作为一家中小型外贸企业的CIO,侯勇经常要面对黑客入侵和公司内网受到攻击的威胁。
“我们需要通过网络同客户和合作伙伴进行业务往来,但冒用密码和其他方式的攻击我们业务的现象层出不穷。比如,前些日子,‘灰鸽子’木马程序已经升级成‘黑鸽子’, 它可以从用户的电脑中窃取秘密如银行账号和密码,这就给我们的网络安全造成很大威胁。”侯勇表示。
网络安全专家称,现在很多中小企业都在面临着这样的网络安全威胁,密码的保护至关重要。因此,在静态密码之外,配套使用动态密码可以有效的防止密码被盗用的危险境地。
日前,动联公司首席执行官范定国和中国区首席运营官沈勇坚接受了采访,讲述了它们新近推出的动态密码令中心对中小企业安全的意义。
发现蓝海
“单一的静态密码已经不能满足市场的需求了。我们认为将动态密码认证技术有效应用于市场是一片巨大的蓝海。”动联公司首席执行官范定国认为。
2007年4月,云南的某先生诧异地发现,自己存在建设银行的16万元人民币突然蒸发了。经过调查,盗用了自己银行卡密码的黑客成为了这一事件的罪魁祸首。
当你输入密码时,很可能会有人从你的身后窥视密码,也可能通过远程操控捕捉到你的密码;当你把密码保留在便笺或台历,也有可能会被别人盗取;甚至,你出于习惯用自己或亲人生日设立的密码也会被别人破译,而这些都有可能造成你的重大损失。
在这样一个“网络高手”众多的时代,似乎单靠自己精心编制的密码已经不能切实保障自己账户的安全了。因此,静态密码之外配合使用的动态密码成为必要的安全选择。
动态密码也称一次性密码(One-time Password),它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,大小相当于一张闪存盘,显示方式类似于电子手表,它内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
目前,这种动态密码技术已经在国内的网上银行、网络游戏等等许多行业开始应用。
PK电子证书
如何保障网络中电子帐户不被盗用?如何才能保证企业和消费者的虚拟财产安全?在网络领域,电子证书往往成为了一般意义上惯用的密码锁。
但对于电子证书,动联中国区首席运营官沈勇却表示,这种形式并不适合很多中小企业和普通消费者使用:“在中国,基本各省都设有CFCA电子证书认证中心,但电子证书成本较高,这些中心现在大部分都处于亏损状态。同时,电子证书也不够方便和便捷,因此很难得到中国市场中小企业和消费者的青睐。”
另外,一般意义上的动态密码也存在着成本较高的弊端。比如,之前RSA信息安全公司在动态密码领域的产品大多应用于世界500强企业内部,这也使外界认为其产品因为价格偏高等因素,离普通消费者市场很遥远。
“在中国市场上,消费者数量庞大,特别是存在众多的资金并不雄厚的中小企业,因此需要以更为新颖的方式来降低动态密码的实施成本,同时,也增强便捷性和安全性。”业内安全专家表示。
而此次动联推出的动态密码令中心便是将动态密码认证定义为电子消费品,以ASP的方式提供给企业。
“比如,现在越来越多的公司采用移动办公的方式,这也增大了远程登录公司网络用户数量。为了保证公司的网络不受入侵,这个公司可以通过动态密码令中心这个平台,购买自需要的动态密码令个数。如一个公司通常由20个员工需要远程登录,它便可以只购买20个认证,通过付年费的方式使用。”沈勇介绍道。
而通过这种ASP的方式,企业也不用花专门的钱买软件和升级硬件,这也省去了它们财务等各方面繁琐。
“动态密码令中心专门针对如SCM(供应链管理)、CRM、OA等信息化软件、电子商务平台等中小型网络应用,以低成本的加盟方式,做到商户系统与动码令中心的无缝接入,我们期望为消费者提供专业的动态密码认证服务,同时动联也成为消费者认证市场成为领军者。”范定国表示。