,厂商也在不断推出新产品,以弥补上一代产品的不足。
