谈网银和USB Key (四)

 

转自：http://apex.ncksoft.com/archives/162

本文一些内容纯属YY，如有雷同，乃是人品爆发。

好了，各位同学，现在我们已经知道黑客无所不在，无所不用其极，目标就是我们网上银行的存款，或者信用卡里的额度。前文《谈谈网银和USB Key (三) 》已经简要描述了目前的USB Key的潜在不安全因素，现在我们就来看看如何应对。

关于键盘木马，有一些“软”的方法可以在一定程度上进行遏止。例如“软键盘”，就是不再让用户通过键盘来输入USB Key的个人识别码(PIN码)，而是在屏幕上显示一个虚拟键盘，用户需要通过鼠标点击虚拟按键来输入PIN码。事实上不仅仅是USB Key的PIN码输入采用这种方式，一些网银在不使用USB Key的，但是又需要更高级别安全性的一些地方，也采用“页面虚拟键盘”的方式，例如建行网银的登录页面就是这样的设计。还有一些USB Key的提供商也在键盘驱动上做文章：黑客不是想截取我的输入吗？好，我让你截个够！当进入PIN码输入状态的时候，底层键盘过滤驱动就自动产生无数的按 键信息发送给上层软件，將真正的用户输入淹没在极大量的随机击键事件中，让键盘木马难以得知哪些是真的用户输入，哪些是假的。当然，上层软件知道其中的猫 腻，可以从杂乱的数据中滤出真正的用户输入。

然而，这些方法都是治标不治本的，因为要完成持有者身份验证，就要將PIN码发送给USB Key，这PIN码总归会出现在电脑的内存中，这些方法只能够在一定程度上增加黑客破解的难度而已。

好了，我们不说这些小儿科的应对方法了，要真正提高USB Key的安全程度，就需要从USB Key的硬件使用方式上入手。

对付键盘木马这种攻击方式，根本的解决方法就是根本不用输入PIN码。嗯，不输入PIN码，那么USB Key怎么知道我就是合法持有者呢？别着急，我们有生物识别技术啊，说白了，最常见的就是指纹识别了。在USB Key上集成一块指纹扫描装置，当需要验证持有者身份的时候，就刷一下指纹，OK，验证通过，可以转帐了，这比记一个USB Key的PIN码还方便，不是吗。而且，指纹的扫描、特征比对都是在USB Key内部完成，根本不与电脑发生任何关系，这就让黑客无计可施了。这样的“指纹USB Key”已经出现在市场上了，北京农村商业银行的“金凤凰网银”就采用了这样的指纹USB Key。

不过并非只要是指纹USB Key就一定安全，如果USB Key上的指纹扫描与识别没有很好的有机结合的话，其中仍然是有漏洞的，例如，如果把指纹扫描的数据传回电脑，由电脑进行指纹特征信息的比对，或者再由电 脑將扫描的数据或者特征信息送回USB Key进行处理，黑客就有可能截取到指纹扫描得到的数据，进行“数据重放式攻击”。所以，安全的USB Key一定是由USB Key自己完成整个指纹扫描、特征值提取与比对的全过程的。

然而，指纹USB Key也有其缺点，就是技术含量高，但是成本也高。就目前为止，国内唯一一家能够提供指纹USB Key的厂商是北京飞天诚信科技有限公司。要想指纹USB Key能够广泛的应用起来，还需要时间。

那么，將键盘和USB Key结合起来，使得PIN码不用通过电脑传到USB Key，不也一样安全吗？是的，带键盘输入的USB Key也比较安全，但是请低头看看你的键盘右侧的数字键区域，只是加入0~9这几个数字键，就需要增加不少的体积，这对于需要满足“随身携带”这一特点的 USB Key来说，体积实在是大了些，不够实用。不过我想，随着技术的发展，超薄键盘、折叠式键盘、投影式虚拟键盘可能会改变这一状况。嘿嘿，想想投影式虚拟键 盘，有点科幻的味道，不过这一天的到来应该不远了～～～

好了，成本高不合适，体积大也不合适，既然目前没有从根本上解决问题的合适的方法，我们就换个思路吧，不要忘了，一切安全性都是相对的 ～～～

既然黑客总是能够通过各种手段得到USB Key的PIN码，然后在用户没有发觉的情况下完成网上交易，那么，如果我们能够在每次需要USB Key来证明自己身份的时候，需要用户手工干预一下才能完成验证过程，是不是就能够解决这个“不知不觉中 ” 账户里的钱就不翼而飞的问题呢？事实上这样的USB Key已经出现了，国内的几家主要的USB Key厂商都纷纷推出了这种“按钮USB Key”。这种类型的USB Key比普通USB Key多了一个按键，当需要转帐的时候，就需要用户按一下按键，否则USB Key拒绝使用内置的密钥来证明你的身份(进行数字签名)，也就无法完成网上交易。有了这个按钮式USB Key，你的每一次网上交易就明明白白了：只要有网上交易，一定是有人明确的按了这个按钮，而只要这个USB Key没有丢失，那就一定是你自己干的了。即使黑客得到你的PIN码，他也无法通过网络伸手到你的电脑前按一下这个按钮吧！！

好了，按钮式USB Key，这下安全了～～～

安全了？安全了？我带上黑客的帽子，在一边得意的笑，我得儿意的笑，我得儿意的笑～～～～

欲知“按钮USB Key”为何不安全，又如何应对其安全漏洞，请关注本文连载之五。