網銀

用於向網上銀行進行身份驗證的“安全密鑰”令牌真的更安全嗎?

  • October 16, 2011

我有這些安全密鑰之一,我必須用它來登錄我的銀行賬戶。這非常煩人,並且使手機銀行變得尷尬。所以我想知道它是否值得。

一旦我輸入了 PIN,密鑰就會生成一個數字,銀行網站(不知何故,神奇地)已經知道並接受了這個數字。

它是錢包大小,設計用於放入您的錢包,與您的卡一起放置,我收到的帶有網上銀行使用者名的塑膠紙條也設計用於放入錢包中。

如果我的錢包丟了/它被偷了,並且如果使用者知道我的 PIN 碼(如果我沒有安全鑰匙卡,他仍然需要知道 PIN 碼),那麼他肯定可以通過 ATM 取用賬戶中的錢和線上?

而沒有安全鑰匙卡系統,我必須記住一個數字,然後輸入其中的某些數字才能登錄。因為這是在我的大腦中,沒有人可以物理地竊取它。

是什麼讓這個基於令牌的新系統更加安全?

是的,它比簡單的密碼或密碼要安全得多。這是因為,除了知道密碼(和帳戶名稱或號碼)之外,它還需要擁有“安全密鑰”設備才能獲得訪問權限。

在沒有這種設備的系統中,訪問所需的只是知識(例如使用者名和密碼)。騙子可以通過多種不同的方式獲得這些知識,其中許多方式是自動化的,不需要你錢包中的內容。例如,您在酒店使用的電腦可能有一個“鍵盤記錄器”,用於記錄您在使用電腦訪問銀行帳戶時輸入的內容。在許多情況下,借記卡密碼和號碼已從(受損的)零售刷卡終端或 ATM 的正常使用中被複製。還有許多其他邪惡的方法,例如“中間人攻擊”

對於您描述的系統,騙子的此類嘗試失敗了,因為他們無法訪問“安全密鑰”設備,因此無法想出設備生成的不斷變化的密碼。

網上銀行雙因素認證優於單因素認證的要點如下:

單因素(使用者名和密碼)

攻擊者只需很少的努力就可以從您那裡獲取這些資訊(這可能是通過木馬、中間人攻擊、鍵盤記錄器等),一旦他們獲得了這些資訊,他們就可以從您的帳戶登錄或進行交易。他們可以在幾天后或反复執行此操作。

兩個因素(使用者名、密碼、令牌)

當您在令牌上鍵入您的密碼時,生成的數字只有您和銀行的電腦知道,並且僅在短時間內有效(通常為 30 秒)現在發送回銀行的那個號碼將不得不在 30 秒的視窗內執行他的攻擊。

一些銀行所做的是添加另一個因素 - 以及您在設備中輸入的 PIN 碼,網站會提供您在設備中輸入的另一個號碼 - 當它顯示一個新號碼時,您將其輸入回網站。這不僅消除了攻擊者的 30 秒視窗,而且消除了攻擊者更改付款接收人的能力。

tl;dr - 是的,這很煩人,但它有助於防止你被搶劫

引用自:https://money.stackexchange.com/questions/11579