为防止窃取客户银行凭证的网络钓鱼攻击,新加坡银行将在未来三个月内淘汰其零售银行客户的一次性密码 (OTP)。
新加坡金融管理局 (MAS) 和新加坡银行协会 (ABS) 表示,新的身份验证流程将使用数字令牌代替密码,以更好地防止旨在窃取客户银行凭证的网络钓鱼攻击。银行客户将使用移动设备上的数字令牌在移动应用程序和银行网站上验证其账户。
ABS 主管Ong-Ang Ai Boon 表示:“这项措施为客户提供了进一步的保护,防止未经授权访问他们的银行账户。虽然这可能会带来一些不便,但这些措施对于防止诈骗和保护客户是必要的。”
什么是一次性密码?
一次性密码(OTP,One-Time Password)是一种只能使用一次的密码,通常用于增强安全性,防止密码被重复使用或窃取。OTP的生成和使用方式有多种,常见的包括:
- 时间同步型 OTP(TOTP,Time-based One-Time Password):基于时间生成密码。每隔一定时间(如30秒或60秒)生成一个新的密码,用户和服务器都同步生成并验证这个密码。
- 事件同步型 OTP(HOTP,HMAC-based One-Time Password):基于事件生成密码。每次用户请求新的OTP时,都会生成一个新的密码,通常依赖于计数器。
- 短信 OTP:通过短信发送给用户的临时密码。用户在登录或进行敏感操作时需要输入这个密码进行验证。
- 电子邮件 OTP:通过电子邮件发送给用户的临时密码,类似于短信OTP。
- 硬件令牌:使用物理设备生成一次性密码,如安全令牌(token)设备。
OTP的主要优点在于它们每次使用后失效,即使被窃取也无法再次使用。
尽管一次性密码(OTP)有许多优点,但也存在一些缺点:
- 用户体验:OTP需要用户额外的操作步骤,如从设备上读取密码或等待短信/邮件。这可能会降低用户体验,尤其是在急需访问时。
- 依赖性:对于基于短信或电子邮件的OTP,用户需要依赖于电信网络或互联网。如果用户所在地区信号差或网络中断,可能无法及时接收到OTP。
- 设备丢失或损坏:硬件令牌如果丢失或损坏,用户可能会被暂时锁定在系统之外,直到新的令牌发放。
- 安全性问题:攻击者可能通过社会工程学方法欺骗用户泄露OTP,例如通过伪装成合法的服务请求用户提供OTP。
- 时钟同步问题:对于基于时间的OTP(如TOTP),如果用户设备和服务器之间的时钟不同步,可能会导致认证失败。
- 成本:实现和维护OTP系统需要一定的成本,尤其是硬件令牌和短信发送费用。
- 短时效性:OTP通常有很短的有效期,如果用户在有效期内未使用,需重新获取新的OTP,这可能会增加不便。
- 缓存和网络延迟:有时,短信或邮件可能会因为网络延迟而迟到,影响用户的及时操作。
什么是数字令牌?
数字令牌(Digital Token)是一种用于身份验证的安全设备或软件,生成动态密码以增强系统的安全性。它通常用于多因素认证(MFA)中,以确保用户身份的真实性。以下是数字令牌的详细介绍:
数字令牌的类型
- 硬件令牌(Hardware Token):
- 形式:小型设备,如USB钥匙、卡片、或挂在钥匙链上的小装置。
- 功能:生成一次性密码,用户在登录或执行敏感操作时输入该密码。
- 优点:独立设备,不易被远程攻击,安全性高。
- 缺点:需要携带,丢失或损坏可能导致访问困难。
- 软件令牌(Software Token):
- 形式:手机应用程序或桌面应用程序,如Google Authenticator、Authy等。
- 功能:通过算法生成一次性密码,用户在登录或执行敏感操作时输入该密码。
- 优点:便于使用,用户可以在手机或其他设备上安装应用程序。
- 缺点:依赖设备的安全性,如果设备被攻破,令牌可能被盗用。
数字令牌的工作原理
- 密钥生成:每个数字令牌都有一个独特的密钥,与服务器共享。
- 密码生成:基于时间(TOTP)或计数器(HOTP)生成一次性密码。TOTP基于当前时间生成密码,每隔一定时间(如30秒)生成一个新的密码。HOTP基于事件计数器生成密码,每次用户请求新的OTP时,计数器增加。
- 验证:用户输入生成的密码,服务器使用共享密钥和相同的算法生成预期的密码。如果输入的密码与预期的密码匹配,则认证通过。
数字令牌的优点
- 高安全性:动态密码,难以预测和窃取。
- 独立性:硬件令牌不依赖网络,减少网络攻击风险。软件令牌可以在离线状态下使用。
- 防止重放攻击:每次生成的密码唯一,防止重放攻击。
数字令牌的缺点
- 成本:硬件令牌购买和维护成本高。软件令牌的开发和部署也需要资源。
- 用户体验:硬件令牌需要随身携带,可能不便。软件令牌依赖设备的安全性和电量。
- 丢失或损坏:硬件令牌丢失或损坏可能导致用户无法访问系统,需要紧急处理和替换。
