动态口令攻击.docx

动态口令攻击
动态口令，又称一次性口令（One Time Password, OTP）,是替代通常的静态口令的一种 身份鉴别技术。采用动态口令进行身份认证时，用户在系统的登录界面每次输入的口令都不 同，用于防止猜口令攻击；每次成功登录使用名骇客编写了名为“密宝终结者”的木马程序，专门用于窃取盛大网 络为保护其网络游戏。“传奇”所使用的动态口令产品“盛大密宝”的合法口令。该木马在 通过多种方法植入“传奇”用户使用的计算机系统后，当用户使用。“盛大密宝”访问其“传 奇”游戏时，该木马通过窃取和篡改的方式，得到用户。“盛大密宝”提供的合法密码，并 用其非法访问该用户的账户，通过买卖虚拟财产等方式不当得利。从2005年3月到2005 年9月，该木马被广泛传播并使用，基于动态口令技术的“盛大密宝”系统受到了严重的威 胁，据报道，该木马给盛大网络造成的经济损失高达960余万元。同时作为传统的动态口令 技术，在木马攻击下其工作机制的安全性被广泛质疑。
针对密宝终结者木马程序，其对动态口令系统的攻击过程如下：黑客通过多种方法在。 盛大密宝使用者的计算机中植入木马，当用户登录。盛大传奇页面时，页面要求用户输入用 户名。“盛大密宝”显示的动态密码。当用户将“盛大密宝”显示的动态密码输入到登录对 话框中时，该木马被触发并将登录对话框中的用户名，动态密码等信息传递到黑客的控制端。 该木马同时将登录对话框中的密码内容篡改，其更改方式随意，目的是该动态密码连同登录 的用户名被送到后台动态口令认证服务器时，该认证由于动态口令被篡改而失败。该步骤的 间接后果是：在动态口令认证服务器后台，篡改前的密码依然有效。因为后台动态令认证服 务器并投有收到该口令，故该口令没有被使用，依然有效
（在该口令的有效生存周期内，一 般为1分钟以内）。黑客获得从木马传递来的用户名和动态口令密码后，使用该用户名和动 态密码直接访问盛大传奇系统，因该密码依然有效，故黑客可以正常登录盛大传奇系统，实 现了木马攻击的目标。综上所述，针对动态口令系统的木马攻击在传统的针对静态口令木马 攻击的基础上进行了一个过程的改进，对于传统的静态口令系统，木马只简单地窃取静态口 令并发送给植入木马的黑客。而对于动态口令系统，简单地将窃听到的密码发送给黑客已经 没有意义了，因为该密码在使用后即行失效，不能再次用来完成应用系统的登录过程。作为 时间同步的动态口令系统，如果该时间窗口内的相应密码在没有被使用前，是一直有效的， 即便在该时间窗口内有一个错误的密码被送来进行认证。针对时间同步动态口令系统的该特 性。“密宝终结者”木马篡改了应该被送到动态口令认证系统中去的正确的时间同步密码， 使得在当前的时钟窗口内，该密码是一直有效的，保证了植入密码的黑客能够在该时间窗口 内有效地使用截获的动态口令非法登录应用系统。
3木马攻击的解决方案
针对木马的攻击方式，必须要阻断黑客利用截获口令来进行再次登录的路径，根据这个 原则，可以在黑客截获信息的可用性上进行改进，使用户的正常登录流程和该次登录事件相 关联，则黑客在进行另一次登录的过程中，无法使用用户正常登录过程的数据。
解决方案一：将时钟同步的动态口令系统更换为使用挑战一应答的动态口令系统，则 用户的每次登录过程中。除用户给出的动态口令外，还有一个过程相关的变量，即动态口令 系统