后密码时代的密码.doc

后密码时代的密码.doc龙源期刊网
后密码时代的密码
作者：俞木发 来源：《电脑爱好者》 2013 年第 17 期
固定密码有效补充 —— 动态口令
现在网络安全形势越来越严峻，很多黑客、木马都在紧盯我们的钱包，网上支付稍不小心 就可能造成我们的财产损失。传统方法是使用强健的密码作为保护手段，不过这种固定密码保 护对于监控木马形同虚设，因为即使再复杂的密码也需要通过键盘输入，木马捕捉到输入后就 可以轻松窃取到密码，根本无需破解。
为了弥补传统的固定密码的不足，现在很多在线支付引入了动态口令作为支付的扩展保护 手段。动态口令顾名思义就是动态变化的密码口令，它和固定密码最大的不同就是，动态口令 会在一定周期内（如 30 秒或 60 秒）变化密码。比如支付宝的宝令（手机版），每 30 秒更新 一次动态口令，这样我们在付款时就需要输入宝令上的动态密码才能完成付款，即使黑客窃取 到这次的口令也不会对资金安全造成麻烦，因为下一次口令又变为另一个了（图 1）。
动态口令的工作原理
动态口令比固定密码有更好的安全性，可是动态口令的密码时刻在变化，在线支付服务器 是怎么保证我们输入的动态密码是正确无误的呢？
动态口令是由两部分组成的，一部分负责用户身份的验证，这部分是固定不变的，我们称 之为固定因子；另一部分则是负责动态口令的生成，它是动态变化的，我们称之为动态因子。 这里我们以中行 E令为例，首先我们要在柜台进行申请，银行工作人员会将我们的中行 E令和
有在线支付功能的银行卡绑定，这里用于识别用户银行卡标识的就是固定因子，我们获得的中 行E令是类似一个电子表的硬件，中行 E令中保存的就是动态因子，它会在 30秒内动态变化
一组 6 位数字（图 2）。
在线支付服务器怎么对动态口令进行验证？实际上定期变化的动态口令的验证是基于时间 同步认证技术实现的。还是以中行 E令的实际操作流程为例。
1我们首先要以注册的用户名和密码登录中行个人网银网站，因为登录用户名是和银行卡 绑定的，所以我们在登录成功后，网站服务器就实现对用户身份的验证，这是固定运算因子在 起作用。
2 选择支付的账户后，此时网站会要求输入手机交易码和动态密码，当在动态密码框输入
E 令的密码，点击 “确定 ”提交，此时动态口令通过网络传输给认证服务器进行认证（图 3）。