双因素认证遭遇“中间人攻击”

申请免费试用、咨询电话：400-8352-114

钓鱼者已经采用“中间人攻击”来躲避基于令牌的认证方式，对网银、网上交易构成了严重威胁。幸好，我们依然有应对的方法，只是这种方法不太方便。

在今年，由于网银资金被窃，有不少用户将银行告上了法庭。虽然判决的结果都是银行胜诉，但这些事件却对网银的推广使用产生了巨大的影响，网上银行的安全性正在面临前所未有的信任危机。 网银流行双因素 要实现网上银行的彻底安全并不难，比如在企业网银和个人网银高端客户中普遍使用的证书注册版。采用业界最安全的机制，并将数字证书存储在上，证书不可复制、不可导出，具有唯一性的特征，符合“电子签名法”的要求，目前仍未听说有客户因为使用USBKEY证书而发生资金损失的。但是高安全性必然带来不便性，USBKEY证书的使用就不太方便，需要安装驱动程序或使用专门的网上银行程序以及随身携带不同银行的多张数字证书。

为了在网上银行的安全性和使用的方便性之间找到平衡，各商业银行的网上银行纷纷推出了采用双因素认证的安全机制。像工商银行推出的动态密码，就采用了挑战、应答模式，采用一次一密的机制，提高了用户在网上交易时的认证强度，可以有效防止不法分子通过虚假网站、木马病毒、黑客攻击等手段窃取密码。动态密码的安全级别高于静态密码，成本远低于物理数字证书。

令牌认证也是双因素认证的一种，令牌设备被用于为在线银行客户临时创建另一个密码，这些密码只在很短时间内有效，且只能使用一次，使得攻击者无法盗取密码供以后使用。美国联邦政府指导方针就要求在线交易在年底前必须提供双因素认证，美国银行为了遵从该指导方针都已向用户提供了令牌。

不过，令人烦恼的是，网络攻击者日前找到了一种绕过新型令牌认证系统的方法，这就是所谓的“中间人攻击”（MITM，Man-in-the-middle Attacks）。现在，已经有几十个使用这种新攻击方式的钓鱼网站。安全专家预测，钓鱼者最终会采用“中间人攻击”来巧妙躲避基于令牌的认证方式，而最近几次攻击标志着他们已开始实施这种方式了。

“中间人”很烦人

曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。在网络安全方面 ，MITM攻击的使用也很广泛，最有威胁并且最具破坏性的一种攻击就是对网银、网游、网上交易的MITM攻击。

通常来说，这种典型的攻击会在最终用户和在线服务供应商之间架设一个欺诈网站或在供应商网站上添加一些相应的插件或代码。该网站或插件在服务供应商和用户之间透明转发信息并试图结合真实用户的相关信息，如账号、密码等敏感信息。（攻击示意图见图一）