目前網銀常用的身份認證機制包括:帳號+密碼、刮刮卡、動態口令、數字證書(U盾)、簡訊驗證等,動態口令是根據專門的演算法生成一個不可預測的隨機數字組合,每個密碼只能使用一次,是目前最安全的身份認證技術之一,而且不用在使用者端安裝任何軟體,不用使用證書,使用時也不用和PC連線,所以使用非常便捷。網銀主流的動態口令牌採用的技術主要有三種:基於時間同步的動態口令認證技術,基於事件同步動態口令認證技術、基於挑戰應答式的動態口令認證技術。
問題涉及的應該是基於時間同步的動態口令牌。它以時間作為變動因子,每個時間間隔(一般60秒)生成一個不同的6到8位數字作為密碼用於驗證。要求口令驗證伺服器與令牌之間採用相同的密碼產生演算法的同時,還要求兩者之間的時間嚴格同步,否則就認證實效。但是實際使用中會有網路的延時、使用者操作延時造成因時間不一致而造成的認證錯誤,因此伺服器會採取一個時間視窗的機制,容忍一定時間範圍的偏差,偏差範圍的設定是在安全風險評估下確定的。
另外由於基於時間的動態口令牌依靠晶振來計算時間,並非實時線上同步,目前口令牌採用的硬體精度短時間是可以保證使用的,但是口令牌的工作環境不同,在磁場,高溫,高壓,震盪,浸水等情況下會發生時鐘脈衝的不確定偏移,還有在口令牌長時間不使用的情況下,晶振的會產生時間偏差,造成令牌和驗證伺服器認證失敗。為了解決上述這些情況,口令牌在每次進行認證時,伺服器端將會檢測口令牌的時鐘偏移量,相應不斷的微調自己的時間記錄,令伺服器時間和口令牌時間進行同步,當然在動態口令牌與驗證伺服器進行驗證和同步時就必須對偏移量給出一定的“時間視窗”,在這個視窗中的設定也是要兼顧業務安全和方便的需要,可以設定不同級別的“時間視窗 ”比如說,偏移量在5分鐘之內認為正常可以自動同步;10分鐘內要求使用者遠端網上手動同步;大於10分鐘,認為口令牌失效,要求使用者更換新的口令牌。
目前網銀常用的身份認證機制包括:帳號+密碼、刮刮卡、動態口令、數字證書(U盾)、簡訊驗證等,動態口令是根據專門的演算法生成一個不可預測的隨機數字組合,每個密碼只能使用一次,是目前最安全的身份認證技術之一,而且不用在使用者端安裝任何軟體,不用使用證書,使用時也不用和PC連線,所以使用非常便捷。網銀主流的動態口令牌採用的技術主要有三種:基於時間同步的動態口令認證技術,基於事件同步動態口令認證技術、基於挑戰應答式的動態口令認證技術。
問題涉及的應該是基於時間同步的動態口令牌。它以時間作為變動因子,每個時間間隔(一般60秒)生成一個不同的6到8位數字作為密碼用於驗證。要求口令驗證伺服器與令牌之間採用相同的密碼產生演算法的同時,還要求兩者之間的時間嚴格同步,否則就認證實效。但是實際使用中會有網路的延時、使用者操作延時造成因時間不一致而造成的認證錯誤,因此伺服器會採取一個時間視窗的機制,容忍一定時間範圍的偏差,偏差範圍的設定是在安全風險評估下確定的。
另外由於基於時間的動態口令牌依靠晶振來計算時間,並非實時線上同步,目前口令牌採用的硬體精度短時間是可以保證使用的,但是口令牌的工作環境不同,在磁場,高溫,高壓,震盪,浸水等情況下會發生時鐘脈衝的不確定偏移,還有在口令牌長時間不使用的情況下,晶振的會產生時間偏差,造成令牌和驗證伺服器認證失敗。為了解決上述這些情況,口令牌在每次進行認證時,伺服器端將會檢測口令牌的時鐘偏移量,相應不斷的微調自己的時間記錄,令伺服器時間和口令牌時間進行同步,當然在動態口令牌與驗證伺服器進行驗證和同步時就必須對偏移量給出一定的“時間視窗”,在這個視窗中的設定也是要兼顧業務安全和方便的需要,可以設定不同級別的“時間視窗 ”比如說,偏移量在5分鐘之內認為正常可以自動同步;10分鐘內要求使用者遠端網上手動同步;大於10分鐘,認為口令牌失效,要求使用者更換新的口令牌。